Bezpečnostní dokumentace GDPR

Naším úkolem v rámci poskytovaných služeb je i komplexní vypracování bezpečnostní dokumentace každému klientovi na míru tak, aby dokumentace obsahovala všechny potřebné náležitosti v souladu s Nařízením EVROPSKÉHO PARLAMENTU a RADY EU 2016/679 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů a se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně a doplnění některých zákonů. Pro komplexní a kvalitní zpracování dokumentace je třeba provést:

1. Analýzu stavu ochrany osobních údajů a identifikaci všech operací s osobními údaji, která je základem pro správné nastavení procesů, kterými se bude zajišťovat soulad s nařízením GDPR. Na základě důkladně provedené analýzy víme:

  • zmapovat tok osobních údajů​,
  • identifikovat, s jakou kategorií osobních údajů pracujete (běžné nebo citlivé osobní údaje),
  • definovat všechny operace, které s osobními údaji provádíte,
  • definovat třetí strany, kterým jsou osobní údaje poskytovány, ať už na základě smluvního vztahu nebo zákonné povinnosti,,
  • zjistit, zda máte dostatečně zajištěnou ochranu osobních údajů, a to v oblasti objektové bezpečnosti, personální bezpečnosti a IT zabezpečení.

2. Vypracování všech potřebných dokumentů pro zajištění souladu s GDPR, při kterých nadefinujeme všechny postupy osobních údajů a navržené procesy pro zajištění ochrany osobních údajů. Tato dokumentace musí obsahovat:

  • Analýzu rizik, jejímž obsahem je kvantifikace všech možných hrozeb a dopadů na ochranu osobních údajů,
  • Bezpečnostní politiku, kde jsou popsány základní bezpečnostní opatření nezbytná pro zachování integrity osobních údajů,
  • Směrnice sloužící k usměrnění osob, které pracují s osobními údaji. Obsahují popis postupů, jak zacházet s osobními údaji v různých situacích (poskytování informací dotčeným osobám nebo při vzniku bezpečnostních incidentů),
  • Informační povinnost připravenou na míru, abyste pomocí ní mohli informovat všechny dotčené osoby o tom, jaké osobní údaje o nich zpracováváte, komu je dále poskytujete a jaké jsou práva subjektů údajů,
  • Zprostředkovatelské smlouvy, které slouží k zajištění ochrany osobních údajů při poskytování dat ke zpracování dalšímu správci. Tyto vzorové smlouvy jsou připravovány pro každého zprostředkovatele zvlášť, a to na základě typu služby, kterou zprostředkovatel poskytuje správci,
  • Všechny potřebné formuláře, které jsou vypracovávány na míru podle účelu a zpracování osobních údajů (souhlasy, pověření, záznamy a jiné).
Bezpečnostní dokumentace GDPR

Máte zájem o tuto službu?

Pověřenec pro ochranu osobních údajů (DPO)

Prostřednictvím našeho vlastního a odborného týmu Vám zabezpečíme komplexní službu pověřence pro ochranu osobních údajů, který je plně způsobilý vykonávat tuto funkci na základě podmínek stanovených v článku 37 Nařízení GDPR. Pověření pověřence pro ochranu osobních údajů stanovilo nařízení správcům jako povinné. Nicméně i správce, kteří tyto podmínky nesplňují, mají možnost rozhodnout se, že si pověřence určí.

Pověřenec pro ochranu osobních údajů pomůže správcům udržovat stálý přehled o správnosti postupů v oblasti nakládání s osobními údaji ve své organizaci. Tato služba zahrnuje výkon všech legislativních povinností, které pověřenci ukládá přímo Nařízení GDPR a zákon č. 18/2018 Sb. o ochraně osobních údajů. Službu pověřence pro ochranu osobních údajů jsme rozšířili o kontrolní činnost a pravidelný dohled nad ochranou osobních údajů. Zjednodušeně můžeme říci, že pověřenec zajišťuje pravidelný monitoring správnosti při zpracování osobních údajů.

