Bezpečnostná politika GDPR

V Slovenskej republike problematiku ochrany osobných údajov upravuje zákon NR SR č. 18/2018 Z. z. o ochrane osobných údajov, účinný od 25.mája 2018, v znení neskorších predpisov. NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).

Implementácia bezpečnostnej politiky GDPR pomáha prevádzkovateľovi identifikovať najefektívnejší spôsob, akým uviesť pravidlá na ochranu osobných údajov do súladu s GDPR, predstavuje výsledný produkt analytickej časti riešenia ochrany osobných údajov prevádzkovateľa v zmysle normatívy článku 32 Všeobecného nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46 / ES (General Data Protection Regulation ďalej len „GDPR“) a § 39 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) analýzy bezpečnosti informačných systémov prevádzkovateľa (ďalej len „IS“)

Podľa zásady zodpovednosti je prevádzkovateľ zodpovední za súlad so základnými zásadami spracúvania osobných údajov podľa článku 5 ods. 1 GDPR, pričom tento súlad musia vedieť preukázať kontrolnému organu Úrad na ochranu osobných údajov.

Čo tvorí GDPR dokumentáciu

Súčasťou nami vypracovanej Bezpečnostnej dokumentácie GDPR je aj poradenstvo a súbor aktivít na zabezpečenie celkového súladu Vašej organizácie so všetkými relevantnými ustanoveniami zákona č.18/2018 Z.z. o ochrane osobných údajov. Súčinnosť pri kontrole s Úradom ochrany osobných údajov.

Dokumentácia súladu s GDPR môže podľa potreby, preferencií a okolností konkrétneho prípadu obsahovať aj:
  • zavedenie primeranej politík ochrany osobných údajov podľa článku 24 ods. 2 GDPR zohľadňujúc pritom prvky štandardnej a špecifickej ochrany osobných údajov podľa článku 25 GDPR;
  • informačnú povinnosť voči dotknutým osobám v zmysle čl.13 Nariadenia;
  • oznámenia podľa čl. 15 až 22 a čl. 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho;
  • aktuálne podmienky ochrany osobných údajov prevádzkovateľa, ktoré používa na svojej Webstránke;
  • dokumentáciu prijatých bezpečnostných opatrení vrátane prípadnej analýzy dopadov na práva a slobody fyzických osôb;
  • bezpečnostné smernice;
  • prijatie primeraných bezpečnostných opatrení podľa článku 32, 33 a 34 GDPR;
  • vzorový interný formulár na zdokumentovanie bezpečnostného incidentu v súlade s čl. 33 ods. 5 GDPR;
  • uzatvorenie zmlúv so sprostredkovateľmi alebo spoločnými prevádzkovateľmi podľa článkov 26 alebo 28 GDPR;
  • vyhodnotenie preváženia oprávnených záujmov, ktoré sleduje prevádzkovateľ nad záujmami, právami a slobodami dotknutých osôb ak sa prevádzkovateľ spolieha na oprávnený záujem v zmysle čl. 6 ods. 1 písm. f) GDPR;
  • vedenie záznamov o spracovateľských činnostiach podľa článku 30 GDPR;
  • vykonanie posúdenia vplyvu a prípadnej predchádzajúcej konzultácie podľa článku 35 a 36 GDPR;
  • vymenovanie zodpovednej osoby podľa článkov 37 až 39 GDPR;
  • určenie „oprávnených osôb“ najmä so zámerom obmedziť ich počet, ak je to možné;
  • pokyny zamestnancom podľa čl. 29 GDPR (udelenie všeobecných pokynov možno preukázať písomnými pokynmi zamestnancov);
  • určenie kontaktnej osoby, na ktorú sa môže dotknutá osoba obrátiť a ktorá vybavuje požiadavky dotknutých osôb;

Miesto spracovania

1/ U klienta
2/ Možnosť vzdialenej komunikácie – prostredníctvom Profilového auditného dotazníka, telefonicky, mailovou komunikáciou

Postup

  • Identifikácia všetkých informačných systémov, aplikácií, softvéru (na horizontálnej úrovni) v prepojení so všetkými pracovnými pozíciami, pri ktorých prebieha spracúvanie osobných údajov v prostredí prevádzkovateľa (na vertikálnej úrovni), až po úroveň jednotlivých procesov, vrátane každej individuálnej spracovateľskej operácie.
  • Identifikácia všetkých prostriedkov spracúvania osobných údajov (softvér, hardvér, kamery, úložné zariadenia pre neautomatizované spracúvanie a pod.)
  • Mapovanie životného cyklu osobných údajov v jednotlivých informačných systémoch od momentu ich získania až po ich likvidáciu (účel spracúvania, právny základ, zoznam/rozsah osobných údajov, všetky spracovateľské operácie (napr. získavanie, prehliadanie, zoskupovanie, poskytovanie, zverejňovanie, likvidácia).

  • Identifikácia zmluvných (obchodných) partnerov.

  • Automatizovanej aj neautomatizovanej forme - spôsob uchovávania údajov, lehoty uchovávania, minimalizácia uchovávania, právny základ, primeranosť
  • Stanovenie jednotlivých krokov na zabezpečenie súladu zo zákonom.