GDPR  a  Ochrana osobných údajov,
ochrana utajovaných skutočností, bezpečnostné projekty

 Jedným z pilierov našej činnosti je zabezpečenie a spoľahlivá ochrana osobných, utajovaných a citlivých údajov podľa osobitých a individuálnych potrieb každého klienta. Spoločnosť  GREP Plus spol. s r. o. ponúka svojim zákazníkom vypracovanie Bezpečnostného projektu pre ochranu osobných údajov spracúvaných v informačných systémoch tak, aby organizácie mohli naplniť požiadavky  Nariadenia Európskeho parlamentu a rady (EÚ) 2016/ 679 o ochrane fyzických osôb pri spracúvaní osobných údajov a zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, alebo vypracovanie Bezpečnostného projektu pre ochranu utajovaných skutočností tak, aby organizácie mohli naplniť požiadavky zákona č. 215/2004 Z.z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov

GDPR (General Data Protection Regulation)     

Čo je GDPR ?

GDPR (General Data Protection Regulation) alebo všeobecné nariadenie na ochranu osobných údajov. Ide o nariadenie Európskej únie, ktoré upravuje a nahrádza doterajší zákon o ochrane osobných údajov.

Ochrana fyzických osôb v súvislosti so spracovávaním osobných údajov patrí medzi základné ľudské práva. Najdôležitejší je rešpekt súkromného a rodinného života či uchovávanie citlivých informácií o ostatných.

 

Nové nariadenie Európskeho parlamentu a Rady EÚ so sebou prináša balíček zmien v oblasti ochrany osobných údajov. Nariadenie s názvom GDPR – General Data Protection Regulation vstúpi do platnosti 25. mája 2018.

Toto potrebujete vedieť!

  1. Koho sa zmena týka? Nová legislatíva sa bude týkať všetkých podnikateľských subjektov, ktoré spracúvajú osobné údaje zamestnancov, zákazníkov alebo klientov. Takisto sa legislatívne zmeny dotknú aj sprostredkovateľov, akými sú účtovníci, právnici alebo reklamné agentúry.

  2. Nová definícia osobných dát. V rámci GDPR sa osobnými dátami stávajú údaje, ktoré vedú k identifikovaniu jednotlivca. Pre predstavu teda ide aj o údaje, ktoré sú prepojené s genetikou, duševným zdravím alebo sociálnou situáciou.

  3. GDPR vyžaduje prísnejšie pravidlá pre získanie súhlasu so spracovaním osobných údajov. Nový zákon bude kontrolovať spôsob, akým organizácie komunikujú s klientom pri získavaní súhlasu o spracovaní a použití osobných údajov. GDPR tak bude vyžadovať použitie jednoduchého jazyka a takisto bude musieť byť zreteľne jasné, prečo daná firma osobné údaje potrebuje, ako ich bude spracovávať a taktiež ako s nimi bude nakladať.

  4. Firmy a organizácie budú mať povinnosť určiť zodpovednú osobu. DPO – Data Protection Officer bude musieť byť pracovná pozícia, ktorá bude odborníkom na ochranu a spracovanie osobných údajov. Pozíciu okrem verejnej správy budú musieť obsadiť, respektíve dať do kompetencie osobe, zamestnancovi, ktorej pravidelnou činnosťou bude systematické monitorovanie a spracovanie osobných údajov.

  5. Únik osobných údajov sa musí oznámiť. Nové nariadenie GDPR ukladá za povinnosť, aby firma či organizácia informovala úrad pre ochranu osobných údajov o úniku do 72 hodín po zistení. Firma musí zaistiť proces, ktorým umožní odhalenie úniku a takisto jeho riešenie.

  6. Právo byť vymazaný. Právo na výmaz je v znení i terajších platných zákonov. Tentoraz však ak používateľ požiada o výmaz údajov, poskytovateľ posúdi oprávnenosť žiadosti a následne po splnení podmienok užívateľa musí údaje vymazať. Následne však musí informovať i spracovávateľov, ktorí údaje spracovali, o ich odstránení.

