Používanie štátnej elektronickej schránky a povinnosť nechať si vypracovať bezpečnostný projekt

Kto a prečo musí mať vypracovaný tzv. bezpečnostný projekt podľa zákona o ochrane osobných údajov. Je potrebné bezpečnostný projekt vytvárať či upravovať v súvislosti s používaním štátnej e-schránky?

Čo je to bezpečnostný projekt a kto si ho musí nechať vypracovať?

Takmer každý, kto spracúva osobné údaje fyzických osôb, je považovaný za prevádzkovateľa informačného systému. Typicky je ním každý podnikateľ, ktorý spracúva osobné údaje svojich zamestnancov pri vedení personálnej a mzdovej agendy, majiteľ eshopu pri spracovaní objednávok od zákazníkov alebo prevádzkovateľ kamerového systému pri monitorovaní svojej prevádzkarne.

Každý prevádzkovateľ je pri tom podľa zákona povinný prijať primerané technické, organizačné a personálne opatrenia, ktoré budú zodpovedať spôsobu spracúvania osobných údajov.

Tí prevádzkovatelia, ktorí spracúvajú tiež osobné údaje osobitnej kategórie (rodné číslo, biometrické údaje, informácie o zdravotnom stave a iné ), pričom ich informačný systém je pripojený na internet, sú navyše povinní zdokumentovať tieto opatrenia v tzv. bezpečnostnom projekte.

Príklad: Podnikateľ, ktorý zasiela evidenčné listy svojich zamestnancov Sociálnej poisťovni elektronicky, musí byť nevyhnutne pripojený k sieti internet (podmienka č. 1). Keďže súčasťou evidenčného listu je aj rodné číslo zamestnanca, t.j. osobný údaj osobitnej kategórie (podmienka č.2), podnikateľ má podľa zákona o ochrane osobných údajov povinnosť vypracovať bezpečnostný projekt a riadiť sa ním.

Musí mať bezpečnostný projekt vypracovaný každý podnikateľ, ktorý používa elektronickú schránku?

Časť odbornej verejnosti zastáva názor, že s príchodom elektronických schránok bude každý podnikateľ povinný nechať si vypracovať aj bezpečnostný projekt.

Ako už bolo uvedené vyššie, k tomu, aby u podnikateľa táto povinnosť skutočne nastala, musia byť splnené dve podmienky – v informačnom systéme pripojenom na internet (i) dochádza k spracúvaniu osobných údajov osobitnej kategórie, akou je rodné číslo (ii).

Pokiaľ ide o prvú podmienku, k jej splneniu bude stačiť, že podnikateľ využíva počítač s pripojením na internet.

Čo sa týka druhej podmienky, túto budú spĺňať najmä tí podnikatelia, ktorí spracúvajú osobné údaje svojich zamestnancov. Ak podnikateľ pri vedení mzdovej a personálnej agendy na počítači s pripojením na internet spracúva aj rodné číslo zamestnanca (t.j. osobitnú kategóriu osobných údajov ), bezpečnostný projekt si musí nechať vypracovať bez ohľadu na to, či má alebo nemá aktívnu elektronickú schránku, ako aj bez ohľadu na to, či s úradmi komunikuje alebo nekomunikuje elektronicky. Podstatným je totiž pripojenie počítača na internet, nie existencia a používanie elektronickej schránky.

U tých podnikateľov, ktorí už bezpečnostné projekty majú, je potrebné ich iba mierne aktualizovať v súvislosti so zmenenou situáciou pri používaní štátnych elektronických schránok.

Čo hrozí podnikateľom, ktorí nemajú vypracovaný bezpečnostný projekt?

Podnikateľom, ktorí si nesplnia alebo porušia povinnosť mať vypracovaný bezpečnostný projekt, hrozí podľa zákona o ochrane osobných údajov pokuta od 1 000 do 200 000 EUR. Úrad na ochranu osobných údajov túto pokutu uloží navyše automaticky.

Bude bezpečnostný projekt povinný aj v roku 2018, kedy nadobudne účinnosť GDPR - General Data Protection Regulation?

Mnohí podnikatelia zaregistrovali, že v roku 2018 dochádza k zásadným zmenám v oblasti právnej úpravy ochrany osobných údajov. 25.5.2018 totiž nadobudne účinnosť jednotné európske nariadenie č. 2016/679 (GDPR), ktoré stanovuje rovnaké podmienky ochrany osobných údajov pre všetky členské štáty EÚ. Okrem toho si na Slovensku pripravujeme tiež vlastný zákon o ochrane osobných údajov, ktorý by mal nadobudnúť účinnosť v rovnaký deň ako GDPR. Ani jeden z týchto predpisov však bezpečnostný projekt neupravuje, t.j. bezpečnostný projekt od 25.5.2018 už nebude povinný. Namiesto zbytočného formalizmu sa podľa GDPR - General Data Protection Regulation zavádzajú nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú si bude každý prevádzkovateľ zodpovedať sám.

Viac podobných článkov nájdete na www.podnikajte.sk


Ako podať daňové priznanie elektronicky - videonávod

Živnostník alebo iná SZČO má povinnosť podať daňové priznanie k dani z príjmov fyzickej osoby už len elektronicky. Prinášame vám videonávod, ako postupovať pri podaní daňového priznania za rok 2018.

TAXANA – chatbot, ktorý bude radiť daňovníkom

Finančná správa spustila najväčšiu novinku tohto roka v oblasti proklientských opatrení – chatbot TAXANA.

Zjednodušenie registrácie a autorizácie pri elektronickej komunikácii s finančnou správou

Od 1.7.2018 sú fyzické osoby registrované pre daň z príjmov a ich zástupcovia povinní komunikovať s finančnou správou výlučne elektronicky. Z uvedeného dôvodu finančná správa začiatkom júla 2018 zjednodušila registráciu a výrazne skrátila čas autorizácie na portáli finančnej správy.

Autorizácia už za pár minút

Finančná správa výrazne skrátila čas autorizácie na portáli finančnej správy. Daňové subjekty registrujúce sa pomocou kvalifikovaného elektronického podpisu (KEP) alebo občianskeho preukazu s čipom (eID), získajú potvrdenie o autorizácii okamžite.