Bezpečnostní dokumentace GDPR

Naším úkolem v rámci poskytovaných služeb je i komplexní vypracování bezpečnostní dokumentace každému klientovi na míru tak, aby dokumentace obsahovala všechny potřebné náležitosti v souladu s Nařízením EVROPSKÉHO PARLAMENTU a RADY EU 2016/679 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů a se zákonem č. 18/2018 Sb. o ochraně osobních údajů a o změně a doplnění některých zákonů. Pro komplexní a kvalitní zpracování dokumentace je třeba provést:

1. Analýzu stavu ochrany osobních údajů a identifikaci všech operací s osobními údaji, která je základem pro správné nastavení procesů, kterými se bude zajišťovat soulad s nařízením GDPR. Na základě důkladně provedené analýzy víme:

  • zmapovat tok osobních údajů​,
  • identifikovat, s jakou kategorií osobních údajů pracujete (běžné nebo citlivé osobní údaje),
  • definovat všechny operace, které s osobními údaji provádíte,
  • definovat třetí strany, kterým jsou osobní údaje poskytovány, ať už na základě smluvního vztahu nebo zákonné povinnosti,,
  • zjistit, zda máte dostatečně zajištěnou ochranu osobních údajů, a to v oblasti objektové bezpečnosti, personální bezpečnosti a IT zabezpečení.

2. Vypracování všech potřebných dokumentů pro zajištění souladu s GDPR, při kterých nadefinujeme všechny postupy osobních údajů a navržené procesy pro zajištění ochrany osobních údajů. Tato dokumentace musí obsahovat:

  • Analýzu rizik, jejímž obsahem je kvantifikace všech možných hrozeb a dopadů na ochranu osobních údajů,
  • Bezpečnostní politiku, kde jsou popsány základní bezpečnostní opatření nezbytná pro zachování integrity osobních údajů,
  • Směrnice sloužící k usměrnění osob, které pracují s osobními údaji. Obsahují popis postupů, jak zacházet s osobními údaji v různých situacích (poskytování informací dotčeným osobám nebo při vzniku bezpečnostních incidentů),
  • Informační povinnost připravenou na míru, abyste pomocí ní mohli informovat všechny dotčené osoby o tom, jaké osobní údaje o nich zpracováváte, komu je dále poskytujete a jaké jsou práva subjektů údajů,
  • Zprostředkovatelské smlouvy, které slouží k zajištění ochrany osobních údajů při poskytování dat ke zpracování dalšímu správci. Tyto vzorové smlouvy jsou připravovány pro každého zprostředkovatele zvlášť, a to na základě typu služby, kterou zprostředkovatel poskytuje správci,
  • Všechny potřebné formuláře, které jsou vypracovávány na míru podle účelu a zpracování osobních údajů (souhlasy, pověření, záznamy a jiné).
Bezpečnostní dokumentace GDPR

Máte zájem o tuto službu?

Pověřenec pro ochranu osobních údajů (DPO)

Prostřednictvím našeho vlastního a odborného týmu Vám zabezpečíme komplexní službu pověřence pro ochranu osobních údajů, který je plně způsobilý vykonávat tuto funkci na základě podmínek stanovených v článku 37 Nařízení GDPR. Pověření pověřence pro ochranu osobních údajů stanovilo nařízení správcům jako povinné. Nicméně i správce, kteří tyto podmínky nesplňují, mají možnost rozhodnout se, že si pověřence určí.

Pověřenec pro ochranu osobních údajů pomůže správcům udržovat stálý přehled o správnosti postupů v oblasti nakládání s osobními údaji ve své organizaci. Tato služba zahrnuje výkon všech legislativních povinností, které pověřenci ukládá přímo Nařízení GDPR a zákon č. 18/2018 Sb. o ochraně osobních údajů. Službu pověřence pro ochranu osobních údajů jsme rozšířili o kontrolní činnost a pravidelný dohled nad ochranou osobních údajů. Zjednodušeně můžeme říci, že pověřenec zajišťuje pravidelný monitoring správnosti při zpracování osobních údajů.