V rámci této služby jsme nastavili proces, prostřednictvím kterého víme u klienta docílit soulad s Nařízením GDPR a zákonem č. 18/2018 Sb. o ochraně osobních údajů. Díky níže uvedeným krokem budou procesy a problematika ochrany osobních údajů ve Vaší společnosti zabezpečené snadněji a jednodušeji:

1. Analýza stavu ochrany osobních údajů a identifikace všech operací s osobními údaji

Analýza stavu ochrany osobních údajů vzhledem k Nařízení GDPR je základem pro správné seřízení procesů. Na základě důkladně provedené analýzy dokážeme:

  • zmapovat tok osobních údajů a definovat všechny operace, které s osobními údaji provádíte,
  • definovat třetí strany, kterým jsou osobní údaje poskytovány (na základě smluvního vztahu nebo zákonné povinnosti),
  • identifikovat, s jakou kategorií osobních údajů zacházíte (běžné osobní údaje nebo citlivé osobní údaje),
  • zjistit, zda máte dostatečně zajištěnou ochranu osobních údajů, a to v oblasti objektové bezpečnosti, personální bezpečnosti a IT zabezpečení.

2. Komplexní vypracování všech potřebných dokumentů pro zajištění souladu s Nařízením GDPR

Po prvotní analýze je třeba vypracovat všechny dokumenty a formuláře, ve kterých budou definovány všechny toky osobních údajů a navržené procesy pro zajištění ochrany osobních údajů. Tato dokumentace musí obsahovat:

  • Analýzu rizik, v níž jsou kvantifikovány všechny možné hrozby a dopady na ochranu osobních údajů.
  • Bezpečnostní politiku, která obsahuje popis základních bezpečnostních opatření nezbytných pro zachování integrity osobních údajů.
  • Směrnice, které slouží k usměrnění pro osoby pracující s osobními údaji. Obsahem je popis postupů, jak zacházet s osobními údaji nebo jak se zachovat v rámci různých situací, ať už při poskytování informací subjektům údajů nebo při vzniku bezpečnostních incidentů.
  • Zprostředkovatelské smlouvy, které slouží k zajištění ochrany osobních údajů při poskytování dat ke zpracování dalšímu správci. Tyto vzorové smlouvy jsou připravovány pro každého zprostředkovatele samostatně, a to na základě druhu služby, kterou zprostředkovatel poskytuje správci.
  • Informační povinnost, jejímž prostřednictvím můžete informovat všechny subjekty údajů o tom, jaké osobní údaje o nich zpracováváte, komu je dále poskytujete a jaké jsou práva subjektu údajů.
  • Všechny potřebné formuláře - souhlasy, pověření, záznamy a jiné. Tyto dokumenty vypracujeme každému klientovi na míru přesně podle účelu a zpracování osobních údajů.

3. Implementace Nařízení GDPR, kterou považujeme za jednu z nejdůležitějších činností při poskytování našich služeb. Analýzu a všechny dokumenty Vám pomůžeme uvést do praxe. Seřízení ochrany osobních údajů není jen o vypracování kroků v papírové podobě, ale hlavně o NASTAVENÍ systému ochrany osobních údajů, přijetím určitých bezpečnostních opatření, a to v rámci:

  • objektové bezpečnosti - pomůžeme Vám s návrhem řešení pro zlepšení ochrany osobních údajů přesně podle kategorie Vámi zpracovávaných dat (mzdová agenda, účetní agenda, zdravotní dokumentace, kamerový systém, matrika a.i.),
  • personální bezpečnosti - vyškolíme všechny Vaše zaměstnance o tom, jak postupovat při zpracovávání osobních údajů, jak je chránit a jak předcházet bezpečnostním incidentům, případně o tom, jak správně postupovat při sběru či poskytování informací o zpracování osobních údajů,
  • IT bezpečnosti - pomůžeme Vám s návrhem bezpečnostních opatření v rámci kybernetického prostoru a vyškolíme oprávněné osoby v oblasti sociálního inženýrství, aby byly osobní údaje subjektů údajů chráněny i v této oblasti.

4. Pravidelná péče a poradenská činnost

Problematika ochrany osobních údajů je rozsáhlá a neustále se rozširuje. Pravidelná poradenská činnost pověřence pro ochranu osobních údajů Vás jako provozovatele odlehčí o starost sledovat nové pokyny a novelizaci zákonů. Všechny změny v rámci ochrany osobních údajů bude pro Vás monitorovat Váš pověřenec, a v souladu se změnami Vám bude připravovat potřebné formuláře a informovat vás o aktuálním dění v problematice ochrany osobních údajů. Také u Vás bude provádět periodickou kontrolní činnost a školení v dohodnutých intervalech, aby se předcházelo možným pochybením při zpracování osobních údajů.

V případě, že se rozhodnete rozšířit portfolio Vašich služeb, tak si s pomocí našeho pověřence můžete být jisti, že každé nové zpracování osobních údajů bude v souladu s platnou legislativou.