  7. GDPR žiada ochranu súkromia už v samotnom systéme. Ide teda o ochranu osobných údajov už v návrhu systému. Teda počiatočné fázy IT systémov pre spracovanie osobných dát musia vyhovovať samotným princípom ochrany.

  8. Povinné PIA – Privacy Impact Assessment. Tento nástroj je definovaný ako spôsob, ktorým možno odhaliť dopad ochrany osobných údajov na súkromie klientov. Ide teda o preverenie rizík spojených s možným únikom osobných dát. Takto sa ešte v procese vývoja dá zistiť, ako účinný projekt je.

  9. Jednotný prístup. Toto nariadenie sa dotýka každej spoločnosti a organizácie, ktorá podlieha úradu na ochranu osobných údajov, bez ohľadu na to, kde má sídlo.

  10. Sprostredkovatelia budú mať prísnejšie pravidlá. Účtovné či právnické firmy, ktoré spracúvajú osobné údaje klientov, budú musieť splniť určité nové podmienky. Ako napríklad viesť zoznam spracovateľských operácií každého klienta alebo využívať šifrovanie a chránenú komunikáciu.

  11. Spracúvanie údajov detských užívateľov. V tomto bode sa GDPR dotkne osôb mladších ako 16 rokov, kde sa pre spracovanie osobných údajov bude vyžadovať súhlas zákonného zástupcu (rozhranie API).

  12. Pokuty budú vyššie! Za porušenie nariadení týkajúcich sa spracúvania osobných údajov hrozí pokuta až do výšky 20 000 000 eur, prípadne pokuty do výšky 4 % svetového ročného obratu za predchádzajúci účtovný rok.

 

         Kedy príde v účinnosť?

Súbor ucelených pravidiel na ochranu dát nadobudne účinnosť 25.5.2018. Dotkne sa aj vás? V roku 2016 bolo GDPR schválené. Do 25. 5. 2018 musia všetci zrevidovať a zjednotiť informačné systémy a postupy pri práci s údajmi. Ich tok je v rámci Únie podporovaný a nariadenie zaručuje vysokú ochranu pred zneužitím citlivých informácií.

 

           Aké budú sankcie?

Záleží hlavne na charaktere a závažnosti incidentu. Pokuty však môže dosiahnuť až 4 % z celkového obratu spoločnosti či 20 miliónov eur. Podľa toho, ktorá suma je vyššia.

 

          Koho sa GDPR dotýka?

Každého, kto zhromažďuje a spracováva osobné údaje Európanov, vrátane spoločností a inštitúcií mimo EÚ, ktoré pôsobia na našom trhu. Nariadenie je platné pre firmy, inštitúcie, jednotlivcov – zamestnancov, zákazníkov, klientov aj dodávateľov naprieč všetkými odvetviami. Rovnako sa týka aj tých, ktorí analyzujú chovanie užívateľov webov a aplikácií.

• bankové inštitúcie a poisťovne
• zdravotníctvo
• verejná správa
• e-shopy
• výroba a služby

       

            V čom GDPR spočíva?

GDPR nahradí zákon o ochrane osobných údajov na SR. Cieľom je ochrana digitálneho práva všetkých občanov. Hlavým bodom je upravený spôsob spracovávania osobných údajov. Pri porušeniach hrozia vysoké pokuty. Viac nájdete v článku "Aké hlavné zmeny nás čakajú".   

