Bezpečnostná dokumentácia GDPR

Našou úlohou v rámci poskytovaných služieb je aj komplexné vypracovanie bezpečnostnej dokumentácie každému klientovi na mieru tak, aby dokumentácia obsahovala všetky potrebné náležitosti v súlade s Nariadením EURÓPSKEHO PARLAMENTU a RADY EÚ 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov a so zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.  Pre komplexné a kvalitné spracovanie dokumentácie  je potrebné vykonať:

1. Analýzu stavu ochrany osobných údajov a identifikáciu všetkých operácií s osobnými údajmi, ktorá je základom pre správne nastavenie procesov, ktorými sa bude zabezpečovať súlad s nariadením GDPR. Na základe dôkladne vykonanej analýzy vieme:

  • zmapovať tok osobných údajov,
  • identifikovať, s akou kategóriou osobných údajov narábate (bežné alebo citlivé osobné údaje),
  • zadefinovať všetky operácie, ktoré s osobnými údajmi vykonávate,
  • definovať tretie strany, ktorým sú osobné údaje poskytované, či už na základe zmluvného vzťahu alebo zákonnej povinnosti,
  • zistiť, či máte dostatočne zabezpečenú ochranu osobných údajov, a to v oblasti objektovej bezpečnosti, personálnej bezpečnosti a IT zabezpečenia.

2. Vypracovanie všetkých potrebných dokumentov pre zabezpečenie súladu s GDPR, pri ktorých zadefinujeme všetky postupy osobných údajov a navrhnuté procesy pre zabezpečenie ochrany osobných údajov. Táto dokumentácia musí obsahovať:

  • Analýzu rizík, ktorej obsahom je kvantifikácia všetkých možných hrozieb a dopadov na ochranu osobných údajov,
  • Bezpečnostnú politiku, kde sú popísané základné bezpečnostné opatrenia potrebné pre zachovanie integrity osobných údajov,
  • Smernice slúžiace na usmernenie osôb, ktoré pracujú s osobnými údajmi.  Obsahujú popis postupov, ako narábať s osobnými údajmi v rámci rôznych situácií (poskytovanie informácií dotknutým osobám alebo pri vzniku bezpečnostných incidentoch),
  • Informačnú povinnosť pripravenú na mieru, aby ste pomocou nej mohli informovať všetky dotknuté osoby o tom, aké osobné údaje o nich spracúvate, komu ich ďalej poskytujete a aké sú práva dotknutých osôb,
  • Sprostredkovateľské zmluvy, ktoré slúžia na zabezpečenie ochrany osobných údajov pri poskytovaní údajov na spracovanie ďalšiemu prevádzkovateľovi. Tieto vzorové zmluvy sú pripravované pre každého sprostredkovateľa osobitne, a to na základe typu služby, ktorú sprostredkovateľ poskytuje prevádzkovateľovi,
  • Všetky potrebné formuláre, ktoré sú vypracovávané na mieru podľa účelu a spracovania osobných údajov (súhlasy, poverenia, záznamy a iné).
Bezpečnostná dokumentácia GDPR

Máte záujem o túto službu?

Zodpovedná osoba GDPR (DPO)

Prostredníctvom nášho vlastného a odborného tímu Vám zabezpečíme komplexnú službu zodpovednej osoby, ktorá je plne spôsobilá vykonávať túto funkciu na základe podmienok stanovených v článku 37 Nariadenia GDPR. Poverenie zodpovednej osoby ustanovilo nariadenie prevádzkovateľom ako povinné. Avšak aj prevádzkovatelia, ktorí tieto podmienky nespĺňajú, majú možnosť rozhodnúť sa, že si zodpovednú osobu určia.

Zodpovedná osoba pomôže prevádzkovateľom udržiavať stály prehľad o správnosti postupov v oblasti nakladania s osobnými údajmi vo svojej organizácii. Táto služba zahŕňa výkon všetkých legislatívnych povinností, ktoré zodpovednej osobe ukladá priamo Nariadenie GDPR a zákon č. 18/2018 Z. z. o ochrane osobných údajov. Službu zodpovednej osoby sme rozšírili o kontrolnú činnosť a pravidelný dohľad nad ochranou osobných údajov. Zjednodušene môžeme povedať, že zodpovedná osoba zabezpečuje pravidelný monitoring správnosti pri spracúvaní osobných údajov.