Pověřenec pro ochranu osobních údajů (DPO)

Máte zájem o tuto službu?

Bezpečnostní správce

Součástí bezpečnostní dokumentace na ochranu osobních údajů je i doporučení, aby si naši klienti ve své společnosti pověřili bezpečnostního správce.

Bezpečnostní správce v otázkách ochrany osobních údajů zajišťuje bezpečnost automatizovaných a neautomatizovaných informačních systémů, v rámci kterých dochází ke zpracování osobních údajů. Základním úkolem bezpečnostního správce je dohlížet na zpracování osobních údajů obsažených v automatizovaných a neautomatizovaných informačních systémech z hlediska bezpečnostních funkcí a přístupů tak, aby byly dodržovány všechny požadavky bezpečnostní politiky a bezpečnostní směrnice. Těžiště jeho činnosti bude spočívat v řízení a kontrole bezpečnostních funkcí systému. Tyto činnosti budou definovány a konkretizovány v bezpečnostní směrnici informačního systému, která bude součástí technických a organizačních opatření. Bezpečnostní správce se podílí i na šetření bezpečnostních incidentů.

Bezpečnostní správce musí detailně znát operační systémy (včetně jejich síťových vlastností, bezpečnostních nastavení) výpočetní a technické prostředky, komunikační podsystém, topologii automatizovaných informačních systémů a aplikace, které zpracovávají osobní údaje v informačních systémech. Současně je povinen znát a dodržovat i obecné zásady bezpečnosti informačního systému a zásady dodržování bezpečnosti v oblasti zpracování osobních údajů.

Naše společnost v rámci svých činností nabízí mimo jiné i službu bezpečnostního správce, který je svými odbornými znalostmi způsobilý vykonávat tuto funkci. Pro bližší informace nás neváhejte kontaktovat na adrese info@topprivacy.sk.

Bezpečnostní správce

Máte zájem o tuto službu?

Průmyslová bezpečnost a utajované skutečnosti

Nabízíme komplexní služby pro získání průmyslové bezpečnosti (prověrky Národního bezpečnostního úřadu) u podnikatelských subjektů (právnické osoby, fyzické osoby) v souladu se zákonem č. 215/2004 Sb. o ochraně utajovaných skutečností, ve znění pozdějších zákonů.

Služba se poskytuje podnikatelům, kteří v souladu se zákonem č. 215/2004 Sb. o ochraně utajovaných skutečností, ve znění pozdějších zákonů a vyhlášky Národního bezpečnostního úřadu č. 301/2013 Sb. potřebují získat potvrzení o průmyslové bezpečnosti na příslušný stupeň utajení, pokud předpokládají:

  • poskytovat služby orgánům státní správy, v jejímž rámci jim bude třeba postupovat utajované informace nebo,
  • obchodovat s vojenským materiálem nebo,
  • provádět letecké snímkování.

Analýza, doporučení a zpracování základních dokumentů potřebných na prověrku obsahuje:

  • analýzu prostředí, ve kterém se předpokládá zpracování utajovaných skutečností,
  • doporučení stupně utajení, chráněného prostoru, způsobu zpracování utajovaných skutečností na technickém prostředku, způsobu zabezpečení administrativní, resp. personální bezpečnosti na základě analýzy utajovaných skutečností příslušných státních orgánů a předpokládaných obchodních zájmů klienta,
  • zpracování bezpečnostního projektu podnikatele podle vyhlášky Národního bezpečnostního úřadu č. 301/2013 Sb.,
  • zpracování žádosti o vydání potvrzení o průmyslové bezpečnosti podnikatele,
  • zpracování, resp. poskytování součinnosti při zpracování příslušných žádostí a prohlášení, které jsou požadovány k provedení prověrky,
  • zpracování směrnice personální bezpečnosti podle vyhlášky Národního bezpečnostního úřadu č. 134/2016 Sb.

