GDPR

General Data Protection Regulation

Od 25. mája 2018 začne v celej Európskej únií platiť Nariadenie Európskeho parlamentu a Rady (EU) 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov, takzvané GDPR. Ide o prelomový právny akt, ktorý zjednocuje ochranu osobných údajov v celej EÚ a dopadá na všetky subjekty, ktoré osobné údaje spracovávajú.

 

Poskytneme Vám komplexnú podporu pre splňenie zhody s GDPR

Spoločnosť poskytujúca peňažné produkty od viacerých finančných inštitúcií dostala za úlohu byť v zhode s Obecným nariadením o ochrane o osobných údajov (2016/679).

Zákazník dlhodobo pracuje s AEC, preto sa na nás obrátil s požiadavkou na súčinnosť, hlavne pri identifikácií účelu používania osobných údajov, ukladania a overovania stavu zhody voči GDPR.

V prvej fáze boli formou interview identifikované všetky typy a rozsah osobných údajov, s ktorými sa pracuje interne v spoločnosti vrátane súvisiacich účelov spracovania. V následnom kroku bola overená zákonnosť týchto účelov a boli navrhnuté prvé úpravy a zmeny, tak aby bola dosiahnutá zákonitosť spracovania v plnom rozsahu. Výstupom bol prehľad spracovania osobných údajov.

V druhej fáze sa sme sa zamerali na jednotlivé opatrenia určené k ochrane osobných údajov a ich súlad s požiadavkami nariadenia. Pretože toto nariadenie má iba rámcové vymedzenie bezpečnostných opatrení, po dohode s klientom bol referenčnou normou zvolený štandard IEC/ISO 27001:2013. Výstupom bola správa o stave zhody s požiadavkami nariadenia 2016/679 a plán bezpečnosti obsahujúci všetky potrebné údaje opatrenia k realizácií, aby bol zaistený úplný súlad s Obecným nariadením o ochrane osobných údajov (2016/679).

Nové povinnosti

​Stručne a zjednodušene povedané dochádza k významnému sprísneniu regulácie v oblasti spracovania osobných údajov. Nové podmienky budú v rámci organizácie vyžadovať nielen úpravu existujúcich procesov, ktoré súvisia so spracovávaním, ale budú znamenať povinnú implementáciu množstva ďalších opatrení.

Táto nová európska norma vyžaduje veľmi komplexný prístup k celej problematike ochrany informácií, hoci je zameraná iba na osobné údaje. V rámci automatizovaného spracovania osobných údajov vznikajú nové povinnosti vedúce k väčšej transparentnosti, ale predovšetkým bezpečnosti.

To možno docieliť prijatím vhodných konkrétnych opatrení nielen v oblasti bezpečnosti IT, ale aj bezpečnosti fyzickej, administratívnej, organizačnej a procesnej. Je nevyhnutné všetky tieto oblasti komplexne prepojiť tak, aby celá ochrana osobných údajov fungovala ako jednoliaty systém.

Nie je možné zabezpečiť dostatočnú ochranu osobných údajov bez toho, aby existovala náväznosť medzi riadiacimi dokumentami, ktoré vychádzajú z definovaných procesov a postupov a nie sú podporené zodpovedajúcou organizačnou štruktúrou a správne aplikovanými technológiami.

 

Riešenie od AEC

​S využitím viac ako dvadsaťpäť rokov skúseností v informačnej bezpečnosti a informačných technológiách ponúkame širokú škálu produktov a služieb, s ktorých pomocou je možné naplniť hlavnú časť požiadaviek novej európskej legislatívnej normy. Na splnenie požiadaviek európskej únie nemusíte využívať interné zdroje. Naši špecialisti Vám pomôžu s množstvom opatrení. Tento druh outsourcingu je pre Vás finančne výhodnejší. Náročnosť GDPR vyžaduje komplexný prístup k riadeniu ochrany osobných údajov. AEC ponúka unikátne prepojenie znalostí v oblasti systematického riadenia bezpečnosti informácií a nasadenie vhodných bezpečnostných technológií.