V rámci této služby jsme nastavili proces, prostřednictvím kterého víme u klienta docílit soulad s Nařízením GDPR a zákonem č. 18/2018 Sb. o ochraně osobních údajů. Díky níže uvedeným krokem budou procesy a problematika ochrany osobních údajů ve Vaší společnosti zabezpečené snadněji a jednodušeji:

1. Analýza stavu ochrany osobních údajů a identifikace všech operací s osobními údaji

Analýza stavu ochrany osobních údajů vzhledem k Nařízení GDPR je základem pro správné seřízení procesů. Na základě důkladně provedené analýzy dokážeme:

  • zmapovat tok osobních údajů a definovat všechny operace, které s osobními údaji provádíte,
  • definovat třetí strany, kterým jsou osobní údaje poskytovány (na základě smluvního vztahu nebo zákonné povinnosti),
  • identifikovat, s jakou kategorií osobních údajů zacházíte (běžné osobní údaje nebo citlivé osobní údaje),
  • zjistit, zda máte dostatečně zajištěnou ochranu osobních údajů, a to v oblasti objektové bezpečnosti, personální bezpečnosti a IT zabezpečení.

2. Komplexní vypracování všech potřebných dokumentů pro zajištění souladu s Nařízením GDPR

Po prvotní analýze je třeba vypracovat všechny dokumenty a formuláře, ve kterých budou definovány všechny toky osobních údajů a navržené procesy pro zajištění ochrany osobních údajů. Tato dokumentace musí obsahovat:

  • Analýzu rizik, v níž jsou kvantifikovány všechny možné hrozby a dopady na ochranu osobních údajů.
  • Bezpečnostní politiku, která obsahuje popis základních bezpečnostních opatření nezbytných pro zachování integrity osobních údajů.
  • Směrnice, které slouží k usměrnění pro osoby pracující s osobními údaji. Obsahem je popis postupů, jak zacházet s osobními údaji nebo jak se zachovat v rámci různých situací, ať už při poskytování informací subjektům údajů nebo při vzniku bezpečnostních incidentů.
  • Zprostředkovatelské smlouvy, které slouží k zajištění ochrany osobních údajů při poskytování dat ke zpracování dalšímu správci. Tyto vzorové smlouvy jsou připravovány pro každého zprostředkovatele samostatně, a to na základě druhu služby, kterou zprostředkovatel poskytuje správci.
  • Informační povinnost, jejímž prostřednictvím můžete informovat všechny subjekty údajů o tom, jaké osobní údaje o nich zpracováváte, komu je dále poskytujete a jaké jsou práva subjektu údajů.
  • Všechny potřebné formuláře - souhlasy, pověření, záznamy a jiné. Tyto dokumenty vypracujeme každému klientovi na míru přesně podle účelu a zpracování osobních údajů.

3. Implementace Nařízení GDPR, kterou považujeme za jednu z nejdůležitějších činností při poskytování našich služeb. Analýzu a všechny dokumenty Vám pomůžeme uvést do praxe. Seřízení ochrany osobních údajů není jen o vypracování kroků v papírové podobě, ale hlavně o NASTAVENÍ systému ochrany osobních údajů, přijetím určitých bezpečnostních opatření, a to v rámci:

  • objektové bezpečnosti - pomůžeme Vám s návrhem řešení pro zlepšení ochrany osobních údajů přesně podle kategorie Vámi zpracovávaných dat (mzdová agenda, účetní agenda, zdravotní dokumentace, kamerový systém, matrika a.i.),
  • personální bezpečnosti - vyškolíme všechny Vaše zaměstnance o tom, jak postupovat při zpracovávání osobních údajů, jak je chránit a jak předcházet bezpečnostním incidentům, případně o tom, jak správně postupovat při sběru či poskytování informací o zpracování osobních údajů,
  • IT bezpečnosti - pomůžeme Vám s návrhem bezpečnostních opatření v rámci kybernetického prostoru a vyškolíme oprávněné osoby v oblasti sociálního inženýrství, aby byly osobní údaje subjektů údajů chráněny i v této oblasti.

