Usluga prilagodbe GDPR uredbi

 

 

GDPR (General Data Protection Regulation) ili Opća uredba o zaštiti podataka, nova je uredba EU i većina organizacija mora napraviti velike promjene u poslovnim procesima i informacijskoj sigurnosti. Uredba se odnosi na sve organizacije bez obzira na veličinu i djelatnost, dok velike kazne očekuju sve one koji nisu usklađeni. U svrhu uspješnog pokretanja prilagodbe GDPR uredbi potrebno je identificirati sve osobne podatke kao i njihov životni ciklus kroz poslovne procese organizacije (prikupljanje / izrada, obrada, pohrana, prijenos, brisanje). Na osnovu prikupljenih podataka vrši se procjena rizika vezanih uz obradu osobnih podataka u svrhu dobivanja jasnih odgovora na sljedeća pitanja:

  • Koji se osobni podaci prikupljaju?
  • Od koga se prikupljaju?
  • Zašto se prikupljaju?
  • Kako se obrađuju?
  • Koja je pravna osnova za svaku obradu?
  • Gdje se podaci pohranjuju?
  • Koliko dugo se čuvaju?
  • Tko ima pristup podacima?
  • Kome se podaci prenose?

Potom se definiraju i implementiraju procedure koje omogućuju osoblju koje obrađuje osobne podatke izvršavanje dužnosti na učinkovit način usklađen s GDPR-om. S obzirom na bitne obveze GDPR-a (npr. Prava ispitanika, Prijenos podataka, Zakonitost obrade…), važno je da osoblje ima jasne smjernice za obradu osobnih podataka. GDPR značajno povećava prava pojedinaca i kao rezultat toga, organizacije će imati povećani broj zahtjeva i pritužbi od strane građana. Organizacije su dužne odgovoriti na takve zahtjeve u roku od mjesec dana, osim ako su zahtjevi neutemeljeni, pretjerani ili postoji zakonska mjera koja dopušta odbijanje pristupa. Angažman naših konzultanata osigurat će vam efikasnu prilagodbu uredbi i uspostavu praktičnih procedura obrade osobnih podataka. Kompleksnost prilagodbe i uspostave potrebnih procesa zahtijeva poznavanje uredbe i stručna znanja vezana uz zaštitu podataka i informacijsku sigurnost. Naša usluga pomaže vam u usklađivanju sa zakonskim i regulatornim odredbama uzimajući u obzir vašu informatičku tehnologiju i poslovne ciljeve. Pružamo cjeloviti pristup upravljanju i zaštiti osobnih podataka uključujući i upravljanje sigurnošću trećih strana. Za više informacija i formalnu ponudu slobodno nas kontaktirajte na info@xiphos.hr ili na 091/1444-111. U nastavku slijedi pregled koraka koji će se provoditi u svrhu prilagodbe uredbi GDPR-a.

Zašto odabrati Xiphos

Zašto odabrati Xiphos

  • Naša usluga prilagodbe zasniva se na cjelovitom pristupu zaštite osobnih podataka koji uključuje većinu kontrola informacijske sigurnosti po ISO 27001 standardu.
  • Maksimalno se smanjuje rizik od povrede osobnih podataka (Data breach).
  • Preko 20 godina iskustva u uspostavi sustava informacijske sigurnosti i rada s renomiranim tvrtkama raznih veličina i djelatnosti u Hrvatskoj i inozemstvu.
  • Opsežno znanje i veliko iskustvo u prilagodbi organizacija GDPR uredbi i važećim zakonima.
  • Poznavanje i korištenje najnovih tehnologija kako bi se posao obavljao brže i kvalitetnije.
  • Uz uslugu dobivate pristup našem sustavu za online edukaciju.