Analýza súladu s požiadavkami GDPR

Základom pre správnu implementáciu požiadaviek GDPR je detailné porovnanie aktuálneho stavu ochrany osobných údajov s požiadavkami definovanými nariadením. Iba tak je možné zabezpečiť efektívnu implementáciu všetkých požiadaviek GDPR. AEC Vám vypracuje detailnú analýzu a odporučí vhodný postup a rozsah implementácie.

Návrh a implementácia procesov a metodík

GDPR je založené na princípoch „privacy by design“ a „risk based approach“.To vyžaduje nielen zavedenie nových bezpečnostných procesov a metodík v rámci organizácie, ale často bude mať dopad napr.na architektúru informačného systému a aplikácií. Jedná sa hlavne o postupy hlásenia bezpečnostných incidentov, informačnej povinnosti alebo práva na výmaz. AEC navrhne a zavedie procesy a metodiky upravené pre prostredie danej organizácie.

Spracovanie riadiacich dokumentov

Nevyhnutnou súčasťou ochrany osobných údajov je zodpovedajúca riadiaca dokumentácia (politiky, smernice atď.), ktorú organizácia mimo iného dokladá k plneniu požiadaviek GDPR s ohľadom na existujúce interné politiky a procesy.

Implementácia technických opatrení

Základnou požiadavkou GDPR je zaistenie ochrany osobných údajov, zaručenie ich dôvernosti, dostupnosti a integrity. K tomu je nevyhnutné implementovať dostatočné technické opatrenia k ich zabezpečeniu alebo k identifikácií porušenia bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atď.).

Data Protection Impact Assessment

Analýza dopadov na osobné údaje je jedným zo základných nástrojov ako zaistiť vysokú bezpečnosť osobných údajov pri akomkoľvek spracovaní osobných údajov, ako napr. profilovanie, realizácia monitoringu verejne prístupných priestorov, atď. AEC posúdi povinnosť danej organizácie realizovať DPIA a pokiaľ táto povinnosť vznikne, navrhne vhodný spôsob implementácie DPIA do existujúcich metodík. Ďalej AEC zaistí aj samotné spracovanie konkrétnej DPIA analýzy, vrátane prípadnej konzultácie s Úradom na ochranu osobných údajov.

Poverenec na ochranou osobných údajov – DPO

Jedným z nových požiadaviek GDPR je ustanovenie poverenca pre ochranu osobných údajov – Data Protection Officer. Táto rola vyžaduje s dostatočnou praxou a skúsenosťami v oblasti osobných údajov (predpokladá sa nedostatok na trhu). Túto rolu je možné realizovať aj formou outsourcingu. AEC formou služby zaistí plnenie všetkých povinností DPO s využitím svojich skúsených konzultantov.

Implementácia GRC riešení

GDPR prináša hlavne pre veľké organizácie spracovávanie veľkého objemu osobných údajov. Riešenie GRC (Governance, Risk and Compliance) môžu byť v takomto prípade zásadným prvkom, ktorý umožní efektívne riadenie ochrany osobných údajov a plnenie požiadaviek GDPR, vrátane monitoringu miery súladu (compliance). AEC zaistí optimálny návrh a implementáciu vhodného GRC riešenia nielen pre potreby GDPR. Pre tieto potreby disponuje tímom skúsených konzultantov.

Referencie

Dlhodobo spolupracujeme s firmami a organizáciami na Slovenskom trhu. Medzi našimi zákazníkmi nájdete nadnárodné spoločnosti, ale aj malé firmy a drobných podnikateľov. Všetkým vychádzame v maximálnej miere v ústrety a poskytujeme služby na mieru s ohľadom na ich veľkosť a oblasť pôsobenia. Konkrétne referencie Vám na požiadanie predložíme.