4. Pravidelná péče a poradenská činnost

Problematika ochrany osobních údajů je rozsáhlá a neustále se rozširuje. Pravidelná poradenská činnost pověřence pro ochranu osobních údajů Vás jako provozovatele odlehčí o starost sledovat nové pokyny a novelizaci zákonů. Všechny změny v rámci ochrany osobních údajů bude pro Vás monitorovat Váš pověřenec, a v souladu se změnami Vám bude připravovat potřebné formuláře a informovat vás o aktuálním dění v problematice ochrany osobních údajů. Také u Vás bude provádět periodickou kontrolní činnost a školení v dohodnutých intervalech, aby se předcházelo možným pochybením při zpracování osobních údajů.

V případě, že se rozhodnete rozšířit portfolio Vašich služeb, tak si s pomocí našeho pověřence můžete být jisti, že každé nové zpracování osobních údajů bude v souladu s platnou legislativou.

Pověřenec pro ochranu osobních údajů (DPO)

Máte zájem o tuto službu?

Informační bezpečnost

Informační bezpečnost je řešení k zajištění informačních systémů, informací a přístupu k údajům. Systém řízení informační bezpečnosti se vyvíjí s ohledem na kulturu, procesy, technologie a požadavky vaší společnosti / organizace. Uznávanou normou pro tuto oblast jsou normy řady ISO/IEC 27000, které vám pomohou zajistit, aby byla vaše politika informační bezpečnosti přiměřená. V oblasti informační bezpečnosti se uplatňuje systémový přístup, který spočívá ve stanovení norem práce v oblasti řízení informační bezpečnosti a v eliminaci vnitřních a vnějších rizik při práci s údaji. Naše společnost v rámci svých činností nabízí služby v oblasti informační bezpečnosti, které mají v sobě obsažené 3 oblasti:

  • analýzu stavu informační bezpečnosti a analýzu rizik,
  • vypracování bezpečnostní dokumentace,
  • pomoc při implementaci IT řešení,

Cílem informační bezpečnosti je chránit integritu všech údajů před náhodným nebo úmyslným jednáním zaměstnanců i externích stran. Moderní přístup k informační bezpečnosti je založen na zmapování příslušných informačních procesů (přenos, uchovávání, používání, likvidace), přičemž se zohledňuje lidský faktor a související obchodní rizika. Správné posouzení, měření a monitorování rizik může být složité. Analýza rizik informační bezpečnosti spočívá v identifikaci těchto rizik, jejich kvantifikaci, monitorování v čase s cílem zjistit změny, analýze těchto údajů s cílem identifikovat slabá místa v oblasti bezpečnosti, a vyvozování závěrů, které umožňují přijímat informovaná rozhodnutí. Existuje mnoho rámců, které mohou společnostem pomoci při provádění analýzy rizik informační bezpečnosti.

Bezpečnost je proces a cesta. Analýza rizik informační bezpečnosti je součástí této cesty. Pomáhá organizaci identifikovat různé kontrolní mechanismy, které by mohla zavést k potlačení nebo zmírnění konkrétních rizik. Tyto kontroly mohou zahrnovat administrativní, technická, provozní a fyzická bezpečnostní opatření.

Vzhledem k tomu, že hackeři sledují zranitelnosti a objevují se nové viry a škodlivé kódy, které je využívají, roste potřeba vypracovat komplexní politiku zabezpečení údajů. Podstatou politiky bezpečnosti údajů je jasně formulovat problémy. Politika informační bezpečnosti společnosti je oficiální soubor dokumentů, které definují pravidla a pokyny, kterými se zaměstnanci řídí při ochraně údajů a zajišťování informační bezpečnosti. Politika informační bezpečnosti je příručka založená na standardech s postupy na ochranu důvěrnosti, integrity a dostupnosti elektronických informací a komunikačních systémů. Tato opatření je třeba přetavit do praxe ať už v oblasti objektové bezpečnosti, personální bezpečnosti a implementací IT řešení.

Implementace IT řešení je proces, který obvykle zahrnuje instalaci a konfiguraci hardwaru a softwaru pro konkrétní použití. Implementace může být technicky náročná a může trvat několik měsíců. Není to tak jednoduché jako pořídit si notebook a pak jej připojit k síti operátora. Navrhnout segmentaci sítě, které splňují potřeby jednotlivých podniků, vyžaduje dovednost. Proto je důležité vybrat si partnera se specializovanými odborníky, kteří mají dlouholeté zkušenosti s podnikovými aplikacemi, hardwarem, softwarem a otázkami zabezpečení.

