BPIS / GDPR / ePrivacy

Nami vypracovaný bezpečnostný projekt obsahuje:

1.Úvod

1.1 Dôvody k riešeniu informačnej bezpečnosti

2. Definovanie základných pojmov a všeobecný prehľad

2.1 Základné pojmy

2.2 Technické pojmy

3. Bezpečnostný zámer

3.1 Základné bezpečnostné ciele

3.1.1 Ciele v oblasti personálnej

3.1.2 Ciele v oblasti organizačnej

3.1.3 Ciele v oblasti technickej

3.1.4 Úrovne bezpečnosti

3.2 Minimálne požadované bezpečnostné opatrenia

3.3 Špecifikácia bezpečnostných opatrení

3.3.1 Špecifikácia technických opatrení

3.3.2 Špecifikácia organizačných opatrení

3.3.3. Špecifikácia personálnych opatrení

3.4. Vymedzenie okolia informačného systému

3.5 Vymedzenie hraníc zostatkových rizík

3.6 Riadenie bezpečnosti

4. Analýza bezpečnosti informačného systému

4.1 Popis informačného systému

4.2. Hodnota informácií

4.3 Kvantitatívna analýza bezpečnostných rizík zneužitia osobných údajov

4.3.1 Nedostatočná personálna bezpečnosť IS

4.3.2 Nedostatočná fyzická bezpečnosť IS

4.3.3. Nedostatočná technická bezpečnosť IS

4.3.4 Nedostatočná softvérová bezpečnosť IS

4.3.5 Nedostatočná bezpečnostná údržba IS

4.3.6 Nepokryté bezpečnostné rizika IS

Nami vypracovaná smernica / závery obsahujú :

1. Úvodné ustanovenia

2. Rozsah platnosti

3. Úrovne riešenia bezpečnosti

4. Zameranie bezpečnostných opatrení

4.1 Spôsob získavania osobných údajov

4.2 Informačno-technická bezpečnosť

4.2.1 Popis technických opatrení:

4.2.2 Ochrana pred neoprávneným prístupom - šifrovanie

4.2.3 Riadenie prístupu oprávnených osôb

4.2.4 Ochrana proti škodlivému kódu

4.2.5 Sieťová bezpečnosť

4.2.6 Zálohovanie dát

4.2.7 Základná prevencia pred napadnutím ( infiltráciou )

4.3. Organizačné opatrenia

4.3.1 Pravidlá v rámci organizačnej štruktúry

4.3.2 Rozdelenie kompetencií

4.3.3 Určenie pracovných a bezpečnostných postupov

4.3.4 Ďalšie organizačné opatrenia

4.3.5 Súhlas dotknutých osôb

4.3.6 Sťažnosti

4.3.7 Nakladanie s nosičmi údajov

4.4 Personálne opatrenia

4.4.1 Požiadavky na personálne opatrenia:

4.4.2. Rozsah oprávnení a povinností zodpovednej osoby

• Zodpovedná osoba zabezpečuje

• Zodpovedná osoba vypracováva

• Zodpovedná osoba zodpovedá za

• Zodpovedná osoba kontroluje

4.4.3. Rozsah povinností oprávnených osôb

4.4.3. Rozsah povinností správcu systému

• Správca systému zodpovedá

• Správca systému zabezpečuje

4.5. Fyzická a objektová bezpečnosť

• Formy fyzickej a objektovej bezpečnosti

• Minimálne požadované bezpečnostné opatrenia

5.Likvidácia osobných údajov

6. Bezpečnostné incidenty

6.1 Narušenie personálnej bezpečnosti:

6.2 Narušenie fyzickej bezpečnosti

6.3 Narušenie technicko-softvérovej bezpečnosti

7. Kontrolná činnosť

7.1 Kontrola dodržiavania bezpečnostných záverov

Ďalšie dokumenty, ktoré od nás dostanete už v cene projektu :

Poverenie zodpovednej osoby, ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov

Poučenie oprávnených osôb, prevádzkovateľ je povinný poučiť osobu o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam

Návrh zmluvy Prevádzkovateľ – Sprostredkovateľ, (Sprostredkovateľ – Subdodávateľ), prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve

Oznámenie o poverení zodpovednej osoby, prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Výpisu z registra trestov nie starším ako tri mesiace sa nezasiela na úrad, ale ponechá si ho prevádzkovateľ

Žiadosť o absolvovanie skúšky, fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky

Odvolanie zodpovednej osoby, zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov a neplní si svoje povinnosti, alebo v prípade organizačných zmien, musí byť odvolaná z funkcie zodpovednej osoby a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať

Evidencia informačného systému, o informačných systémoch, ktoré nepodliehajú osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1.

Súhlas so spracovaním osobných údajov ( neplatí pre kamerové systémy ), súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov

Osobitná registrácia IS, Zmeny a Odhlásenie registrácie IS ak prevádzkovateľ spracúva osobné údaje je povinný prihlásiť na osobitnú registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú osobitnej registrácii podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa

Oznámenie zmien, odhlásenie z registrácie a odhlásenie osobitnej registrácie, prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny údajov prihlásených na registráciu alebo na osobitnú registráciu, ktoré nastanú v priebehu spracúvania

Kompletný zákon č. 122/2013 Z.z. a jeho vykonávacia vyhláška