Kto a prečo musí mať vypracovaný tzv. bezpečnostný projekt podľa zákona o ochrane osobných údajov. Je potrebné bezpečnostný projekt vytvárať či upravovať v súvislosti s používaním štátnej e-schránky?
Čo je to bezpečnostný projekt a kto si ho musí nechať vypracovať?
Takmer každý, kto spracúva osobné údaje fyzických osôb, je považovaný za prevádzkovateľa informačného systému. Typicky je ním každý podnikateľ, ktorý spracúva osobné údaje svojich zamestnancov pri vedení personálnej a mzdovej agendy, majiteľ eshopu pri spracovaní objednávok od zákazníkov alebo prevádzkovateľ kamerového systému pri monitorovaní svojej prevádzkarne.
Každý prevádzkovateľ je pri tom podľa zákona povinný prijať primerané technické, organizačné a personálne opatrenia, ktoré budú zodpovedať spôsobu spracúvania osobných údajov.
Tí prevádzkovatelia, ktorí spracúvajú tiež osobné údaje osobitnej kategórie (rodné číslo, biometrické údaje, informácie o zdravotnom stave a iné ), pričom ich informačný systém je pripojený na internet, sú navyše povinní zdokumentovať tieto opatrenia v tzv. bezpečnostnom projekte.
Príklad: Podnikateľ, ktorý zasiela evidenčné listy svojich zamestnancov Sociálnej poisťovni elektronicky, musí byť nevyhnutne pripojený k sieti internet (podmienka č. 1). Keďže súčasťou evidenčného listu je aj rodné číslo zamestnanca, t.j. osobný údaj osobitnej kategórie (podmienka č.2), podnikateľ má podľa zákona o ochrane osobných údajov povinnosť vypracovať bezpečnostný projekt a riadiť sa ním.
Musí mať bezpečnostný projekt vypracovaný každý podnikateľ, ktorý používa elektronickú schránku?
Časť odbornej verejnosti zastáva názor, že s príchodom elektronických schránok bude každý podnikateľ povinný nechať si vypracovať aj bezpečnostný projekt.
Ako už bolo uvedené vyššie, k tomu, aby u podnikateľa táto povinnosť skutočne nastala, musia byť splnené dve podmienky – v informačnom systéme pripojenom na internet (i) dochádza k spracúvaniu osobných údajov osobitnej kategórie, akou je rodné číslo (ii).
Pokiaľ ide o prvú podmienku, k jej splneniu bude stačiť, že podnikateľ využíva počítač s pripojením na internet.
Čo sa týka druhej podmienky, túto budú spĺňať najmä tí podnikatelia, ktorí spracúvajú osobné údaje svojich zamestnancov. Ak podnikateľ pri vedení mzdovej a personálnej agendy na počítači s pripojením na internet spracúva aj rodné číslo zamestnanca (t.j. osobitnú kategóriu osobných údajov ), bezpečnostný projekt si musí nechať vypracovať bez ohľadu na to, či má alebo nemá aktívnu elektronickú schránku, ako aj bez ohľadu na to, či s úradmi komunikuje alebo nekomunikuje elektronicky. Podstatným je totiž pripojenie počítača na internet, nie existencia a používanie elektronickej schránky.
U tých podnikateľov, ktorí už bezpečnostné projekty majú, je potrebné ich iba mierne aktualizovať v súvislosti so zmenenou situáciou pri používaní štátnych elektronických schránok.
Čo hrozí podnikateľom, ktorí nemajú vypracovaný bezpečnostný projekt?
Podnikateľom, ktorí si nesplnia alebo porušia povinnosť mať vypracovaný bezpečnostný projekt, hrozí podľa zákona o ochrane osobných údajov pokuta od 1 000 do 200 000 EUR. Úrad na ochranu osobných údajov túto pokutu uloží navyše automaticky.
Bude bezpečnostný projekt povinný aj v roku 2018, kedy nadobudne účinnosť GDPR - General Data Protection Regulation?
Mnohí podnikatelia zaregistrovali, že v roku 2018 dochádza k zásadným zmenám v oblasti právnej úpravy ochrany osobných údajov. 25.5.2018 totiž nadobudne účinnosť jednotné európske nariadenie č. 2016/679 (GDPR), ktoré stanovuje rovnaké podmienky ochrany osobných údajov pre všetky členské štáty EÚ. Okrem toho si na Slovensku pripravujeme tiež vlastný zákon o ochrane osobných údajov, ktorý by mal nadobudnúť účinnosť v rovnaký deň ako GDPR. Ani jeden z týchto predpisov však bezpečnostný projekt neupravuje, t.j. bezpečnostný projekt od 25.5.2018 už nebude povinný. Namiesto zbytočného formalizmu sa podľa GDPR - General Data Protection Regulation zavádzajú nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú si bude každý prevádzkovateľ zodpovedať sám.
