slide 1 slide 2 slide 2 slide 2

vaše sny, naše riešenia

viac


NARIADENIE O OCHRANE OSOBNÝCHÚDAJOV - DPR


Od 25.05.2018 vstúpi do platnosti nariadenie Európskeho parlamentu a rady EU č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov známe pod skratkou GDPR. GDPR sa bude vzťahovať na všetky spoločnosti a inštitúcie bez ohľadu na geografickú polohu, ktoré spracovávajú akékoľvek typy osobných údajov občanov EÚ.

To, či je potrebné implementovať nariadenie vo Vašej organizácii/spoločnosti závisí od toho do akej miery narábate s osobnými údajmi. V praxi však existuje len málo firiem, ktoré si budú môcť dovoliť nariadenie GDPR ignorovať.

Z hľadiska prenosu nariadenia GDPR a z neho vychádzajúceho novelizovaného zákona o ochrane osobných údajov do praxe je potrebné poznať kľúčové formálne a technické zmeny a novo zavádzajúce pojmy obsiahnuté v GDPR ako je:

Rozšírenie a spresnenie jednotlivých práv dotknutých osôb, a to:
• právo na opravu;
• právo na výmaz;
• právo na obmedzenie spracúvania;
• právo na prenosnosť údajov;
• právo namietať;
• právo namietať automatizované individuálne rozhodovanie a profilovanie.

Právo dotknutej osoby byť zabudnutý
Ktoré znamená že organizácia, ktorá spracováva osobné údaje je v prípade splnenia taxatívne určených podmienok povinná vymazať všetky osobné údaje.

Pseudonymizácia a šifrovanie osobných údajov
Pričom zabezpečenie údajov musí vychádzať z rizík týkajúcich sa právo a slobody fyzických osôb (teda nie rizikám, ktorým čelí samotná organizácia ).

Povinnosť prijať primerané technické, organizačné a personálne bezpečnostné opatrenia a záruky zo strany prevádzkovateľa ako aj sprostredkovateľa, ktoré zohľadňujú najmä:
povinnosť prevádzkovateľa posúdiť vplyv na ochranu osobných údajov, ktorý musí obsahovať aspoň:
• systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu
• posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu
• posúdenie rizika pre práva a slobody dotknutých osôb vo vzťahu k rizikovým spracovateľským operáciám
• opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením

Oznámenie o porušení zabezpečenie osobných údajov
Podľa ktorého je nutné nahlásiť porušenie zabezpečenia osobných údajov dozornému úradu v pevne vymedzenom časovom limite a to do 72 hodín od vzniku incidentu.

Povinnosť viesť záznamy o činnostiach
Povinnosť viesť záznamy o činnostiach pri ktorých dochádza k spracovaniu osobných údajov, pričom je stanovený minimálny rozsah informácií, ktoré má takáto evidencia obsahovať .

Zámerná a štandardná ochrana osobných údajov
Znamená už pri návrhu nového systému, služby alebo procesu, pri ktorom dochádza k spracovávaniu osobných údajov počítať už od začiatku s opatreniami potrebnými na ochranu osobných údajov.

Povinnosť prevádzkovateľov za preukázanie súladu so zásadami ochrany údajov definovanými v GDPR .

Poverenie osoby pre ochranu osobných údajov tzv. - Data Protection Officer - DPO, ktorá bude zabezpečovať, že organizácia nakladá so všetkými osobnými údajmi v zmysle nariadenia GDPR.

Sankcie
Nariadenie GDPR presne uvádza, že za porušenie ustanovení môžu byť uložené správne pokuty. Maximálna výška pokút závisí na závažnosti porušenia, pričom za menej vážne poručenia hrozí pokuta v maximálnej výške 10 mil. eur alebo 2 % z celkového celosvetového obratu spoločnosti za predošlý rok (podľa toho, ktorá z týchto čiastok je vyššia ). U závažnejších priestupkov môže výška pokuty dosiahnuť až do 20 mil. eur alebo 4 % celkového celosvetového obratu spoločnosti.

Projekt zabezpečenia súladu s GDPR vo Vašej organizácii/inštitúcii pozostáva z:


Analytickej fáza
• Revízia existujúceho stavu zabezpečenia ochrany osobných údajov – Identifikácia kľúčových rizík a možných problémov
• Popísanie životného cyklu spracúvania osobných údajov
• Analýza komunikačných postupov
• Analýza rizík
• Vypracovanie zoznamu nedostatkov spolu s návrhom opatrení (formálnych aj technických) vedúcich k ich odstráneniu
• Spracovanie novej dokumentácie pre ochranu osobných údajov v zmysle GDPR, alebo aktualizácia existujúcej
• Spracovanie metodiky hlásenia bezpečnostných incidentov
• Analýza budúcich systémov a projektov, prenesenie ochrany osobných údajov do existujúcich postupov plánovania projektov a služieb
• DPO – zabezpečenie externej služby Zodpovednej osoby, vrátane dlhodobej aktualizácie a udržiavania metodík ochrany osobných údajov

Implementačná fáza
• Odstránenie nedostatkov identifikovaných počas auditu
• Návrh potrebného HW/SW vybavenia – IDS, IPS, DLP, šifrovanie, anonymizácia, pseudonymizácia, cookie banner atď.
• Návrh zmien v architektúre internej infraštruktúry
• Implementácia riešenia