PREGLED KORAKA U SVRHU GDPR PRILAGODBE

  • GAP analiza – pregled početnog stanja i stanja nakon prilagodbe u sukladnosti s GDPR-om (dokument u kojem je vidljivo početno stanje, potrebne i poduzete mjere, te sukladnost nakon prilagodbe. Ista se izrađuje i nadopunjuje tijekom cijelog projekta)
  • Intervjui s ključnim djelatnicima (Identifikacija svrha obrade, tipova podataka, prijenosa podataka, tijeka poslovnih procesa, pohrane podataka)
  • Analiza postojeće dokumentacije (pregled internih akata organizacije)
  • Analiza poslovnih softvera koji se koriste u obradi osobnih podataka (kontrola pristupa, pregled obrade podataka)
  • Analiza tipskih ugovora s trećim stranama u pogledu zaštite podataka
  • Analiza postojećih sigurnosnih mjera u organizaciji, pričuvna pohrana, postavke sustava, upravljanje lozinkama…
  • Analiza važećih zakonskih odredbi vezanih uz poslovanje. Analiza zakonskih akata vezanih uz zaštitu osobnih podataka, zakonitosti obrade i rokova čuvanja, na temelju djelatnosti organizacije
  • Izrada evidencije aktivnosti obrade (svrha obrade, kategorije osobnih podataka, kategorije primatelja…)
  • Procjena rizika vezanih uz zaštitu osobnih podataka na osnovu prijašnjih analiza
  • Analiza utjecaja zaštite posebnih kategorija osobnih podataka (medicinski, sudski, politička i vjerska uvjerenja…)
  • Izrada Politike zaštite osobnih podataka
  • Izrada Politike privatnosti za internet stranicu
  • Prijedlog aneksa ugovora za sve tipske ugovore (sve klauzule koje treba izmijeniti i dodati sukladno GDPR-u)
  • Izrada dokumenta Pravo ispitanika – pristup podacima (dokument koji se daje ispitanicima uz njihove osobne podatke, na njihov zahtjev)
  • Prilagodba poslovnih procesa sukladno GDPR regulativi. Na osnovu analiza izrađuju se upute za prilagodbu postojećih poslovnih procesa (uklanjanje prekomjerne obrade, uništavanje suvišne dokumentacije, sigurno korištenje informacijskog sustava)
  • Priprema edukacijskih materijala za djelatnike