 

           Najvýznamnejšie povinnosti:

• ustanovenie zodpovednej osoby
• upravenie príslušnej dokumentácie podľa novej právnej úpravy
• zmena súhlasu so spracovaním osobných údajov
• likvidačné pokuty za porušenie povinnosti

 

           Kedy je potrebné stanoviť zodpovednú osobu:
• orgán verejnej moci a verejnoprávny subjekt
• subjekty, ktorých hlavnou činnosťou sú spracovateľské operácie, ktoré si vyžadujú pravidelné monitorovanie osôb
• subjekty, ktoré spracovávaj informácie, ktoré sa týkajú viny za trestné činy

GDPR - ponuka

Ak potrebujete podrobnejšie vysvetlenie zmien, ktoré sa týkajú spracovávania osobných údajov, naštudujte si Nariadenie Európskeho parlamentu a rady (EÚ) 2016/ 679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa ruší smernica 95/46/ES.

Ak potrebujete vypracovať bezpečnostný projekt, je potrebné taktiež prihliadať na toto nové nariadenie a vypracovať ho podľa nového zákona. Vypracujeme bezpečnostný projekt podľa GDPR. Bude zahŕňať všetky potrebné položky, ktoré z nového zákona vyplývajú. 

 

Ak máte záujem o zabezpečenie ochrany osobných údajov podľa GDPR, požiadajte o bezplatnú

cenovú ponuku na:  info@grepplus.eu.  

Informácie Súbor k stiahnutiu

GDPR- Aké hlavné zmeny nás čakajú

Čas sa nám kráti a 25.5.2018 príde v účinnosť nové nariadenie z EÚ, pod názvom GDPR (General data protection regulation), ktoré bude upravovať doterajší platný zákon o ochrane osobných údajov. Nevyhne sa mu nikto, kto spracuváva alebo zhromažďuje osobné údaje Európanov. Porušenie môže mať likvidačné následky.


Hlavné zmeny a povinnosti, ktoré na vás čakajú a je potrebné ich zabezpečiť:

  • pre stanovené subjekty ustanoviť zodpovednú osobu,

  • upraviť prispôsobiť príslušnú dokumentáciu novej právnej úprave,

  • čakajú vás zmeny v oblasti súhlasu so spracúvaním osobných údajov,

  • zavedenie likvidačných pokút za porušenie povinností (pokuty až do 20 miliónov eur),

  • nové práva dotknutých osôb (napr. právo byť zabudnutý),

  • viaceré nové povinnosti pre osoby spracúvajúce osobné údaje.

Kto je zodpovedná osoba podľa GDPR?

Jednou z noviniek, ktoré sú spojené s nariadením GDPR, je ustanovenie zodpovednej osoby pre vybrané subjekty. 

Zodpovedná osoba podľa GDPR bude mať za úlohu dohliadať na ochranu osobných údajov zákazníkov, pacientov, študentov a iných skupín osôb. 

 

Koho sa týka povinnosť mať zodpovednú osobu?

Ustanoviť zodpovednú osobu musíte podľa GDPR v týchto prípadoch:

• spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt (obce, základné školy, stredné školy, univerzity ,a pod.),
• hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, kde je potrebné systematické monitorovanie dotknutých osôb vo veľkom rozsahu,
• hlavnými činnosťami je spracúvanie osobitných kategórií údajov vo veľkom rozsahu alebo týkajúcich sa uznania viny za trestné činy a priestupky.

 

Jedna zodpovedná osoba pre skupinu podnikateľov?

S povinnosťou mať zodpovednú osobu podľa GDPR sú spojené aj dodatočné náklady. Poteší možno informácia, že skupina podnikateľov môže mať jednu a tú istú zodpovednú osobu. Podmienkou len je, aby bola zodpovedná osoba jednoducho dostupná v rámci jednotlivých podnikov. 


Ak teda chcete ušetriť náklady, nemusíte mať vlastného človeka na ochranu osobných údajov. Jednoducho Vám zodpovednú osobu zabezpečíme my. 

 

Funkciu zodpovednej osoby môže zastávať zamestnanec, prevádzkovateľ alebo aj externý špecialista, ktorý bude plniť jej úlohu na základe zmluvy. 