Pomocí naší služby získáte systém informační bezpečnosti, který splňuje normy řady ISO/IEC 27000 a chrání vaše podnikání před ztrátou a krádeží tím, že zajišťuje ochranu všech dat ať už vašich nebo údajů vašich zákazníků.

Naše společnost v rámci svých činností nabízí mimo jiné i služby v oblasti informační bezpečnosti. Pro bližší informace nás neváhejte kontaktovat na adrese info@topprivacy.sk.

Informační bezpečnost

Máte zájem o tuto službu?

Průmyslová bezpečnost a utajované skutečnosti

Nabízíme komplexní služby pro získání průmyslové bezpečnosti (prověrky Národního bezpečnostního úřadu) u podnikatelských subjektů (právnické osoby, fyzické osoby) v souladu se zákonem č. 215/2004 Sb. o ochraně utajovaných skutečností, ve znění pozdějších zákonů.

Služba se poskytuje podnikatelům, kteří v souladu se zákonem č. 215/2004 Sb. o ochraně utajovaných skutečností, ve znění pozdějších zákonů a vyhlášky Národního bezpečnostního úřadu č. 301/2013 Sb. potřebují získat potvrzení o průmyslové bezpečnosti na příslušný stupeň utajení, pokud předpokládají:

  • poskytovat služby orgánům státní správy, v jejímž rámci jim bude třeba postupovat utajované informace nebo,
  • obchodovat s vojenským materiálem nebo,
  • provádět letecké snímkování.

Analýza, doporučení a zpracování základních dokumentů potřebných na prověrku obsahuje:

  • analýzu prostředí, ve kterém se předpokládá zpracování utajovaných skutečností,
  • doporučení stupně utajení, chráněného prostoru, způsobu zpracování utajovaných skutečností na technickém prostředku, způsobu zabezpečení administrativní, resp. personální bezpečnosti na základě analýzy utajovaných skutečností příslušných státních orgánů a předpokládaných obchodních zájmů klienta,
  • zpracování bezpečnostního projektu podnikatele podle vyhlášky Národního bezpečnostního úřadu č. 301/2013 Sb.,
  • zpracování žádosti o vydání potvrzení o průmyslové bezpečnosti podnikatele,
  • zpracování, resp. poskytování součinnosti při zpracování příslušných žádostí a prohlášení, které jsou požadovány k provedení prověrky,
  • zpracování směrnice personální bezpečnosti podle vyhlášky Národního bezpečnostního úřadu č. 134/2016 Sb.

Zpracování speciálních dokumentů

  • zpracování příslušné dokumentace a směrnice administrativní bezpečnosti v souladu se zákonem č. 215/2004 Sb. a vyhlášky Národního bezpečnostního úřadu č. 48/2019 Sb., kterou se stanoví podmínky o administrativní bezpečnosti,
  • zajištění dokumentace (Bezpečnostní projekt na technický prostředek, směrnice, příslušné formuláře) potřebné k certifikaci technického prostředku pro zpracování utajovaných skutečností v souladu se zákonem č. 215/2004 Sb. a vyhlášky Národního bezpečnostního úřadu č. 339/2004 Sb. o bezpečnosti technických prostředků,
  • nastavení a příprava technického prostředku na certifikaci (bezpečnostní nastavení),
  • návrh a optimalizace chráněného prostoru podle vyhlášky Národního bezpečnostního úřadu č. 336/2004 Sb. o fyzické bezpečnosti a objektové bezpečnosti ve znění vyhlášky Národního bezpečnostního úřadu č. 315/2006 Sb.,
  • zpracování dokumentace fyzické bezpečnosti a objektové bezpečnosti,
  • zpracování knihy kontrol, knihy návštěv, návrhu realizace chráněného prostoru podle vyhlášky Národního bezpečnostního úřadu č. 336/2004 Sb. o fyzické bezpečnosti a objektové bezpečnosti ve znění vyhlášky Národního bezpečnostního úřadu č. 315/2006 Sb.,
  • poskytnutí příslušného poradenství.
Průmyslová bezpečnost a utajované skutečnosti

Máte zájem o tuto službu?