Pregled kontrolnih mjera koje uzimamo u obzir prilikom prilagodbe GDPR uredbi

1 Organizacija zaštite podataka
1.1 Organizacija
1.1.1 Utvrđivanje opsega obrade osobnih podataka
1.1.2 Voditelj obrade
1.1.3 Izvršitelj obrade
1.2 Podrška
1.2.1 Sredstva
1.2.2 Kompetencije
1.2.3 Svijest
1.2.4 Komunikacija
1.2.5 Integrirana zaštita privatnosti
1.3 Službenik za zaštitu podataka (DPO)
1.3.1 Imenovanje DPO
1.3.2 Sukob interesa
1.3.3 Zadaci DPO
1.4 Prava ispitanika
1.4.1 Dostava informacija ukoliko su dobiveni od ispitanika
1.4.2 Dostava informacija ukoliko su dobiveni na drugi način
1.4.3 Pravo ispitanika na pristup
1.4.4 Ispravak podataka
1.4.5 Brisanje podataka
1.4.6 Izvješćivanje u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade
1.4.7 Ograničenje obrade
1.4.8 Prenosivost podataka
1.4.9 Pravo na prigovor i automatizirano pojedinačno donošenje odluka
1.4.10 Ograničenje obveza vezanih uz prava ispitanika
2 Sigurnost ljudskih resursa
2.1 Provjera kandidata za posao
2.1.1 Odredbe i uvjeti zaposlenja
2.2 Zaposlenici
2.2.1 Odgovornost rukovodstva
2.2.2 Svijest o zaštiti osobnih podataka – edukacija i osposobljavanje
2.2.3 Disciplinski proces
2.3 Promjena radnog mjesta ili prekid zaposlenja
3 Upravljanje resursima
3.1 Odgovornost za resurse
3.1.1 Popis resursa
3.1.2 Prihvatljivo korištenje resursa
3.1.3 Povrat resursa
3.2 Klasifikacija
3.3 Rukovanje medijima
3.3.1 Upravljanje prenosivim medijima
3.3.2 Zbrinjavanje medija
3.3.3 Transport medija
3.4 Prijenosni uređaji i rad na daljinu
3.4.1 Sigurnost prijenosnih uređaja
3.4.2 Rad na daljinu
4 Kontrole pristupa
4.1 Poslovni zahtjevi kontrole pristupa
4.1.1 Uspostava kontrole pristupa
4.1.2 Pristup mreži i mrežnim servisima
4.2 Upravljanje korisničkim pristupom
4.2.1 Registracija i deregistracija korisnika
4.2.2 Dodjeljivanje korisničkog pristupa
4.2.3 Upravljanje privilegiranim pravima pristupa
4.2.4 Upravljanje tajnošću autentifikacije korisnika
4.2.5 Provjera prava korisničkog pristupa
4.2.6 Uklanjanje ili prilagođavanje pravima pristupa
4.3 Odgovornost korisnika
4.4 Kontrola pristupa sustavu i aplikacijama
4.4.1 Ograničavanje pristupa osobnim podacima
4.4.2 Procedure sigurnosne prijave na sustave
4.4.3 Upravljanje zaporkama
4.4.4 Korištenje privilegiranih alata
4.4.5 Kontrola pristupa izvornom programskom kodu
5 Mjere zaštite
5.1 Enkripcija
5.2 Anonimizacija
5.3 Pseudonimizacija
6 Fizička sigurnost i sigurnost okruženja
6.1 Sigurna područja
6.1.1 Fizička sigurnost perimetra
6.1.2 Kontrole fizičkog pristupa
6.1.3 Sigurnost ureda, prostorija i objekata
6.1.4 Zaštita od vanjskih prijetnji i nepogoda
6.1.5 Rad u sigurnom prostoru
6.1.6 Prostor prihvata i isporuke
6.2 Oprema
6.2.1 Smještaj i zaštita opreme
6.2.2 Komunalije
6.2.3 Sigurno kabliranje
6.2.4 Održavanje opreme
6.2.5 Iznošenje opreme
6.2.6 Sigurnost opreme i imovine izvan prostorija organizacije
6.2.7 Sigurno odlaganje ili ponovno korištenje opreme
6.2.8 Nenadzirana korisnička oprema
6.2.9 Politika praznog stola i zaslona
7 Operativna sigurnost
7.1 Radne procedure i odgovornosti
7.1.1 Dokumentirati radne procedure
7.1.2 Upravljanje promjenama
7.1.3 Odijeljivanje razvojnog, testnog i operativnog okruženja
7.2 Zaštita od malicioznog koda
7.3 Backup (pričuvna kopija)
7.4 Logiranje i praćenje
7.4.1 Logiranje događaja
7.4.2 Zaštita log podataka
7.4.3 Administrativni i operativni zapisi