 

Ak nesplníte povinnosť, hrozí sankcia

Ak nesplníte povinnosť, ktorá vám z nariadenia GDPR vyplýva, hrozí vám vysoká pokuta. Pokuta môže siahať až do výšky 20 000 000 EUR alebo do výšky 2% z celkového ročného celosvetového obratu za predchádzajúce účtovné obdobie.


Preto odporúčame, aby ste nebrali nariadenie GDPR na ľahkú váhu. 

 

ochrana osobných údajov

Ponúkame vypracovanie kompletného bezpečnostného projektu a jeho aktualizáciu v zmysle zákona č.122/2013 Z.z.

 

Ochrana osobných údajov, ochrana utajovaných skutočností, bezpečnostné projekty

 

Jedným z pilierov našej činnosti je zabezpečenie a spoľahlivá ochrana osobných, utajovaných a citlivých údajov podľa osobitých a individuálnych potrieb každého klienta. Spoločnosť  GREP Plus spol. s r. o. ponúka svojim zákazníkom vypracovanie Bezpečnostného projektu pre ochranu osobných údajov spracúvaných v informačných systémoch tak, aby organizácie mohli naplniť požiadavky zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Tvorba bezpečnostného projektu je náročný proces, v ktorom je potrebné zmapovať interné prostredie organizácie, identifikovať spracúvané osobné údaje a zhodnotiť a navrhnúť spôsoby ich ochrany. Organizácie si často neuvedomujú, že Zákon o ochrane osobných údajov sa nevzťahuje len na osobné údaje spracúvané v počítačových systémoch, ale aj na osobné údaje uložené v kartotékach, alebo spracúvané iba v papierovej podobe. Častým dôsledkom tvorby dobrého bezpečnostného projektu sú úpravy v IT prostredí organizácie. Z tohto pohľadu je výhodou vypracovať bezpečnostný projekt v rámci tvorby systému manažmentu informačnej bezpečnosti.

Bezpečnostný projekt

V zmysle zákona č. 122/2013 Z.z. za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania.

Prevádzkovateľ prijme opatrenia vo forme bezpečnostného projektu informačného systému a zabezpečí jeho vypracovanie, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13 zákona č. 122/2013 Z.z. (v znení zákona č. 84/2014 Z.z.).

Čo ponúkame:

Postup spracovania Bezpečnostného projektu

Každý bezpečnostný projekt je jedinečný dokument, závislý na konkrétnych podmienkach a spôsobe spracovania osobných údajov. Pri jeho spracovaní sa prihliada na konkrétne okolnosti daného informačného systému v oblasti fyzickej - objektovej, personálnej a informačnej bezpečnosti.

Bezpečnostný projekt informačného systému obsahuje:

Bezpečnostný zámer

Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti. Bezpečnostný zámer obsahuje najmä:

a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení;

 

b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia;

 

c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti;

 

d) vymedzenie hraníc určujúcich množinu zvyškových rizík.

 

Analýza bezpečnosti informačného systému

Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s vymedzením rozsahu jeho odolnosti a zraniteľnosti. Analýza bezpečnosti obsahuje najmä:

a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb pre dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení na elimináciu alebo minimalizáciu vplyvu rizík a s vymedzením súpisu nepokrytých rizík;

b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardami, metódami a prostriedkami.

Bezpečnostná smernica

Bezpečnostná smernica obsahuje najmä:

a) popis technických, organizačných a personálnych opatrení a spôsob ich uplatňovania v konkrétnych podmienkach;

b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb;

c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov;

d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému;

e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.

  • Vypracovanie kompletného bezpečnostného projektu v zmysle zákona č.122/2013 Z.z.
  • Aktualizáciu (zosúladenie) projektov s novelou zákona o OOU č. 122/2013 Z.z.
  • Aktualizáciu bezpečnostného projektu pri zmene v spracúvaní osobných údajov.
  • Bezpečnostný zámer;
  • Analýzu bezpečnosti informačného systému;
  • Bezpečnostnú smernicu.