V rámci tejto služby sme nastavili proces, prostredníctvom ktorého vieme u klienta docieliť súlad s Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Vďaka nižšie uvedeným krokom budú procesy a problematika ochrany osobných údajov vo Vašej spoločnosti zabezpečené ľahšie a jednoduchšie:

1. Analýza stavu ochrany osobných údajov a identifikácia všetkých operácií s osobnými údajmi

Analýza stavu ochrany osobných údajov vzhľadom na Nariadenie GDPR je základom pre správne nadstavenie procesov. Na základe dôkladne vykonanej analýzy dokážeme:

  • zmapovať tok osobných údajov a definovať všetky operácie, ktoré s osobnými údajmi vykonávate,
  • definovať tretie strany, ktorým sú osobné údaje poskytované (na základe zmluvného vzťahu alebo zákonnej povinnosti),
  • identifikovať, s akou kategóriou osobných údajov narábate (bežné osobné údaje alebo citlivé osobné údaje),
  • zistiť, či máte dostatočne zabezpečenú ochranu osobných údajov, a to v oblasti objektovej bezpečnosti, personálnej bezpečnosti a IT zabezpečenia.

2. Komplexné vypracovanie všetkých potrebných dokumentov pre zabezpečenie súladu s Nariadením GDPR

Po prvotnej analýze je potrebné vypracovanie všetkých dokumentov a formulárov, v ktorých budú zadefinované všetky toky osobných údajov a navrhnuté procesy pre zabezpečenie ochrany osobných údajov. Táto dokumentácia musí obsahovať:

  • Analýzu rizík, v ktorej sú kvantifikované všetky možné hrozby a dopady na ochranu osobných údajov.
  • Bezpečnostnú politiku, ktorá obsahuje popis základných bezpečnostných opatrení potrebných pre zachovanie integrity osobných údajov.
  • Smernice, ktoré slúžia na usmernenie pre osoby pracujúce s osobnými údajmi.  Obsahom je opis postupov, ako narábať s osobnými údajmi alebo ako sa zachovať v rámci rôznych situácií, či už pri poskytovaní informácií dotknutým osobám alebo pri vzniku bezpečnostných incidentoch.
  • Sprostredkovateľské zmluvy, ktoré slúžia na zabezpečenie ochrany osobných údajov pri poskytovaní údajov na spracovanie ďalšiemu prevádzkovateľovi. Tieto vzorové zmluvy sú pripravované pre každého sprostredkovateľa samostatne, a to na základe druhu služby, ktorú sprostredkovateľ poskytuje prevádzkovateľovi.
  • Informačnú povinnosť, prostredníctvom ktorej môžete informovať všetky dotknuté osoby o tom, aké osobné údaje o nich spracovávate, komu ich ďalej poskytujete a aké sú práva dotknutých osôb.
  • Všetky potrebné formuláre -  súhlasy, poverenia, záznamy a iné. Tieto dokumenty vypracujeme každému klientovi na mieru presne podľa účelu a spracovania osobných údajov.

3. Implementácia Nariadenia GDPR, ktorú považujeme za jednu z najdôležitejších činností pri poskytovaní našich služieb. Analýzu a všetky dokumenty Vám pomôžeme uviesť do praxe.  Nadstavenie ochrany osobných údajov nie je len o vypracovaní krokov v papierovej podobe, ale hlavne o nadstavení systému ochrany osobných údajov, prijatím určitých bezpečnostných opatrení, a to v rámci:

  • objektovej bezpečnosti – pomôžeme Vám s návrhom riešenia pre zlepšenie ochrany osobných údajov presne podľa kategórie Vami spracovávaných údajov (mzdová agenda, účtovná agenda, zdravotná dokumentácia, kamerový systém, matrika a.i.),
  • personálnej bezpečnosti - vyškolíme všetkých Vašich zamestnancov o tom, ako postupovať pri spracúvaní osobných údajov, ako ich chrániť a ako predchádzať bezpečnostným incidentom, prípadne aj o tom, ako správne postupovať pri zbere či poskytovaní informácií o spracovaní osobných údajov,
  • IT bezpečnosti – pomôžeme Vám s návrhom bezpečnostných opatrení v rámci kybernetického priestoru a vyškolíme oprávnené osoby v oblasti sociálneho inžinierstva, aby boli osobné údaje dotknutých osôb chránené aj v tejto oblasti.

