Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Bezpečnostný projekt pri ochrane osobných údajov

Bezpečnostný projekt pri ochrane osobných údajov
Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Články autora
Zdaňovanie príjmov umelcov (autorov). Ako zdaňovať honoráre, licencie a licenčné poplatky v roku 2018
Rozšírenie povinnosti zložiť zábezpeku na DPH a iné zmeny v zábezpeke na DPH od roku 2018
Zdaňovanie príležitostných príjmov od roku 2018
Zdaňovanie pri presune do zahraničia (exit tax) od roku 2018
Trojstranný obchod od 1.1.2018
Daňový bonus na hypotéky pre mladých od roku 2018
„Patent Box“ prinesie výhodnejšie zdaňovanie licenčných príjmov
Superodpočet nákladov na výskum a vývoj porastie od 1.1.2018 na 100 %
Daňové tajomstvo od roku 2018 a nové verejné zoznamy
Záväzné stanoviská budú od 1.1.2018 lacnejšie
Zobraziť viac
Zobraziť menej

Bezpečnostný projekt predstavuje zabezpečenie ochrany najrizikovejších osobných údajov. Kedy je potrebné ho vypracovať?

Otázka bezpečnosti akýchkoľvek údajov bola aj naďalej je veľmi citlivou, najmä čo sa týka osobných údajov. V súčasnosti dominujúci automatizovaný spôsob spracúvania osobných údajov pomocou výpočtovej techniky môže čeliť kybernetickým útokom rôzneho druhu a takmer bez časového obmedzenia. Aj kvôli týmto hrozbám musí prevádzkovateľ (resp. sprostredkovateľ) prijať bezpečnostné opatrenia, ktoré zodpovedajú adekvátnej ochrane osobných údajov.

Povinnosť vypracovania bezpečnostného projektu a povinnosť aktualizácie

Bezpečnostný projekt predstavuje zdokumentovanie bezpečnostných opatrení, ktoré majú chrániť osobné údaje. Zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“) prikazuje v zmysle § 19 ods. 2 vypracovanie bezpečnostného projektu v dvoch prípadoch, a síce, ak:

  • v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou sú spracúvané osobitné kategórie osobných údajov,
  • informačný systém slúži na zabezpečenie verejného záujmu.

K vypracovaniu bezpečnostného projektu sa pristupuje vtedy, ak spracúvané osobné údaje podliehajú vysokému bezpečnostnému riziku.

V zmysle § 19 ods. 3 zákona o ochrane osobných údajov je prevádzkovateľ (resp. sprostredkovateľ) povinný zabezpečiť súlad bezpečnostných opatrení v bezpečnostnom projekte s reálnym stavom spracúvania osobných údajov. Povinnosť aktualizácie bezpečnostných opatrení po uskutočnení zmien pri spracúvaní osobných údajov sa vzťahuje na prevádzkovateľa (resp. sprostredkovateľa) až do ukončenia spracúvania osobných údajov v informačnom systéme.

Zákon o ochrane osobných údajov neupravuje kto má vypracovať bezpečnostný projekt pre prevádzkovateľa (resp. sprostredkovateľa), t. j. neukladá požiadavky na kvalifikáciu a dosiahnuté zručnosti osôb, ktoré vypracúvajú bezpečnostný projekt. Zvyčajne sú to osoby s právnickým vzdelaním alebo iní odborníci pre oblasť ochrany osobných údajov, avšak porušením zákona o ochrane osobných údajov nie je skutočnosť, ak podnikateľ vypracuje bezpečnostný projekt samostatne.

Požiadavky na bezpečnostný projekt

Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Musí byť vypracovaný v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná (napr. štandardy STN ISO/IEC 27001, STN ISO/IEC 27002).

 Bezpečnostný projekt sa vypracúva v súlade s vyhláškou Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení neskorších predpisov (ďalej len „vyhláška o rozsahu a dokumentácii bezpečnostných opatrení“).

Bezpečnostný projekt musí podľa vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení obsahovať tieto časti:

  • názov informačného systému, na ktorý sa bezpečnostný projekt vzťahuje,
  • bezpečnostný zámer,
  • analýzu bezpečnosti informačného systému,
  • závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému.

Podrobný popis požiadaviek na bezpečnostný projekt, ako aj príkladmo uvedené bezpečnostné opatrenia sú súčasťou vyhláška o rozsahu a dokumentácii bezpečnostných opatrení, vrátane prílohy.

Článok pokračuje pod reklamou

Dôležité pojmy, pokiaľ ide o bezpečnostný projekt

V rámci problematiky bezpečnostného projektu je potrebné vysvetliť pojmy informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť, osobitné kategórie osobných údajov a zabezpečenie verejného záujmu.

Pojem informačný systém osobných údajov je definovaný v § 4 ods. 3 písm. b) zákona o ochrane osobných údajov ako informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Ak ide o spracúvanie osobných údajov automatizovane alebo čiastočne automatizovane príslušným spôsobilým zariadením (napr. počítačom, tabletom), ktoré je pripojené na internet, ide o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť. Ak by boli príslušné spôsobilé zariadenia pripojené len na vnútropodnikovú sieť (tzv. intranet), nejde o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť.