Zpracování speciálních dokumentů

  • zpracování příslušné dokumentace a směrnice administrativní bezpečnosti v souladu se zákonem č. 215/2004 Sb. a vyhlášky Národního bezpečnostního úřadu č. 48/2019 Sb., kterou se stanoví podmínky o administrativní bezpečnosti,
  • zajištění dokumentace (Bezpečnostní projekt na technický prostředek, směrnice, příslušné formuláře) potřebné k certifikaci technického prostředku pro zpracování utajovaných skutečností v souladu se zákonem č. 215/2004 Sb. a vyhlášky Národního bezpečnostního úřadu č. 339/2004 Sb. o bezpečnosti technických prostředků,
  • nastavení a příprava technického prostředku na certifikaci (bezpečnostní nastavení),
  • návrh a optimalizace chráněného prostoru podle vyhlášky Národního bezpečnostního úřadu č. 336/2004 Sb. o fyzické bezpečnosti a objektové bezpečnosti ve znění vyhlášky Národního bezpečnostního úřadu č. 315/2006 Sb.,
  • zpracování dokumentace fyzické bezpečnosti a objektové bezpečnosti,
  • zpracování knihy kontrol, knihy návštěv, návrhu realizace chráněného prostoru podle vyhlášky Národního bezpečnostního úřadu č. 336/2004 Sb. o fyzické bezpečnosti a objektové bezpečnosti ve znění vyhlášky Národního bezpečnostního úřadu č. 315/2006 Sb.,
  • poskytnutí příslušného poradenství.
Průmyslová bezpečnost a utajované skutečnosti

Máte zájem o tuto službu?

Kybernetická bezpečnost

V současné době, kdy se většina dat nachází v digitální podobě, je nedílnou součástí ochrany osobních údajů i kybernetická bezpečnost.

Ve smyslu zákona č. 69/2018 Sb. o kybernetické bezpečnosti a o změně a doplnění některých zákonů má správce základní služby povinnost přijmout bezpečnostní opatření, a zároveň je povinen prověřit účinnost přijatých bezpečnostních opatření a plnění požadavků stanovených tímto zákonem. Správcem základní služby je každý, kdo splňuje alespoň jednoho specifické sektorové kritérium a jedno dopadové kritérium.

Jako společnost zabývající se službami v oblasti bezpečnosti vám umíme podat pomocnou ruku a zajistit pro vás:

1. Analýzu specifických sektorových kritérií a dopadových kritérií - podrobnou analýzou vyhodnotíme splnění sektorových a dopadových kritérií způsobem, jaký potencionální dopad by mohl mít kybernetický bezpečnostní incident v informačním systému nebo síti. Výstupem je dokument, na jehož základě dokážete určit, zda spadáte do seznamu správců základní služby.

2. Analýza kybernetické bezpečnosti - v případě, že analýza specifických odvětvových kritérií a dopadových kritérií prokáže, že máte zákonnou povinnost zařadit do seznamu správců základní služby, je třeba provést analýzu zabezpečení kybernetické bezpečnosti podle zákona č. 69/2018 Sb. a vyhlášky Národního bezpečnostního úřadu č. 362/2018 Sb.

3. Vypracování návrhů opatření v oblasti kybernetické bezpečnosti - na základě analýzy kybernetické bezpečnosti Vám na míru vypracujeme návrhy bezpečnostních opatření (bezpečnostní dokumentaci) v souladu s vyhláškou č. 362/2018 Národního bezpečnostního úřadu, kterou se stanoví obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah všeobecných bezpečnostních opatření.

4. Odborné školení zaměstnanců - prostřednictvím odborníků dokážeme Vašim zaměstnancům poskytnout informace v oblasti sociálního inženýrství a kybernetické bezpečnosti. Školení jsou dělány v přímé interakci s klientem a s ohledem na širší veřejnost.

5. Poradenství a konzultace - poskytne Vám je náš tým odborníků z příslušných oblastí. V případě potřeby Vám dokážeme zajistit zastupování v řízeních před Národním bezpečnostním úřadem.

Pro účely organizace kybernetické bezpečnosti Vám umíme poskytnout službu určení manažera kybernetické bezpečnosti, který:​

  • má možnost předkládat návrhy a sdělovat informace v oblasti počítačové bezpečnosti přímo statutárnímu orgánu správce základní služby,
  • zajišťuje aplikaci bezpečnostních opatření v systému řízení kybernetické bezpečnosti,
  • je nezávislý na řízení provozu a vývoje služeb informačních technologií,
  • splňuje znalostní standardy na funkci manažera kybernetické bezpečnosti podle zvláštního předpisu.
Kybernetická bezpečnost

Máte zájem o tuto službu?

Poradenství a konzultační činnost

Naše společnost poskytuje svým klientům odborné poradenství a konzultace v oblasti ochrany osobních údajů podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů (dále jen ,, Nařízení GDPR ") a podle zákona č. 18/2018 o ochraně osobních údajů ve znění pozdějších předpisů.