4. Pravidelná starostlivosť a poradenská činnosť

Problematika ochrany osobných údajov je rozsiahla a neustále napreduje. Pravidelná poradenská činnosť zodpovednej osoby Vás ako prevádzkovateľovi odľahčí  o starosť sledovať nové usmernenia a novelizáciu zákonov. Všetky zmeny v rámci ochrany osobných údajov bude pre Vás monitorovať Vaša zodpovedná osoba, a v súlade so zmenami Vám bude pripravovať potrebné formuláre a informovať vás o aktuálnom dianí v problematike ochrany osobných údajov. Taktiež u Vás bude vykonávať periodickú kontrolnú činnosť a školenia v dohodnutých intervaloch, aby sa predchádzalo možným pochybeniam pri spracúvaní osobných údajov.

V prípade, že sa rozhodnete rozšíriť portfólio Vašich služieb, tak s pomocou zodpovednej osoby  si môžete byť istý, že každé nové spracovanie osobných údajov bude v súlade s platnou legislatívou.

Zodpovedná osoba GDPR (DPO)

Máte záujem o túto službu?

Bezpečnostný správca

Súčasťou bezpečnostnej dokumentácie na ochranu osobných údajov je aj odporúčanie, aby si naši klienti vo svojej spoločnosti poverili bezpečnostného správcu.

Bezpečnostný správca v otázkach ochrany osobných údajov zabezpečuje bezpečnosť automatizovaných a neautomatizovaných informačných systémov, v rámci ktorých dochádza k spracovaniu osobných údajov. Základnou úlohou bezpečnostného správcu je dohliadať na spracúvanie osobných údajov obsiahnutých v automatizovaných a neautomatizovaných informačných systémoch z hľadiska bezpečnostných funkcií a prístupov tak, aby boli dodržiavané všetky požiadavky bezpečnostnej politiky a bezpečnostných smerníc. Ťažisko jeho činnosti bude spočívať v riadení a kontrolovaní bezpečnostných funkcií systému. Tieto činnosti budú vymedzené a konkretizované v bezpečnostnej smernici informačného systému, ktorá bude súčasťou technických a organizačných opatrení. Bezpečnostný správca sa podieľa aj na šetrení bezpečnostných incidentov.

Bezpečnostný správca musí detailne poznať operačné systémy (vrátane ich sieťových vlastností, bezpečnostných nastavení) výpočtové a technické prostriedky, komunikačný podsystém, topológiu automatizovaných informačných systémov a aplikácie, ktoré spracúvajú osobné údaje v informačných systémoch. Súčasne je povinný poznať a dodržiavať aj všeobecné zásady bezpečnosti informačného systému a zásady dodržiavania bezpečnosti v oblasti spracovávania osobných údajov.

Naša spoločnosť v rámci svojich činností ponúka okrem iného aj službu bezpečnostného správcu, ktorý je svojimi odbornými znalosťami spôsobilý vykonávať túto funkciu. Pre bližšie informácie nás neváhajte kontaktovať na adrese info@topprivacy.sk

Bezpečnostný správca

Máte záujem o túto službu?

Priemyselná bezpečnosť a utajované skutočnosti

Ponúkame komplexné služby pre získanie priemyselnej bezpečnosti (previerky Národného bezpečnostného úradu) u podnikateľských subjektov (právnické osoba, fyzické osoby) v súlade so zákonom č. 215/2004 Z. z. o ochrane utajovaných skutočností v znení neskorších zákonov.

Služba sa poskytuje podnikateľom, ktorí v súlade so zákonom č. 215/2004 Z. z. o ochrane utajovaných skutočností v znení neskorších zákonov a vyhlášky Národného bezpečnostného úradu č. 301/2013 Z. z. potrebujú získať potvrdenie o priemyselnej bezpečnosti na príslušný stupeň utajenia, ak predpokladajú:

  • poskytovať služby orgánom štátne správy, v rámci ktorej im bude potrebné postupovať utajované skutočnosti alebo,
  • obchodovať s vojenským materiálom alebo,
  • vykonávať letecké snímkovanie.

Analýza, odporúčania a  spracovanie základných dokumentov potrebných na previerku obsahuje:

  • analýza prostredia, v ktorom sa predpokladá spracúvanie utajovaných skutočností,
  • odporučenie stupňa utajenia, chráneného priestoru, spôsobu spracovania utajovaných skutočností na technickom prostriedku, spôsobu zabezpečenia administratívnej, resp. personálnej bezpečnosti na základe analýzy utajovaných skutočností príslušných štátnych orgánov a predpokladaných obchodných záujmov klienta,
  • spracovanie bezpečnostného projektu podnikateľa podľa vyhlášky Národného bezpečnostného úradu č. 301/2013 Z. z.,
  • spracovanie žiadosti o vydanie potvrdenia o priemyselnej bezpečnosti podnikateľa,
  • spracovanie, resp. poskytovanie súčinnosti pri spracovaní príslušných žiadostí a prehlásení, ktoré sú požadované na vykonanie previerky,
  • spracovanie smernice personálnej bezpečnosti podľa vyhlášky Národného bezpečnostného úradu č. 134/2016 Z. z..

