GDPR

General Data Protection Regulation

Počínaje 25. květnem 2018 začne v celé Evropské unii platit Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, takzvané GDPR. Jedná se o přelomový právní akt, který sjednocuje ochranu osobních údajů v celé EU a dopadá na všechny subjekty, které osobní údaje zpracovávají.

 

Poskytneme Vám komplexní podporu při snaze dodržovat GDPR

Společnost poskytující peněžní produkty od více finančních institucí dostala požadavek od mateřské firmy dosáhnout plného souladu s Obecným nařízením o ochraně osobních údajů (2016/679).

Zákazník dlouhodobě spolupracuje s AEC, proto se na nás obrátil s požadavkem na součinnost, zejména pak identifikování všech účelů zpracování osobních údajů, jejich uložení, ověření aktuálního stavu souladu s tímto nařízením.

V první fázi byly formou interview identifikovány všechny typy a rozsah osobních údajů, se kterými je pracováno uvnitř společnosti včetně souvisejících účelů zpracování. V následném kroku byla ověřena zákonnost těchto účelů a byly navrhnuty první úpravy a změny, tak aby bylo dosaženo zákonnosti zpracování v plném rozsahu. Výstupem byl přehled zpracování osobních údajů.

V druhé fázi se analýza zaměřila na jednotlivá opatření určená k ochraně osobních údajů a jejich soulad s požadavky nařízení. Protože toto nařízení má pouze rámcové vymezení bezpečnostních opatření, po dohodě s klientem byl referenční normou zvolen standard IEC/ISO 27001:2013. Výstupem byla zpráva o stavu souladu s požadavky nařízení 2016/679 a plán bezpečnosti obsahující všechna nezbytná opatření k realizaci, aby bylo zajištěno plného souladu s Obecným nařízením o ochraně osobních údajů (2016/679).

Nové povinnosti

Stručně a zjednodušeně řečeno dochází k významnému zpřísnění regulace v oblasti zpracování osobních údajů. Nové podmínky budou v rámci organizace vyžadovat nejen úpravu stávajících procesů, které souvisejí se zpracováním, ale budou znamenat povinnou implementaci řady dalších opatření.

Tato nová evropská norma vyžaduje velmi komplexní přístup k celé problematice ochrany informací, přestože je zaměřena pouze na osobní údaje. V rámci automatizovaného zpracování osobních údajů vznikají nové povinnosti vedoucí k větší transparentnosti, ale především bezpečnosti.

Toho lze docílit přijetím odpovídajících konkrétních opatření nejen v oblasti bezpečnosti IT, ale také bezpečnosti fyzické, administrativní, organizační a procesní. Je nezbytné všechny tyto oblasti komplexně propojit tak, aby celá ochrana osobních údajů fungovala jako jednolitý systém.

Nelze zajistit dostatečnou ochranu osobních údajů bez toho, aby existovala návaznost mezi řídícími dokumenty, které vycházejí z definovaných procesů a postupů a nejsou podpořeny odpovídající organizační strukturou a správně aplikovanými technologiemi.

 

Naše řešení

​S využitím více než pětadvacetiletých zkušeností v oblasti bezpečnosti informací a informačních technologií nabízíme široký soubor produktů a služeb, s jejichž pomocí lze naplnit hlavní část požadavků této nové evropské legislativní normy. Ne všechna opatření musíte řešit pomocí vlastních interních zdrojů. S řadou z nich vám mohou pomoci specializovaní odborníci. takový outsourcing je v řadě případů i finančně výhodnější. Náročnost GDPR vyžaduje komplexní přístup k řízení ochrany osobních údajů. AEC nabízí unikátní propojení znalostí v oblasti systematického řízení bezpečnosti informací a nasazení vhodných bezpečnostních technologií.

Analýza souladu s požadavky GDPR

Základem pro správnou implementaci požadavků GDPR je detailní porovnání aktuálního stavu ochrany osobních údajů s požadavky definovanými nařízením. Jen tak lze zajistit efektivní implementaci všech požadavků GDPR. AEC zpracuje detailní analýzu a doporučí vhodný postup a rozsah implementace.

Návrh a implementace procesů a metodik

GDPR je založeno na principech „privacy by design“ a „risk-based aproach“. To vyžaduje nejen zavedení nových bezpečnostních procesů a metodik v rámci organizace, ale často bude mít dopad např. i v rámci architektury informačních systémů a aplikací. Jedná se zejména o postupy týkající se hlášení bezpečnostních incidentů, informační povinnosti nebo práva na výmaz. AEC navrhne a zavede procesy a metodiky customizované pro prostředí dané organizace.

Zpracování řídících dokumentů

Nezbytnou součástí ochrany osobních údajů je odpovídající řídící dokumentace (politiky, směrnice atd.), kterou organizace mj. dokládá plnění požadavků GDPR. AEC zpracuje či upraví řídící dokumenty v rozsahu odpovídajícím požadavkům GDPR s ohledem na stávající interní politiky a procesy.

Implementace technických opaření

Základním požadavkem GDPR je zajištění ochrany osobních údajů, zaručení jejich důvěrnosti, dostupnosti a integrity. K tomu je nezbytné implementovat dostatečná technická opatření k jejich zabezpečení či k identifikaci porušení bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atd.). AEC navrhne a implementuje vhodná technická řešení dle individuálních potřeb organizace.

Data Protection Impact Assessment

Analýza dopadů na osobní údaje (Data Protection Impact Assessment) je jedním ze základních nástrojů jak zajistit vysokou bezpečnost osobních údajů při jakémkoliv nakládání s osobními údaji, jako například při profilování, zpracování citlivých údajů či realizaci monitoringu veřejně přístupných prostor apod. AEC posoudí povinnost dané organizace realizovat DPIA a pokud tato povinnost vznikne, navrhne vhodný způsob implementace DPIA do stávajících (např. projektových) metodik. Dále AEC zajistí i samotné zpracování konkrétní DPIA analýzy, včetně případné konzultace s Úřadem na ochranu osobních údajů.

Pověřenec na ochranu osobních údajů - DPO

Jedním z nových požadavků GDPR je pro povinné subjekty ustanovení pověřence pro ochranu osobních údajů – Data Protection Officer. Tato role vyžaduje osobu s dostatečnou praxi a zkušeností v oblasti ochrany osobních údajů a předpokládá se jejich nedostatek na trhu. Tuto roli je možné realizovat i formou outsourcingu. AEC formou služby zajistí plnění všech povinností DPO s využitím svých zkušených a ověřených konzultantů.

Implementace GRC řešení

GDPR přináší zejména pro velké organizace zpracovávající velký objem osobních údajů mnoho dílčích povinností. Řešení GRC (Governance, Risk and Compliance) mohou být v takovém případě zásadním prvkem, který umožní efektivní řízení ochrany osobních údajů a plnění požadavků GDPR, včetně monitoringu míry souladu (compliance). AEC zajistí optimální návrh a implementaci vhodného GRC řešení nejen pro potřeby GDPR. Pro tyto účely disponuje týmem zkušených konzultantů.

Reference

​Dlouhodobě spolupracujeme s firmami a organizacemi napříč celým trhem. Mezi našimi zákazníky najdete nadnárodní společnosti, ale také malé firmy a drobné podnikatele. Všem vycházíme maximálně vstříc a poskytujeme služby na míru s ohledem na jejich velikost i oblast působení. Konkrétní reference rádi předložíme na vyžádání.