GDPR

GDPR – strašiak, alebo len skratka General Data Protection Regulation?

Nariadenie EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov (GDPR) vstupuje do platnosti od 25.5.2018.

Ochrana osobných údajov sa od tohto dátumu posúva zo „šuflíkovej“ podoby do reálnej formy. Už nebude stačiť bezpečnostný projekt v archíve a bezpečnostné smernice na papieri. Ide do tuhého, výšky pokút nadobudnú európsky rozmer, čo v číselnom vyjadrení môže byť až 20 mil. eur alebo 4% z ročných tržieb organizácie.

Nečakajte na zázrak, ani na skostnatelosť slovenskej legislatívy, nariadenie EÚ jednoducho od 25.5.2018 vstupuje do platnosti a slovenské úrady s tým nič nezmôžu. Ak nebudete v súlade s GDPR, bude vaša organizácia v ohrození pokút a straty dobrého mena. Povinnosť informovať všetky dotknuté osoby o úniku ich osobných údajov je okrem poškodenia mena organizácie v mnohých prípadoch aj nepredstaviteľná úloha. Obzvlášť v prípadoch, kedy k tomu došlo zjavným pochybením organizácie v súvislosti s nesúladom s GDPR. Zaplatením pokuty a splnením oznamovacej povinnosti nie je dotknuté právo dotknutej osoby domáhať sa náhrady za narušenie jej práva na ochranu pred neoprávneným zasahovaním do súkromia a rodinného života.

Dopad GDPR na organizácie spracúvajúce osobné údaje.

Čo treba spraviť?

Kto vám s tým pomôže?

Chcete vedieť viac? Kontaktujte nás.

 

Dopad GDPR na organizácie spracúvajúce osobné údaje:

•  povinnosť oznamovať porušenie ochrany osobných údajov kontrolnému orgánu ako aj dotknutej osobe do 72 hodín od momentu, kedy sa organizácia o porušení dozvedela,

•  vyššie práva pre dotknuté osoby, zavádzajú sa nové práva, „právo byť zabudnutý“ a  právo na prenos svojich dát vo všeobecne použiteľnom formáte od jedného poskytovateľa k druhému,

•  významné zvýšenie pokút až do výšky 20 miliónov eur alebo do výšky 4 % celkového ročného obratu v predchádzajúcom finančnom roku, napr. pri nesplnení podmienky súhlasu so spracovaním osobných údajov alebo porušením zásad prenosu dát mimo územie EU,

•  zmenené podmienky pre zriadenie zodpovednej osoby, kde niektoré organizácie budú mať povinnosť zriadiť funkciu zodpovednej osoby internou, alebo externou osobou,

•  analýza rizík pri implementácii systémov, alebo zavádzaní produktov, ktoré by mohli predstavovať riziká v súvislosti s ochranou osobných údajov, kde pri vysokom riziku bude musieť organizácia získať predbežný súhlas od kontrolného orgánu, Úradu na ochranu osobných údajov,

•  striktnejšie podmienky na získanie súhlasu pri spracúvaní osobných údajov, kde súhlas musí byť preukázaný a u detí do 16 rokov musí byť súhlas rodičov,

•  povinnosť „privacy by design and by default“ kladie požiadavky na funkcionalitu systémov a ich zhodu s požiadavkami GDPR na šifrovanie, kódovanie a ďalšie aspekty bezpečnosti,

•  nové zodpovednosti pre sprostredkovateľov, kde niektorí budú povinní nominovať zodpovednú osobu a viesť zoznamy spracovateľských operácií, mať priame regulačné povinnosti a zodpovednosti, dokonca v niektorých prípadoch aj zodpovednú osobu,

•  princíp „one-stop-shop“ nadnárodné spoločnosti budú podliehať vedúcemu dozornému orgánu so sídlom spravidla v krajine sídla centrály spoločnosti a lokálne pobočky spoločnosti budú sekundárne podliehať aj dozorným orgánom v sídle pobočky spoločnosti, čo bude klásť nemalé nároky na harmonizáciu a konzistenciu lokálnych pravidiel jednotlivých členských krajín EU.

Zavedenie nových povinností bude náročný proces, ktorý bude vyžadovať od prevádzkovateľa zvýšené úsilie a nemalé finančné prostriedky. Časový rámec zavedenia informačnej bezpečnosti v zmysle GDPR bude trvať týždne, ale aj mesiace a bude závislí od stávajúcej úrovne informačnej bezpečnosti u klienta, od vyčlenených finančných prostriedkov a od prístupu zainteresovaných zamestnancov.