Spracovanie špeciálnych dokumentov

  • spracovanie príslušnej dokumentácie a smernice administratívnej bezpečnosti v súlade so zákonom č. 215/2004 Z. z. a vyhlášky Národného bezpečnostného úradu č. 48/2019 Z. z., ktorou sa ustanovujú podmienky o administratívnej bezpečnosti,
  • zabezpečenie dokumentácie (Bezpečnostný projekt na technický prostriedok, smernice, príslušné formuláre) potrebnej na certifikáciu technického prostriedku určeného na spracovávanie utajovaných skutočností v súlade so zákonom č. 215/2004 Z. z. a vyhlášky Národného bezpečnostného úradu č. 339/2004 Z. z. o bezpečnosti technických prostriedkov,
  • nastavenie a príprava technického prostriedku na certifikáciu (bezpečnostné nastavenia),
  • návrh a optimalizácia chráneného priestoru podľa vyhlášky Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu č. 315/2006 Z. z.,
  • spracovanie dokumentácie fyzickej bezpečnosti a objektovej bezpečnosti,
  • spracovanie knihy kontrol, knihy návštev, návrhu realizácie chráneného priestoru podľa vyhlášky Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu č. 315/2006 Z. z.,
  • poskytnutie príslušného poradenstva.
Priemyselná bezpečnosť a utajované skutočnosti

Máte záujem o túto službu?

Kybernetická bezpečnosť

V súčasnej dobe, kedy sa väčšina dát nachádza v digitálnej podobe, je neoddeliteľnou súčasťou ochrany osobných údajov aj kybernetická bezpečnosť.

V zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov má prevádzkovateľ základnej služby povinnosť prijať bezpečnostné opatrenia, a zároveň je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom. Prevádzkovateľom základnej služby je každý, kto spĺňa aspoň jedného špecifické sektorové kritérium a jedno dopadové kritérium.

Ako spoločnosť zaoberajúca sa službami v oblasti bezpečnosti vám vieme podať pomocnú ruku a zabezpečiť pre vás:

1. Analýzu špecifických sektorových kritérií a dopadových kritérií – podrobnou analýzou vyhodnotíme splnenie sektorových a dopadových kritérií spôsobom, aký potenciálny dopad by mohol mať kybernetický bezpečnostný incident v informačnom systéme alebo sieti. Výstupom je dokument, na základe ktorého dokážete určiť, či spadáte do zoznamu prevádzkovateľov základnej služby.

2. Analýza kybernetickej bezpečnosti – v prípade, že analýza špecifických sektorových kritérií a dopadových kritérií preukáže, že máte zákonnú povinnosť zaradiť sa do zoznamu prevádzkovateľov základnej služby, je potrebné vykonať analýzu zabezpečenia kybernetickej bezpečnosti podľa zákona č. 69/2018 Z. z. a vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z.

3. Vypracovanie návrhov opatrení v oblasti kybernetickej bezpečnosti – na základe analýzy kybernetickej bezpečnosti Vám na mieru vypracujeme návrhy bezpečnostných opatrení (bezpečnostnú dokumentáciu) v súlade s vyhláškou č. 362/2018 Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

4. Odborné školenia zamestnancov – prostredníctvom odborníkov dokážeme Vašim zamestnancom poskytnúť informácie v oblasti sociálneho inžinierstva a kybernetickej bezpečnosti. Školenia sú robené v priamej interakcii s klientom a s ohľadom na širšiu verejnosť.

5. Poradenstvo a konzultácie - poskytne Vám ich náš tím odborníkov z príslušných oblastí. V prípade potreby Vám dokážeme zabezpečiť zastupovanie v konaniach pred Národným bezpečnostným úradom.

Na účely organizácie kybernetickej bezpečnosti Vám vieme poskytnúť službu určenia manažéra kybernetickej bezpečnosti, ktorý:

  • má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
  • zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
  • je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií,
  • spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.
Kybernetická bezpečnosť

Máte záujem o túto službu?