Téma ochrany osobních údajů se netýká pouze nařízení GDPR a zákona o ochraně osobních údajů. Při nastavování procesů je třeba se řídit i vnitrostátní legislativou. Jelikož úzce spolupracujeme s advokátní kanceláří Hronček & Partners s. r. o., víme vám v tomto směru poskytnout vysoce profesionální přístup prostřednictvím týmu odborníků z příslušných oblastí.

V případě potřeby vám umíme zajistit i zastupování v řízeních před Úřadem pro ochranu osobních údajů. Každý náš klient má možnost dohodnout si sny konkrétní čas, kdy se budeme věnovat pouze jeho otázkám a požadavkům. Poradenství je zaměřeno na komplexní vysvětlení problematiky ochrany osobních údajů a implementace GDPR do potřeb klienta.

ODBORNÉ ŠKOLENÍ

Odborné školení jsou na téma ochrany osobních údajů a ochrany utajovaných skutečností prováděny formou semináře, s interaktivní diskusí a možností řešit konkrétní otázky pro společnosti, případně jednotlivců. Odborné školení realizujeme za účasti minimálně 5 osob. Realizace odborného školení je zajištěna v sídle společnosti, v přímé interakci s klientem. V případě potřeby vám zajistíme jeho organizaci ve vhodných školících prostorách.

Poradenství a konzultační činnost

Máte zájem o tuto službu?

Zastupování v řizeních před Úřady

Díky úzké spolupráci s advokátní kanceláří Hronček & Partners, s. r. o., která se věnuje právnímu poradenství při posouzení zákonnosti zpracování osobních údajů klientů a má rozsáhlé zkušenosti při řešení problematiky ochrany osobních údajů podle procházející právní úpravy nového Nařízení GDPR a zákona č. 18/2018 Sb. o ochraně osobních údajů, Vám dokážeme zajistit služby:

  • zastupování klienta při kontrole ze strany Úřadu pro ochranu osobních údajů SR,
  • právní analýza a stanovisko v oblasti ochrany a zpracování osobních údajů.

Na základě průběžného sledování pokynů Úřadu na ochranu osobních údajů dokážeme procesy nastaveny klientům včas přizpůsobit uplatňované praxi v Slovenské republice.

Zastupování v řizeních před Úřady

Máte zájem o tuto službu?

Manažer kybernetické bezpečnosti

Ve smyslu zákona č. 69/2018 Sb. o kybernetické bezpečnosti a o změně a doplnění některých zákonů má správce základní služby povinnost přijmout bezpečnostní opatření, a zároveň je povinen prověřit účinnost přijatých bezpečnostních opatření a plnění požadavků stanovených tímto zákonem provedením auditu kybernetické bezpečnosti. Audit je třeba provést do dvou let ode dne zařazení správce základní služby do rejstříku správců základní služby.

Pro účely organizace kybernetické bezpečnosti se uplatňuje zásada určení manažera kybernetické bezpečnosti, který na základě vyhlášky Národního bezpečnostního úřadu č. 362/2018 Sb., kterou se stanovuje obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah všeobecných bezpečnostních opatření:

1. má možnost předkládat návrhy a sdělovat informace v oblasti počítačové bezpečnosti přímo statutárnímu orgánu správce základní služby,

2. zabezpečuje aplikaci bezpečnostních opatření v systému řízení kybernetické bezpečnosti,

3. je nezávislý na řízení provozu a vývoje služeb informačních technologií,

4. splňuje znalostní standardy na funkci manažera kybernetické bezpečnosti podle zvláštního předpisu.

Určený manažer kybernetické bezpečnosti musí být osoba, která je schopna prokázat svou odbornou způsobilost, a jejíž bezpečnostní úkolem je odpovědnost za organizaci systému řízení kybernetické bezpečnosti.

Kybernetický manažer je profesionálním řídícím prvkem kybernetické bezpečnosti správce základní služby, který potřebuje znát vnitřní prostředí organizace a aktiva správce základní služby.

Jako společnost Vám dokážeme zajistit službu kybernetického manažera. Naše nabídka zahrnuje komplexní služby kybernetického manažera, který je znalec v oblasti informačních a komunikačních technologií a je způsobilý vykonávat své úkoly v souladu s osobitým předpisem vydaným úřadem. Pro zájem a bližší informace nás prosím kontaktujte na uvedenou e-mailovou adresu info@topprivacy.sk

 

Manažer kybernetické bezpečnosti

Máte zájem o tuto službu?

Potřebujete odborného partnera?

Potřebujete odborného partnera?

Máte zájem o tuto službu?