 

Čo treba spraviť a aký čas je na to potrebný?
Audit informačných systémov v súlade s GDPR (10 až 60 dní, podľa veľkosti organizácie a náročnosti informačných systémov spracúvajúcich osobné údaje): •  analýza spracovávaných osobných údajov, prehodnotenie ich obsahu

•  posúdenie účelu spracúvania osobných údajov

•  identifikácia tokov osobných údajov

•  analýza informačných systémov

•  analýza procesov zabezpečujúcich ochranu osobných údajov

•  analýza technických a organizačných zabezpečení

•  vypracovanie plánov na zavedenie GDPR

•  ostatné činnosti súvisiace s posúdením bezpečnosti spracúvania

Rozhodnutie manažmentu o prijatí opatrení, plánu zavedenia GDPR (čas neurčitý): •  vyjadrenie vrcholového manažmentu k požadovanej úrovni bezpečnosti

•  vyjadrenie k funkcii zodpovednej osoby

•  rozhodnutie manažmentu o úrovni a spôsobe zavedenia GDPR

•  výber plánu na zavedenie GDPR

•  rozhodnutie manažmentu o výške investície do zavedenia GDPR

Vypracovanie rizikovej analýzy a bezpečnostných opatrení na základe auditu a plánu zavedenia (30 až 120 dní od rozhodnutia manažmentu): •  posúdenie rizík pri spracúvaní osobných údajov

•  stanovenie informačných systémov pre spracúvanie osobných údajov

•  stanovenie bezpečnostných opatrení

•  vypracovanie personálnych a organizačných opatrení

•  vypracovanie smerníc

•  stanovenie opatrení na fyzickú ochranu informačných systémov

•  stanovenie pravidiel na zálohovanie a likvidáciu osobných údajov

•  ostatné činnosti potrebné na zabezpečenie primeranej ochrany pri   spracúvaní osobných údajov v zmysle GDPR

Výber dodávateľov (čas podľa subjektu a predpísaných procedúr): •  stanovenie technických riešení pre zavedenie bezpečnosti

•  výber produktov a dodávateľov

•  verejné obstarávanie

Implementácia procesov (60 až 150 dní od rozhodnutia manažmentu): •  zavedenie nariadení GDPR do praxe

•  zosúladenie jednotlivých činností

•  poučenie oprávnených osôb

•  zavedenie bezpečnostných opatrení na pracoviskách

•  zavedenie bezpečnostných opatrení na informačných systémoch

Vzdelávanie a kontrola (školenia počas implementácie, kontrola po 30 dňoch od zavedenia GDPR do praxe): •  školenia oprávnených osôb

•  školenia bezpečnostných správcov a správcov aktív

•  kontrola na pracoviskách oprávnených osôb

•  kontrola zabezpečenia informačných systémov

•  kontrola celého procesu spracovania osobných údajov

Kto vám s tým pomôže?

Sme v dobe všade prítomnej digitalizácie a naše osobné údaje „lietajú vzduchom“ sem a tam a my máme pocit, že s tým aj tak nič nenarobíme. Naše osobné údaje majú marketingové agentúry, mobilní operátori, internetové obchody a mnohé ďalšie organizácie, predovšetkým vo verejnej správe.  Všetky tieto organizácie musia naše osobné údaje chrániť a nakladať s nimi v zmysle zákona, po novom v zmysle GDPR. Väčšina týchto údajov je v digitálnej forme a tu sú doma spoločnosti zo sveta informačných technológií, ktoré najlepšie vedia kde sú tieto údaje napadnuteľné a aké procesy stanoviť pre zabezpečenie ich maximálnej ochrany.

Sme spoločnosť, ktorá už 25 rokov pôsobí na trhu informačných technológií a realizovali sme cez 1800 projektov zavedenia informačnej bezpečnosti. Pôsobíme na všetkých segmentoch trhu a vieme presne pomenovať riziká a možné úniky dát špecifické pre jednotlivý segment trhu. Rovnako vieme, ako tieto riziká eliminovať. Naša práca začína komplexným auditom informačnej bezpečnosti, pokračuje vypracovaním rizikovej analýzy a končí implementáciou procesov zabezpečujúcich úroveň informačnej bezpečnosti v rozsahu finančných možností klienta. Sprievodnou činnosťou je vzdelávanie, školenia a kontrola realizácie informačnej bezpečnosti v praxi.

Eliminujeme hrozbu  pokút a straty dobrého mena vašej organizácie v súvislosti s naplnením oznamovacej povinnosti pri porušení ochrany osobných údajov. Zoptimalizujeme vaše náklady potrebné pre zavedenie GDPR a zminimalizujeme riziká vznikajúce pri spracovávaní osobných údajov. Navrhneme procesy a technológie, zavedieme ich do praxe a zabezpečíme, aby fungovali s maximálnou účinnosťou. Vyškolíme vašich zamestnancov, posúdime zmluvy s vašimi partnermi a vypracujeme vám potrebnú bezpečnostnú dokumentáciu. Povieme vám, čo všetko potrebujete pre naplnenie súladu s GDPR, pomôžeme vám pri kontrolách zo strany NKÚ, ÚOOÚ či Ministerstiev, poskytneme vám službu externej zodpovednej osoby a budeme vám k dispozícií počas celého nášho zmluvného vzťahu.

Sme profesionáli so silnými referenciami a bohatými skúsenosťami.

Skrátka s nami budete v súlade s GDPR.

Chcete vedieť viac? Kontaktujte nás.

GDPR.pdf