Poradenstvo a konzultačná činnosť

Naša spoločnosť poskytuje svojím klientom odborné poradenstvo a konzultácie v oblasti ochrany osobných údajov podľa NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len ,,Nariadenie GDPR“) a podľa zákona č. 18/2018 o ochrane osobných údajov a doplnení niektorých zákonov. 

Téma ochrany osobných údajov sa netýka len nariadenia GDPR a zákona o ochrane osobných údajov. Pri nadstavovaní procesov je potrebné sa riadiť aj vnútroštátnou legislatívou. Nakoľko úzko spolupracujeme s advokátskou kanceláriou Hronček & Partners s. r. o., vieme vám v tomto smere poskytnúť vysoko profesionálny prístup prostredníctvom tímu odborníkov z príslušných oblastí.

V prípade potreby vám vieme zabezpečiť aj zastupovanie v konaniach pred Úradom na ochranu osobných údajov. Každý náš klient má možnosť dohodnúť si snami konkrétny čas, kedy sa budeme venovať len jeho otázkam a požiadavkám. Poradenstvo je zamerané na komplexné vysvetlenie problematiky ochrany osobných údajov a implementácia GDPR do potrieb klienta.

ODBORNÉ ŠKOLENIA

Odborné školenia sú na tému ochrany osobných údajov a ochrany utajovaných skutočností vykonávané formou seminára, s interaktívnou diskusiou a možnosťou riešiť konkrétne otázky pre spoločnosti, prípadne jednotlivcov. Odborné školenia realizujeme za účasti minimálne 5 osôb. Realizácia odborného školenia je zabezpečená v sídle spoločnosti, v priamej interakcii s klientom. V prípade potreby vám zabezpečíme organizáciu vo vhodných školiacich priestoroch.

Poradenstvo a konzultačná činnosť

Máte záujem o túto službu?

Zastupovanie v konaniach pred Úradmi

Vďaka úzkej spolupráci s advokátskou kanceláriou Hronček & Partners, s. r. o., ktorá sa venuje právnemu poradenstvu pri posúdení zákonnosti spracúvania osobných údajov klientov a má rozsiahle skúsenosti pri riešení problematiky ochrany osobných údajov podľa prechádzajúcej právnej úpravy, nového Nariadenia GDPR a zákona č. 18/2018 Z. z. o ochrane osobných údajov, Vám dokážeme zabezpečiť služby:

  • zastupovanie klienta pri kontrole zo strany Úradu na ochranu osobných údajov SR,
  • právna analýza a stanovisko v oblasti ochrany a spracúvania osobných údajov.

Na základe priebežného sledovania usmernení Úradu na ochranu osobných údajov dokážeme procesy nastavené klientom včas prispôsobiť uplatňovanej praxi v Slovenskej republike. 

Zastupovanie v konaniach pred Úradmi

Máte záujem o túto službu?

Manažer kybernetickej bezpečnosti

V zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov má prevádzkovateľ základnej služby povinnosť prijať bezpečnostné opatrenia, a zároveň je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti. Audit je potrebné vykonať do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základnej služby.

Na účely organizácie kybernetickej bezpečnosti sa uplatňuje zásada určenia manažéra kybernetickej bezpečnosti, ktorý na základe vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení:

1. má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,

2. zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,

3. je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií,

4. spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.

Určený manažér kybernetickej bezpečnosti musí byť osoba, ktorá je schopná preukázať svoju odbornú spôsobilosť, a ktorej bezpečnostnou úlohou je zodpovednosť za organizovanie systému riadenia kybernetickej bezpečnosti.

Kybernetický manažér je profesionálnym riadiacim prvkom kybernetickej bezpečnosti prevádzkovateľa základnej služby, ktorý potrebuje poznať vnútorné prostredie organizácie a aktíva prevádzkovateľa základnej služby.

Ako spoločnosť Vám dokážeme zabezpečiť službu kybernetického manažéra. Naša ponuka zahŕňa komplexné služby kybernetického manažéra, ktorý je znalec v oblasti informačno-komunikačných technológií a je spôsobilý vykonávať svoje úlohy v súlade s osobitým predpisom vydaným úradom.  Pre záujem a bližšie informácie nás prosím kontaktujte na uvedenú e-mailovú adresu info@topprivacy.sk

Manažer kybernetickej bezpečnosti

Máte záujem o túto službu?

Potrebujete odborného partnera?

Potrebujete odborného partnera?

Máte záujem o túto službu?