Ochrana osobných údajov

Ochrana osobných údajov od 25.5.2018 podľa GDPR - európskeho nariadenia č. 2016/679

  1. Úvodná analýza
  • Prevzatie existujúcej dokumentácie podľa zákona č. 122/2013 Z.z., jej posúdenie v rozsahu bezpečnostný projekt, bezpečnostná smernica, smernica o kamerovom systéme,
  • preverenie rozsahu využívania stanovených záznamov Poučenie oprávnených osôb, Súhlas dotknutých osôb, Dohoda o mlčanlivosti, Poskytnutie informácií a jeho potvrdenie dotknutou osobu, Sprostredkovateľské zmluvy atď..
  • preverenie kontrolnej činnosti v oblasti ochrany osobných údajov v organizácií
  • identifikovať všetky druhy zmlúv, kde sa nachádza odkaz na zákon č. 122/2013 Z.z.
  • identifikovať všetky interné smernice, kde sa nachádza odkaz na zákon č. 122/2013 Z.z.
  • Prevziať zoznam sprostredkovateľov – preveriť zabezpečenie sprostredkovateľských zmlúv
  • Identifikovať všetky druhy súhlasov na spracovanie osobných údajov
 
  1. Školenia a menovanie tímu GDPR
  • Vstupné školenie pre manažment (manažérsky pohľad na GDPR a jeho implementáciu),
  • Druhotné školenie pre kľúčových zamestnancov (požiadavky GDPR a ich implementácia v podmienkach organizácie)
  • Určenie zodpovednej osoby (DPO) a jej menovanie
  • Určenie bezpečnostného manažéra a jeho menovanie, úprava existujúcej organizačnej štruktúry
  • Menovanie vedúceho tímu GDPR a jeho členov (tím musí byť multidisciplinárny t.j. min. oblasť personalistiky, informačné technológie, právne, procesné riadenie)
  • Stanovenie metodiky zasadania tímu GDPR (zodpovednosti a právomoci, zápisnica)
 
  1. Analýza rizík a Posúdenie vplyvu na ochranu osobných údajov (DPIA)
  • Vypracovanie smernice pre Posúdenie vplyvu na ochranu osobných údajov (DPIA),
  • Detailná analýza v spolupráci s tímu GDPR po jednotlivých oddeleniach organizácie so zámerom identifikácie osobných údajov, účelu spracovávania, identifikácia právneho základu, zadefinovanie spracovateľské operácie, poskytovanie osobných údajov, spôsob spracúvania osobných údajov, lehota uchovávania a prepojenie na existujúci informačný systém – Evidenčné listy informačných systémov
  • Vytvorenie internej politiky „Ochrany osobných údajov a súkromia“ (tzv. „Privacy Policy“)
  • Posúdenie bezpečnosti spracúvania osobných údajov v spoločnosti, stanovenie životného cyklu osobných údajov v organizácii
  • Vypracovanie DPIA (posúdenie závažnosti a pravdepodobnosti vzniku rizika, prijímanie preventívnych opatrení )
Posúdenie vplyvu NIS smernice č. 1148/2016 o kyberbezpečnosti.
 
  1. Tvorba a implementácia dokumentácie požiadaviek GDPR
  • Politika GDPR,
  • Etický kódex a Prehlásenie „GDPR ready“
  • Stanovenie cieľov GDPR
  • Zavedenie tzv. prevádzkového denníka na vedenie záznamov o spracovávaní osobných údajov (povinnosť prevádzkovateľa pri počte min. 250  zamestnancov)
  • Zavedenie povinnosti nahlasovania bezpečnostných incidentov Úradu na OOÚ podľa GDPR
  • Aktualizácia Evidenčných listov zo zákona č. 122/2013 na Záznamy o spracovateľských činnostiach podľa GDPR (spracovanie nových)
  • Aktualizácia resp. vypracovanie Poskytnutia informácií dotknutým osobám a Potvrdenia o poskytnutí informácií
  • Aktualizácia resp. vypracovanie Súhlasov na spracovanie osobných údajov
  • Nová úprava súhlasu zo strany neplnoletých osôb
  • Aktualizácia resp. vypracovanie Dohody o mlčanlivosti
  • Aktualizácia resp. vypracovanie Poučenia oprávnených osôb
  • Vypracovanie smernice Bezpečnostné opatrenia pre zabezpečenie informačných technológií (šifrovanie, cloud, vzdialené prístupy, právo na výmaz osobných údajov, prenos údajov, retenčná doba, logovanie, profilovanie)
  • Aktualizácia, alebo vypracovanie smernice pre kamerové systémy
  • Vypracovanie smernice pre identifikáciu, predchádzaniu, monitorovaniu a správe bezpečnostných incidentov
  • Aktualizácia, alebo vypracovanie bezpečnostnej smernice pre oblasť riadenia ľudských zdrojov
  • Vypracovanie smerníc podľa potreby výstupov DPIA
  • Zapracovanie existujúcich dokumentov do procesného systému organizácie podľa ISO 9001:2015
 
  1. Sprostredkovateľské zmluvy
  • Vypracovanie smernice pre bezpečnostné opatrenia pre sprostredkovateľov a subdodávateľov,
  • Zabezpečenie prehlásenia „GDPR Ready“ od sprostredkovateľov,
  • Vypracovanie nových sprostredkovateľských zmlúv,
  • Aktualizácia zoznamu sprostredkovateľov.
 
  1. Web sídlo spoločnosti
  • Pripraviť na webovom sídle spoločnosti kolónku ochrana osobných údajov, na zverejnenie požadovaných dokumentov
  • Vytvorenie kontaktného e-mailu pre zodpovednú osobu (DPO) a jeho umiestenie na web
 
  1. Školenie a oboznámenie zamestnancov
  • Vypracovanie školiaceho materiálu na mieru organizácie podľa vypracovanej dokumentácie GDPR,
  • Vypracovanie záznamu zo školenia.
 
  1. Výkon auditu
  • Vypracovanie programu auditu na mieru organizácie podľa vypracovaných bezpečnostných opatrení,
  • Vypracovanie kontrolného listu – checkliste na výkon kontroly OOÚ
Vypracovanie výsledkov z auditu prostredníctvom protokolu z auditu.
 
  1. Odovzdanie bezpečnostných opatrení
Vypracovanie protokolu o prevzatí a odovzdaní prác.
 
  1. Dohľad
  • Údržba vypracovanej bezpečnostnej dokumentácie v súlade so všetkými aktualizáciami zákona o ochrane osobných údajov a nariadenia GDPR,
  • Vykonávanie povinností osoby "zodpovednej osoby" v zmysle zákona:
    • Opätovné posúdenie
    • Komunikácia s Úradom na ochranu osobných údajov:
    • Výkon auditu a jeho zdokumentovanie so zameraním na zlepšovanie systému, identifikáciu nových hrozieb v oblasti informačnej bezpečnosti, prijatie nápravných opatrení na zistené nedostatky. Vypracovanie príslušnej dokumentácie.
  • Zaškolenie a preškolenie novoprijatých oprávnených osôb, poučenie ostatných osôb,
  • Spolupráca pri tvorbe a samotné vytvorenie a aktualizácia vykonávacích predpisov
  • Zastúpenie našou spoločnosťou pri kontrole z Úradu na ochranu osobných údajov vo Vašej organizácií

 

Kontakt

ROVNANE consulting, s.r.o.
Horská 556/6
05935 Batizovce

© 2010 - 2023 Rovnane.