Bezpečnostný projekt pri ochrane osobných údajov

Ján Benko | 22.07.2014
Bezpečnostný projekt pri ochrane osobných údajov

Bezpečnostný projekt predstavuje zabezpečenie ochrany najrizikovejších osobných údajov. Kedy je potrebné ho vypracovať?

Otázka bezpečnosti akýchkoľvek údajov bola aj naďalej je veľmi citlivou, najmä čo sa týka osobných údajov. V súčasnosti dominujúci automatizovaný spôsob spracúvania osobných údajov pomocou výpočtovej techniky môže čeliť kybernetickým útokom rôzneho druhu a takmer bez časového obmedzenia. Aj kvôli týmto hrozbám musí prevádzkovateľ (resp. sprostredkovateľ) prijať bezpečnostné opatrenia, ktoré zodpovedajú adekvátnej ochrane osobných údajov.

Povinnosť vypracovania bezpečnostného projektu a povinnosť aktualizácie

Bezpečnostný projekt predstavuje zdokumentovanie bezpečnostných opatrení, ktoré majú chrániť osobné údaje. Zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“) prikazuje v zmysle § 19 ods. 2 vypracovanie bezpečnostného projektu v dvoch prípadoch, a síce, ak:

  • v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou sú spracúvané osobitné kategórie osobných údajov,
  • informačný systém slúži na zabezpečenie verejného záujmu.

K vypracovaniu bezpečnostného projektu sa pristupuje vtedy, ak spracúvané osobné údaje podliehajú vysokému bezpečnostnému riziku.

V zmysle § 19 ods. 3 zákona o ochrane osobných údajov je prevádzkovateľ (resp. sprostredkovateľ) povinný zabezpečiť súlad bezpečnostných opatrení v bezpečnostnom projekte s reálnym stavom spracúvania osobných údajov. Povinnosť aktualizácie bezpečnostných opatrení po uskutočnení zmien pri spracúvaní osobných údajov sa vzťahuje na prevádzkovateľa (resp. sprostredkovateľa) až do ukončenia spracúvania osobných údajov v informačnom systéme.

Zákon o ochrane osobných údajov neupravuje kto má vypracovať bezpečnostný projekt pre prevádzkovateľa (resp. sprostredkovateľa), t. j. neukladá požiadavky na kvalifikáciu a dosiahnuté zručnosti osôb, ktoré vypracúvajú bezpečnostný projekt. Zvyčajne sú to osoby s právnickým vzdelaním alebo iní odborníci pre oblasť ochrany osobných údajov, avšak porušením zákona o ochrane osobných údajov nie je skutočnosť, ak podnikateľ vypracuje bezpečnostný projekt samostatne.

Požiadavky na bezpečnostný projekt

Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Musí byť vypracovaný v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná (napr. štandardy STN ISO/IEC 27001, STN ISO/IEC 27002).

 Bezpečnostný projekt sa vypracúva v súlade s vyhláškou Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení neskorších predpisov (ďalej len „vyhláška o rozsahu a dokumentácii bezpečnostných opatrení“).

Bezpečnostný projekt musí podľa vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení obsahovať tieto časti:

  • názov informačného systému, na ktorý sa bezpečnostný projekt vzťahuje,
  • bezpečnostný zámer,
  • analýzu bezpečnosti informačného systému,
  • závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému.

Podrobný popis požiadaviek na bezpečnostný projekt, ako aj príkladmo uvedené bezpečnostné opatrenia sú súčasťou vyhláška o rozsahu a dokumentácii bezpečnostných opatrení, vrátane prílohy.

Dôležité pojmy, pokiaľ ide o bezpečnostný projekt

V rámci problematiky bezpečnostného projektu je potrebné vysvetliť pojmy informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť, osobitné kategórie osobných údajov a zabezpečenie verejného záujmu.

Pojem informačný systém osobných údajov je definovaný v § 4 ods. 3 písm. b) zákona o ochrane osobných údajov ako informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Ak ide o spracúvanie osobných údajov automatizovane alebo čiastočne automatizovane príslušným spôsobilým zariadením (napr. počítačom, tabletom), ktoré je pripojené na internet, ide o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť. Ak by boli príslušné spôsobilé zariadenia pripojené len na vnútropodnikovú sieť (tzv. intranet), nejde o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť.

Pojem osobitné kategórie osobných údajov je definovaný v § 13 zákona o ochrane osobných údajov. Najčastejšie diskutovanou osobitnou kategóriou osobných údajov sú biometrické údaje fyzickej osoby. Biometrickými údajmi fyzickej osoby v zmysle § 4 ods. 3 písm. f) zákona o ochrane osobných údajov sú napríklad odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny (analýza DNA). Pre spracúvanie biometrických údajov vydal Úrad na ochranu osobných údajov SR metodické usmernenie pod číselným označením 6/2013, ktoré je dostupné na internetovej stránke Úradu na ochranu osobných údajov SR. Ďalšími osobitnými kategóriami osobných údajov sú najmä osobné údaje o psychickej identite fyzickej osoby, osobné údaje o psychickej pracovnej spôsobilosti fyzickej osoby, osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť, osobné údaje o porušení ustanovení zakladajúcich administratívnoprávnu zodpovednosť.

Pojem verejný záujem má za cieľ určiť situácie, kedy prevádzkovateľ plní povinnosti ustanovené osobitnými predpismi. Zákon o ochrane osobných údajov uvádza oblasti verejného záujmu v § 3 ods. 1 a taktiež odkazuje na príklady právnych noriem. Vereným záujmom je napríklad plnenie povinností za účelom zaistenia bezpečnosti Slovenskej republiky, obrany Slovenskej republiky, verejného poriadku a bezpečnosti, predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovanie jej páchateľov, vyšetrovanie a stíhanie páchateľov trestných činov.

Pokuty

Za nesplnenie alebo porušenie povinností bezpečnosti spracúvania osobných údajov môže Úrad na ochranu osobných údajov SR uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu vo výške od 1 000 eur do 50 000 eur. Pokuta môže byť uložená napríklad za nesplnenie alebo porušenie povinnosti aktualizácie bezpečnostných opatrení a bezpečnostného projektu, nevyhotovenie bezpečnostného projektu v požadovanom rozsahu.

Úrad na ochranu osobných údajov SR je povinný uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu za nesplnenie povinnosti vypracovať bezpečnostný projekt vo výške od 1 000 eur do 200 000 eur. Obligatórnosť ukladania pokuty je prvkom negatívnej stimulácie pre prevádzkovateľov alebo sprostredkovateľov pre plnenie tejto povinnosti.

Z dikcie zákona o ochrane osobných údajov je zrejmé, že Úrad na ochranu osobných údajov nemôže pri ukladaní pokuty a určovaní jej výšky postupovať svojvoľne. Musí prihliadať na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.

O autorovi

Ing. Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Najlepšie články do vášho mailu každý pondelok

Čítajte len to, čo vás naozaj zaujíma. Sumár vybraných článkov raz za týždeň, žiadny spam. Zasielanie newslettra si môžete kedykoľvek vypnúť.

Zvoľte si témy: