Bezpečnostný projekt pri ochrane osobných údajov

Bezpečnostný projekt pri ochrane osobných údajov
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.

Zobraziť viac
Zobraziť menej

Bezpečnostný projekt predstavuje zabezpečenie ochrany najrizikovejších osobných údajov. Kedy je potrebné ho vypracovať?

Otázka bezpečnosti akýchkoľvek údajov bola aj naďalej je veľmi citlivou, najmä čo sa týka osobných údajov. V súčasnosti dominujúci automatizovaný spôsob spracúvania osobných údajov pomocou výpočtovej techniky môže čeliť kybernetickým útokom rôzneho druhu a takmer bez časového obmedzenia. Aj kvôli týmto hrozbám musí prevádzkovateľ (resp. sprostredkovateľ) prijať bezpečnostné opatrenia, ktoré zodpovedajú adekvátnej ochrane osobných údajov.

Povinnosť vypracovania bezpečnostného projektu a povinnosť aktualizácie

Bezpečnostný projekt predstavuje zdokumentovanie bezpečnostných opatrení, ktoré majú chrániť osobné údaje. Zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“) prikazuje v zmysle § 19 ods. 2 vypracovanie bezpečnostného projektu v dvoch prípadoch, a síce, ak:

  • v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou sú spracúvané osobitné kategórie osobných údajov,
  • informačný systém slúži na zabezpečenie verejného záujmu.

K vypracovaniu bezpečnostného projektu sa pristupuje vtedy, ak spracúvané osobné údaje podliehajú vysokému bezpečnostnému riziku.

V zmysle § 19 ods. 3 zákona o ochrane osobných údajov je prevádzkovateľ (resp. sprostredkovateľ) povinný zabezpečiť súlad bezpečnostných opatrení v bezpečnostnom projekte s reálnym stavom spracúvania osobných údajov. Povinnosť aktualizácie bezpečnostných opatrení po uskutočnení zmien pri spracúvaní osobných údajov sa vzťahuje na prevádzkovateľa (resp. sprostredkovateľa) až do ukončenia spracúvania osobných údajov v informačnom systéme.

Zákon o ochrane osobných údajov neupravuje kto má vypracovať bezpečnostný projekt pre prevádzkovateľa (resp. sprostredkovateľa), t. j. neukladá požiadavky na kvalifikáciu a dosiahnuté zručnosti osôb, ktoré vypracúvajú bezpečnostný projekt. Zvyčajne sú to osoby s právnickým vzdelaním alebo iní odborníci pre oblasť ochrany osobných údajov, avšak porušením zákona o ochrane osobných údajov nie je skutočnosť, ak podnikateľ vypracuje bezpečnostný projekt samostatne.

Požiadavky na bezpečnostný projekt

Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Musí byť vypracovaný v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná (napr. štandardy STN ISO/IEC 27001, STN ISO/IEC 27002).

 Bezpečnostný projekt sa vypracúva v súlade s vyhláškou Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení neskorších predpisov (ďalej len „vyhláška o rozsahu a dokumentácii bezpečnostných opatrení“).

Bezpečnostný projekt musí podľa vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení obsahovať tieto časti:

  • názov informačného systému, na ktorý sa bezpečnostný projekt vzťahuje,
  • bezpečnostný zámer,
  • analýzu bezpečnosti informačného systému,
  • závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému.

Podrobný popis požiadaviek na bezpečnostný projekt, ako aj príkladmo uvedené bezpečnostné opatrenia sú súčasťou vyhláška o rozsahu a dokumentácii bezpečnostných opatrení, vrátane prílohy.

Článok pokračuje pod reklamou

Dôležité pojmy, pokiaľ ide o bezpečnostný projekt

V rámci problematiky bezpečnostného projektu je potrebné vysvetliť pojmy informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť, osobitné kategórie osobných údajov a zabezpečenie verejného záujmu.

Pojem informačný systém osobných údajov je definovaný v § 4 ods. 3 písm. b) zákona o ochrane osobných údajov ako informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Ak ide o spracúvanie osobných údajov automatizovane alebo čiastočne automatizovane príslušným spôsobilým zariadením (napr. počítačom, tabletom), ktoré je pripojené na internet, ide o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť. Ak by boli príslušné spôsobilé zariadenia pripojené len na vnútropodnikovú sieť (tzv. intranet), nejde o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť.

Pojem osobitné kategórie osobných údajov je definovaný v § 13 zákona o ochrane osobných údajov. Najčastejšie diskutovanou osobitnou kategóriou osobných údajov sú biometrické údaje fyzickej osoby. Biometrickými údajmi fyzickej osoby v zmysle § 4 ods. 3 písm. f) zákona o ochrane osobných údajov sú napríklad odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny (analýza DNA). Pre spracúvanie biometrických údajov vydal Úrad na ochranu osobných údajov SR metodické usmernenie pod číselným označením 6/2013, ktoré je dostupné na internetovej stránke Úradu na ochranu osobných údajov SR. Ďalšími osobitnými kategóriami osobných údajov sú najmä osobné údaje o psychickej identite fyzickej osoby, osobné údaje o psychickej pracovnej spôsobilosti fyzickej osoby, osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť, osobné údaje o porušení ustanovení zakladajúcich administratívnoprávnu zodpovednosť.

Pojem verejný záujem má za cieľ určiť situácie, kedy prevádzkovateľ plní povinnosti ustanovené osobitnými predpismi. Zákon o ochrane osobných údajov uvádza oblasti verejného záujmu v § 3 ods. 1 a taktiež odkazuje na príklady právnych noriem. Vereným záujmom je napríklad plnenie povinností za účelom zaistenia bezpečnosti Slovenskej republiky, obrany Slovenskej republiky, verejného poriadku a bezpečnosti, predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovanie jej páchateľov, vyšetrovanie a stíhanie páchateľov trestných činov.

Pokuty

Za nesplnenie alebo porušenie povinností bezpečnosti spracúvania osobných údajov môže Úrad na ochranu osobných údajov SR uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu vo výške od 1 000 eur do 50 000 eur. Pokuta môže byť uložená napríklad za nesplnenie alebo porušenie povinnosti aktualizácie bezpečnostných opatrení a bezpečnostného projektu, nevyhotovenie bezpečnostného projektu v požadovanom rozsahu.

Úrad na ochranu osobných údajov SR je povinný uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu za nesplnenie povinnosti vypracovať bezpečnostný projekt vo výške od 1 000 eur do 200 000 eur. Obligatórnosť ukladania pokuty je prvkom negatívnej stimulácie pre prevádzkovateľov alebo sprostredkovateľov pre plnenie tejto povinnosti.

Z dikcie zákona o ochrane osobných údajov je zrejmé, že Úrad na ochranu osobných údajov nemôže pri ukladaní pokuty a určovaní jej výšky postupovať svojvoľne. Musí prihliadať na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.

Viac podobných článkov nájdete na www.podnikajte.sk

Ján Benko
Ján Benko

Zvedavo a rád do hĺbky skúmam otázky a témy, ktoré iní prebádali len málo. V spoločnosti Účtovná jednotka, s.r.o. spolu s kolegami podnikateľom odhaľujeme chodníčky, ktoré ich povedú zákonnou, no finančne únosnejšou cestou. Každodenným spoločníkom je mi legislatívne dianie a výzvy, ktorým slovenskí podnikatelia čelia. K mojim osobným prioritám patrí neustále vzdelávanie a vo voľnom čase ma zaujíma politika, literatúra a skúmanie čohokoľvek nového.


Kontrola dodržiavania GDPR

Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?

GDPR po roku: Ako sa e-shopy vysporiadali so zmenami?

Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?

Sú vzory dokumentácie GDPR tá správna voľba?

Svojpomocné vypracovanie, kúpa vzoru GDPR alebo dokumentácia a konzultácie k zavedeniu GDPR na mieru? Právna expertka radí ako sa vysporiadať s požiadavkami nariadenia GDPR a vyhnúť sa zbytočným pokutám.

GDPR v skratke

Koncom mája 2019 uplynie jeden rok od účinnosti GDPR, ktoré v členských štátoch EÚ zaviedlo jednotný režim ochrany osobných údajov. Koho sa dotklo a aké zásadné zmeny prinieslo?