CADpiping

Professional Blogs

GDPR (General Data Protection Regulation)

Leave a comment

GDPR

Ponuka na spracovanie interných predpisov a dokumentov na ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (General Data Protection Regulation – „GDPR“):

OCHRANA OSOBNÝCH ÚDAJOV – GDPR

Spracovanie dokumentácie GPDR

https://www.m-files.com/en/ecm-solution-for-easy-gdpr-compliance

Audit ochrany osobných údajov / viac informácií:

o   aké osobné (citlivé) údaje spracúva,

o   analýza rizík ohrozujúcich osobné údaje a iné aktíva klienta (pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom),

o   ako má klient zabezpečenú ochranu osobných údajov z hľadiska:

·                informačnej bezpečnosti,

·                šifrovej ochrany informácií,

·                fyzickej bezpečnosti a objektovej bezpečnosti,

·                administratívnej bezpečnosti,

·                personálnej bezpečnosti a bezpečnostného manažmentu,

·                administratívnej bezpečnosti.

Na základe auditu zabezpečíme:

návrh riešenia ochrany osobných údajov (podľa auditu) pre klienta (návrh bude spracovaný so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb  primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku) a spracovanie dokumentácie (interných predpisov a dokumentov) na ochranu osobných údajov.

Spracovanie interných pravidiel na ochranu osobných údajov:

s ohľadom na GDPR  (bod. 78, čl. 6, bod 1 písm. f), čl. 25 smernice nariadenia EU a Rady            č. 679/2016 zabezpečíme spracovanie príslušných interných predpisov a dokumentácie            s ohľadom na povahu, rozsah, a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade so zákonom.

V prípade osobitnej požiadavky zabezpečíme potrebné aktualizácie (nie je súčasťou tejto ponuky, ak nebude dohodnuté inak).

Dokumentácia (interné predpisy) budú spracované na základe:

  1. Nariadenie Európskeho parlamentu a Rady 2016/679,
  2. Zákon na ochranu osobných údajov,
  3. Vyhláška Národného bezpečnostného úradu č. 134/2016 Z. z. o personálnej bezpečnosti.
  4. Vyhláška Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu                            č. 315/2006 Z. z.
  5. Vyhláška Národného bezpečnostného úradu č. 453/2007Z. z. o administratívnej bezpečnosti v znení neskorších predpisov (primerane).
  6. Vyhláška Národného bezpečnostného úradu č. 339/2004 Z. z. o bezpečnosti technických prostriedkov.
  7. STN ISO/IEC 27002 – informačné technológie.
  8. Odporúčané bezpečnostné nastavenia pre systémový prostriedok WINDOWS (Národný bezpečnostný úrad).
  9. Návod  k automatizovanému individuálnemu rozhodovaniu a profilovaniu  podľa Nariadenia EU a Rady 2016/679 (WP291).
  10. Návod k ohlasovaniu prípadov porušenia zabezpečovania osobných údajov podľa Nariadenia 2016/679  (WP290).
  11. Pokyny pre posúdenie vplyvu na ochranu údajov a stanovenie,  či „je pravdepodobné, že spracovanie údajov bude mať za následok vysoké riziko“ pre účely Nariadenia 2016/679            (WP 248).
  12. Pokyny týkajúce sa zodpovedných osôb pri ochrane osobných údajov (WP 243).

Posúdenie vplyvu na ochranu osobných údajov

Zabezpečujeme posúdenie vplyvu na ochranu osobných údajov, ak klient vykonáva:

  • systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania,
  • spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu,
  • systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.

 

Posúdenie sa vykonáva na základe PIA metodiky (Privacy Impact Assessment – PIA).

 

Vzhľadom na to, že klient je povinný s Úradom na ochranu osobných údajov uskutočniť konzultáciu pred spracúvaním osobných údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa GDPR zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, zabezpečujeme klientovi súčinnosť pri poskytovaní príslušných informácií  a poradenstvo pri týchto konzultáciách.

Školenia na ochranu osobných údajov zamerané na

–          vedomosti v oblasti slovenskej a Európskej praxe a právnych predpisov na ochranu osobných údajov,

–          chápanie GDPR,

–          princípy a zásady spracovania osobných údajov,

–          práva dotknutých osôb,

–          povinnosti prevádzkovateľa a osôb spracúvajúcich osobné údaje,

–          ochrana osobných údajov.

Školenia zodpovedných osôb zamerané hlavne na:

·         odborné vedomosti v oblasti slovenskej a Európskej praxe a právnych predpisov na ochranu osobných údajov,

·         dôkladné chápanie GDPR,

·         porozumenie konkrétnym operáciám pri spracovávaní osobných informácií

·          porozumenie informačným technológiám a zabezpečeniu osobných údajov,

·          vedomosti o organizácií podniku, v ktorej bude vykonávať zodpovednú osobu,

·         schopnosť presadzovať  v rámci organizácie alebo podniku kultúru ochrany osobných údajov.