Pojem osobitné kategórie osobných údajov je definovaný v § 13 zákona o ochrane osobných údajov. Najčastejšie diskutovanou osobitnou kategóriou osobných údajov sú biometrické údaje fyzickej osoby. Biometrickými údajmi fyzickej osoby v zmysle § 4 ods. 3 písm. f) zákona o ochrane osobných údajov sú napríklad odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny (analýza DNA). Pre spracúvanie biometrických údajov vydal Úrad na ochranu osobných údajov SR metodické usmernenie pod číselným označením 6/2013, ktoré je dostupné na internetovej stránke Úradu na ochranu osobných údajov SR. Ďalšími osobitnými kategóriami osobných údajov sú najmä osobné údaje o psychickej identite fyzickej osoby, osobné údaje o psychickej pracovnej spôsobilosti fyzickej osoby, osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť, osobné údaje o porušení ustanovení zakladajúcich administratívnoprávnu zodpovednosť.

Pojem verejný záujem má za cieľ určiť situácie, kedy prevádzkovateľ plní povinnosti ustanovené osobitnými predpismi. Zákon o ochrane osobných údajov uvádza oblasti verejného záujmu v § 3 ods. 1 a taktiež odkazuje na príklady právnych noriem. Vereným záujmom je napríklad plnenie povinností za účelom zaistenia bezpečnosti Slovenskej republiky, obrany Slovenskej republiky, verejného poriadku a bezpečnosti, predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovanie jej páchateľov, vyšetrovanie a stíhanie páchateľov trestných činov.

Pokuty

Za nesplnenie alebo porušenie povinností bezpečnosti spracúvania osobných údajov môže Úrad na ochranu osobných údajov SR uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu vo výške od 1 000 eur do 50 000 eur. Pokuta môže byť uložená napríklad za nesplnenie alebo porušenie povinnosti aktualizácie bezpečnostných opatrení a bezpečnostného projektu, nevyhotovenie bezpečnostného projektu v požadovanom rozsahu.

Úrad na ochranu osobných údajov SR je povinný uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu za nesplnenie povinnosti vypracovať bezpečnostný projekt vo výške od 1 000 eur do 200 000 eur. Obligatórnosť ukladania pokuty je prvkom negatívnej stimulácie pre prevádzkovateľov alebo sprostredkovateľov pre plnenie tejto povinnosti.

Z dikcie zákona o ochrane osobných údajov je zrejmé, že Úrad na ochranu osobných údajov nemôže pri ukladaní pokuty a určovaní jej výšky postupovať svojvoľne. Musí prihliadať na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.

Ochrana osobných údajov

Viac podobných článkov nájdete na www.podnikajte.sk

Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Články autora
Zdaňovanie príjmov umelcov (autorov). Ako zdaňovať honoráre, licencie a licenčné poplatky v roku 2018
Rozšírenie povinnosti zložiť zábezpeku na DPH a iné zmeny v zábezpeke na DPH od roku 2018
Zdaňovanie príležitostných príjmov od roku 2018
Zdaňovanie pri presune do zahraničia (exit tax) od roku 2018
Trojstranný obchod od 1.1.2018
Daňový bonus na hypotéky pre mladých od roku 2018
„Patent Box“ prinesie výhodnejšie zdaňovanie licenčných príjmov
Superodpočet nákladov na výskum a vývoj porastie od 1.1.2018 na 100 %
Daňové tajomstvo od roku 2018 a nové verejné zoznamy
Záväzné stanoviská budú od 1.1.2018 lacnejšie
Zobraziť viac
Zobraziť menej

Súvisiace témy

Ako na správnu krízovú komunikáciu pri kybernetickom útoku na zamestnancov
Manažment a stratégia - Tlačová správa

Ako na správnu krízovú komunikáciu pri kybernetickom útoku na zamestnancov

Firmy často čelia úniku údajov zamestnancov, no takmer polovica z nich tieto incidenty nezverejňuje. Prečo je to chyba a ako môže správna komunikácia pomôcť predchádzať ďalším útokom?
Kontroly GDPR v roku 2020 – kto ich môže čakať?
Zákonné povinnosti podnikateľa - Petra Pohorelá

Kontroly GDPR v roku 2020 – kto ich môže čakať?

Koho si Úrad pre ochranu osobných údajov SR plánuje zobrať na mušku? Prezradil plán kontrol na rok 2020. V strehu by mali byť ubytovacie zariadenia, prevádzkovatelia STK či webhostingové firmy.
Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)
Zákonné povinnosti podnikateľa - Petra Pohorelá

Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR)

Aj po vyše roku a pol od účinnosti GDPR sa na internetových stránkach či e-shopoch nájdu neaktuálne a nesprávne informácie o ochrane osobných údajov. Aké sú najčastejšie chyby?
Je mzda osobným údajom zamestnanca?
Pracovné právo a BOZP - Tomáš Bartko

Je mzda osobným údajom zamestnanca?

V pracovnoprávnej oblasti sa bežne spracúvajú osobné údaje ako meno, priezvisko alebo dátum narodenia zamestnanca. Považuje sa však za osobný údaj zamestnanca aj jeho mzda?
Inšpirácia pre podnikanie
Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
Štart podnikania
Založenie živnosti študenta a platenie odvodov Ako výhodne vybrať peniaze z s. r. o.?
Dane a účtovníctvo
Základná náhrada za 1 km pri použití motorového vozidla od 1. 5. 2024 PN a nemocenské živnostníka v roku 2024
Financie ekonomika
Zmeny v 13. dôchodku od 1.7.2024 Predčasný dôchodok od 15. 5. 2024
Manažment a marketing
Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ Nekalé praktiky a podvody pri obchodovaní s ázijskými firmami
Právo a legislatíva
Európska smernica o minimálnych mzdách: čo znamená pre Slovensko? Cestovné náhrady za spotrebované pohonné látky od 1.1.2025 (návrh)
To najlepšie z Podnikajte.sk do vašej schránky