7.4.4 Sinkronizacija satova
7.5 Kontrola operativnog softvera
7.6 Tehnička ranjivost
7.6.1 Upravljanje tehničkim ranjivostima
7.6.2 Ograničenja instaliranja softvera
7.7 Razmatranja revizije informacijskih sustava
8 Sigurnost komunikacija
8.1 Upravljanje mrežnom sigurnošću
8.1.1 Kontrole mreže
8.1.2 Sigurnost mrežnih usluga
8.1.3 Odvajanje u mrežama
8.2 Prijenos informacija
8.2.1 Procedure prijenosa informacija
8.2.2 Sporazumi o prijenosu informacija
8.2.3 Elektroničke poruke
8.2.4 Sporazum o povjerljivosti
9 Nabava, razvoj i održavanje sustava
9.1 Sigurnosni zahtjevi informacijskih sustava
9.1.1 Analiza i specifikacija sigurnosnih zahtjeva
9.1.2 Zaštita aplikativnih usluga na javnim mrežama
9.1.3 Zaštita transakcija aplikativnih servisa
9.2 Sigurnost u procesima razvoja i podrške
9.2.1 Politika sigurnog razvoja
9.2.2 Postupci kontrole sistemskih promjena
9.2.3 Tehnička provjera aplikacija nakon promjene operativnog sustava
9.2.4 Ograničenja promjena softverskih paketa
9.2.5 Načela inženjeringa sigurnog sustava
9.2.6 Sigurno razvojno okruženje
9.2.7 Eksternalizirani razvoj
9.2.8 Sustav sigurnosnog testiranja
9.2.9 Test prihvaćanja sustava
9.3 Testiranje podataka
10 Odnos s trećim stranama
10.1 Zaštita osobnih podataka u odnosima s trećim stranama
10.1.1 Revizije ugovora s trećim stranama
10.1.2 Lanac opskrbe informacijskom i komunikacijskom tehnologijom
10.2 Upravljanje isporukama dobavljača
11 Upravljanje incidentima
11.1 Upravljanje incidentima i poboljšanja
11.1.1 Odgovornosti i procedure
11.1.2 Izvješćivanje o sigurnosnim incidentima
11.1.3 Izvješćivanje o sigurnosnim slabostima
11.1.4 Ocjena i odlučivanje o događajima informacijske sigurnosti
11.1.5 Odgovori na incidente
11.1.6 Učenje na incidentima
11.1.7 Prikupljanje dokaza
11.2 Izvješćivanje o povredi osobnih podataka
11.2.1 Izvješćivanje nadzornog tijela o povredi osobnih podataka
11.2.2 Izvješćivanje ispitanika o povredi osobnih podataka
12 Planiranje
12.1 GAP analiza
12.2 Upravljanje rizicima
12.2.1 Procjena rizika zaštite osobnih podataka
12.2.2 Obrada rizika zaštite osobnih podataka
12.3 DPIA
12.4 Edukacija
13 Usklađenost
13.1 Usklađenost sa zakonskonskim i ugovornim zahtjevima
13.1.1 Identifikacija primjenjivih zakona i ugovornih zahtjeva
13.2 Pregled informacijske sigurnosti i zaštita osobnih podataka
13.2.1 Usklađenost sa sigurnosnim standardima, GDPR uredbom i zakonima.
13.2.2 Neovisni pregled
13.2.3 Pregled tehničke usklađenosti
13.3 Politike i procedure
13.3.1 Politika zaštite osobnih podataka
13.3.2 Procedura primjerenog korištenja informacijskog sustava
13.3.3 Politika privatnosti
13.3.4 Politika upravljanja prijenosnim uređajima
13.4 Evidencija aktivnosti obrade
13.4.1 Evidencija obrade za voditelja obrade
13.4.2 Evidencija obrade za izvršitelja obrade
13.5 Privole
13.6 Informacije o prikupljanju i obradi osobnih podataka

Kontaktirajte nas u svezi GDPR prilagodbe

2 + 15 =

Xiphos d.o.o.

Fabijanićeva 60
10040 Zagreb

Tel. +385 1 2915 736

Mob. +385 91 1444 111
Mob. +385 98 1610 492

Web: www.xiphos.hr
Email: info@xiphos.hr

MATIČNI BROJ: 2954656

OIB: 39402063665

 

REGISTARSKI SUD
Trgovački sud u Zagrebu

TVRTKA
Xiphos d.o.o. za usluge

Adresa: Fabijanićeva 60, 10040 Zagreb

IBAN: HR6123300031152496151

TEMELJNI KAPITAL
20.000,00 kn, uplaćen u cijelosti

ČLANOVI UPRAVE
Darie Marić, zastupa društvo u cijelosti