 

Spracovanie dokumentácie na ochranu citlivých (obchodných, právnych firemných) informácií

o   analýza rizík ohrozujúcich citlivé informácie a iné aktíva klienta

o    Smernica na ochranu citlivých (obchodných informácií) na zabezpečenie:

·                informačnej bezpečnosti,

·                šifrovej ochrany informácií,

·                fyzickej bezpečnosti a objektovej bezpečnosti,

·                administratívnej bezpečnosti,

·                personálnej bezpečnosti a bezpečnostného manažmentu,

·                administratívnej bezpečnosti.

 

(režimové a technické opatrenia sú spracované tak, aby ochrana osobných údajov a ochrana citlivých (obchodných) údajov bola zosúladená)

Poskytovanie služieb Zodpovednej osoby v rozsahu GDPR (mesačný paušál na základe osobitnej dohody)

 

Poskytované služby – zodpovedná osoba podľa GDPR:

 

  • poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
  • monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
  • poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania,
  • spolupracuje s úradom pri plnení svojich úloh,
  • plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov.

 

 

 

Vnútropodnikové pravidlá (podľa GPDR)

 

 

Ak klient vykonáva prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii musí zabezpečiť primerané záruky ochrany osobných údajov. Jednou zo záruk je mať spracované vnútropodnikové pravidlá, ktoré zabezpečíme podľa GDPR.

Kódex správania

Ak združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov sa rozhodne prijať kódex správania, zabezpečíme jeho spracovanie a konzultácie podľa GDPR.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ďalšie dokumenty na ochranu osobných údajov podľa GPDR

 

Zabezpečíme spracovanie informácie (podľa analýzy), ktoré je povinný klient poskytnúť dotknutej osobe pri ich získavaní ak  osobné údaje sú získané priamo od dotknutej osoby:

  • identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ako bol poverený,
  • kontaktné údaje zodpovednej osoby, ak je určená,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  • oprávnené záujmy prevádzkovateľa alebo tretej strany, ak spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany.
  • identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie a informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom kde boli sprístupnené, ak prevádzkovateľ zamýšľa ich prenos,
  • dobe uchovávania osobných údajov,
  • práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  • práve kedykoľvek svoj súhlas odvolať,
  • práve podať návrh na začatie konania Úradu na ochranu osobných údajov, ak dotknutá osoba bude tvrdiť, že bola priamo dotknutá na svojich právach.
  • tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy a o tom či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
  • existencii automatizovaného individuálneho rozhodovania vrátane profilovania,
  • informácie o inom účele a ďalšie relevantné informácie.

 

Zabezpečíme, ak je to potrebné (podľa analýzy) spracovanie informácie, ktoré je povinný klient poskytnúť dotknutej osobe pri ich získavaní ak  osobné údaje nie sú získané od dotknutej osoby

  1. identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
  2. kontaktné údaje zodpovednej osoby, ak je určená,
  3. účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
  4. kategórie spracúvaných osobných údajov,
  5. identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
  6. informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie,
  7. dobe uchovávania osobných údajov, alebo kritériách jej určenia,
  8. oprávnených záujmoch prevádzkovateľa alebo tretej strany,
  9. práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
  10. práve kedykoľvek svoj súhlas odvolať,
  11. práve podať návrh na začatie konania Úradu na ochranu osobných údajov, ak dotknutá osoba bude tvrdiť, že bola priamo dotknutá na svojich právach.
  12. zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
  13. existencii automatizovaného individuálneho rozhodovania vrátane profilovania, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.

Záznamy o spracovateľských činnostiach

Zabezpečíme spracovanie záznamov o spracovateľských činnostiach, za ktoré je zodpovedný.

Tento záznam musí obsahovať:

  • identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený a zodpovednej osoby,
  • účel spracúvania osobných údajov,
  • opis kategórií dotknutých osôb a kategórií osobných údajov,
  • kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií,
  • označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách,
  • predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
  • všeobecný opis technických a organizačných bezpečnostných opatrení.

 

 

Zmluva so sprostredkovateľom

Zabezpečíme pre klienta spracovania vzorovej zmluvy (konkrétnej podľa osobitnej dohody) podľa GDPR so sprostredkovateľom, ak osobné údaje bude spracúvať v mene klienta sprostredkovateľ.

 

 

Author: cadpiping

CAD Application Engineer

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s