Kybernetická bezpečnost

V současné době, kdy se většina dat nachází v digitální podobě, je nedílnou součástí ochrany osobních údajů i kybernetická bezpečnost.

Ve smyslu zákona č. 69/2018 Sb. o kybernetické bezpečnosti a o změně a doplnění některých zákonů má správce základní služby povinnost přijmout bezpečnostní opatření, a zároveň je povinen prověřit účinnost přijatých bezpečnostních opatření a plnění požadavků stanovených tímto zákonem. Správcem základní služby je každý, kdo splňuje alespoň jednoho specifické sektorové kritérium a jedno dopadové kritérium.

Jako společnost zabývající se službami v oblasti bezpečnosti vám umíme podat pomocnou ruku a zajistit pro vás:

1. Analýzu specifických sektorových kritérií a dopadových kritérií - podrobnou analýzou vyhodnotíme splnění sektorových a dopadových kritérií způsobem, jaký potencionální dopad by mohl mít kybernetický bezpečnostní incident v informačním systému nebo síti. Výstupem je dokument, na jehož základě dokážete určit, zda spadáte do seznamu správců základní služby.

2. Analýza kybernetické bezpečnosti - v případě, že analýza specifických odvětvových kritérií a dopadových kritérií prokáže, že máte zákonnou povinnost zařadit do seznamu správců základní služby, je třeba provést analýzu zabezpečení kybernetické bezpečnosti podle zákona č. 69/2018 Sb. a vyhlášky Národního bezpečnostního úřadu č. 362/2018 Sb.

3. Vypracování návrhů opatření v oblasti kybernetické bezpečnosti - na základě analýzy kybernetické bezpečnosti Vám na míru vypracujeme návrhy bezpečnostních opatření (bezpečnostní dokumentaci) v souladu s vyhláškou č. 362/2018 Národního bezpečnostního úřadu, kterou se stanoví obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah všeobecných bezpečnostních opatření.

4. Implementace opatření v oblasti kybernetické bezpečnosti - návrhy opatření i realizujeme. Od manažmentu bezpečného přístupu, přes kontrolu a ochranu dat s ochranou vůči zneužití, odcizení, nebo jinému nevhodnému nakládání s daty Vaši společnosti, až po ochranu aplikací, které při práci pravidelně využíváte.

5. Odborné školení zaměstnanců - prostřednictvím odborníků dokážeme Vašim zaměstnancům poskytnout informace v oblasti sociálního inženýrství a kybernetické bezpečnosti. Školení jsou dělány v přímé interakci s klientem a s ohledem na širší veřejnost.

6. Poradenství a konzultace - poskytne Vám je náš tým odborníků z příslušných oblastí. V případě potřeby Vám dokážeme zajistit zastupování v řízeních před Národním bezpečnostním úřadem.

Pro účely organizace kybernetické bezpečnosti Vám umíme poskytnout službu určení manažera kybernetické bezpečnosti, který:​

  • má možnost předkládat návrhy a sdělovat informace v oblasti počítačové bezpečnosti přímo statutárnímu orgánu správce základní služby,
  • zajišťuje aplikaci bezpečnostních opatření v systému řízení kybernetické bezpečnosti,
  • je nezávislý na řízení provozu a vývoje služeb informačních technologií,
  • splňuje znalostní standardy na funkci manažera kybernetické bezpečnosti podle zvláštního předpisu.
Kybernetická bezpečnost

Máte zájem o tuto službu?

Poradenství a konzultační činnost

Naše společnost poskytuje svým klientům odborné poradenství a konzultace v oblasti ochrany osobních údajů podle NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů (dále jen ,, Nařízení GDPR ") a podle zákona č. 18/2018 o ochraně osobních údajů ve znění pozdějších předpisů.

Téma ochrany osobních údajů se netýká pouze nařízení GDPR a zákona o ochraně osobních údajů. Při nastavování procesů je třeba se řídit i vnitrostátní legislativou. Jelikož úzce spolupracujeme s advokátní kanceláří Hronček & Partners s. r. o., víme vám v tomto směru poskytnout vysoce profesionální přístup prostřednictvím týmu odborníků z příslušných oblastí.

V případě potřeby vám umíme zajistit i zastupování v řízeních před Úřadem pro ochranu osobních údajů. Každý náš klient má možnost dohodnout si sny konkrétní čas, kdy se budeme věnovat pouze jeho otázkám a požadavkům. Poradenství je zaměřeno na komplexní vysvětlení problematiky ochrany osobních údajů a implementace GDPR do potřeb klienta.

ODBORNÉ ŠKOLENÍ

Odborné školení jsou na téma ochrany osobních údajů a ochrany utajovaných skutečností prováděny formou semináře, s interaktivní diskusí a možností řešit konkrétní otázky pro společnosti, případně jednotlivců. Odborné školení realizujeme za účasti minimálně 5 osob. Realizace odborného školení je zajištěna v sídle společnosti, v přímé interakci s klientem. V případě potřeby vám zajistíme jeho organizaci ve vhodných školících prostorách.

Poradenství a konzultační činnost

Máte zájem o tuto službu?

Zastupování v řizeních před Úřady

Díky úzké spolupráci s advokátní kanceláří Hronček & Partners, s. r. o., která se věnuje právnímu poradenství při posouzení zákonnosti zpracování osobních údajů klientů a má rozsáhlé zkušenosti při řešení problematiky ochrany osobních údajů podle procházející právní úpravy nového Nařízení GDPR a zákona č. 18/2018 Sb. o ochraně osobních údajů, Vám dokážeme zajistit služby:

  • zastupování klienta při kontrole ze strany Úřadu pro ochranu osobních údajů SR,
  • právní analýza a stanovisko v oblasti ochrany a zpracování osobních údajů.

Na základě průběžného sledování pokynů Úřadu na ochranu osobních údajů dokážeme procesy nastaveny klientům včas přizpůsobit uplatňované praxi v Slovenské republice.

Zastupování v řizeních před Úřady

Máte zájem o tuto službu?

Manažer kybernetické bezpečnosti

Ve smyslu zákona č. 69/2018 Sb. o kybernetické bezpečnosti a o změně a doplnění některých zákonů má správce základní služby povinnost přijmout bezpečnostní opatření, a zároveň je povinen prověřit účinnost přijatých bezpečnostních opatření a plnění požadavků stanovených tímto zákonem provedením auditu kybernetické bezpečnosti. Audit je třeba provést do dvou let ode dne zařazení správce základní služby do rejstříku správců základní služby.

Pro účely organizace kybernetické bezpečnosti se uplatňuje zásada určení manažera kybernetické bezpečnosti, který na základě vyhlášky Národního bezpečnostního úřadu č. 362/2018 Sb., kterou se stanovuje obsah bezpečnostních opatření, obsah a struktura bezpečnostní dokumentace a rozsah všeobecných bezpečnostních opatření:

1. má možnost předkládat návrhy a sdělovat informace v oblasti počítačové bezpečnosti přímo statutárnímu orgánu správce základní služby,

2. zabezpečuje aplikaci bezpečnostních opatření v systému řízení kybernetické bezpečnosti,

3. je nezávislý na řízení provozu a vývoje služeb informačních technologií,

4. splňuje znalostní standardy na funkci manažera kybernetické bezpečnosti podle zvláštního předpisu.

Určený manažer kybernetické bezpečnosti musí být osoba, která je schopna prokázat svou odbornou způsobilost, a jejíž bezpečnostní úkolem je odpovědnost za organizaci systému řízení kybernetické bezpečnosti.

Kybernetický manažer je profesionálním řídícím prvkem kybernetické bezpečnosti správce základní služby, který potřebuje znát vnitřní prostředí organizace a aktiva správce základní služby.

Jako společnost Vám dokážeme zajistit službu kybernetického manažera. Naše nabídka zahrnuje komplexní služby kybernetického manažera, který je znalec v oblasti informačních a komunikačních technologií a je způsobilý vykonávat své úkoly v souladu s osobitým předpisem vydaným úřadem. Pro zájem a bližší informace nás prosím kontaktujte na uvedenou e-mailovou adresu info@topprivacy.sk

 

Manažer kybernetické bezpečnosti

Máte zájem o tuto službu?

Potřebujete odborného partnera?

Potřebujete odborného partnera?

Máte zájem o tuto službu?