Používanie štátnej elektronickej schránky a povinnosť nechať si vypracovať bezpečnostný projekt

Kto a prečo musí mať vypracovaný tzv. bezpečnostný projekt podľa zákona o ochrane osobných údajov. Je potrebné bezpečnostný projekt vytvárať či upravovať v súvislosti s používaním štátnej e-schránky?

Čo je to bezpečnostný projekt a kto si ho musí nechať vypracovať?

Takmer každý, kto spracúva osobné údaje fyzických osôb, je považovaný za prevádzkovateľa informačného systému. Typicky je ním každý podnikateľ, ktorý spracúva osobné údaje svojich zamestnancov pri vedení personálnej a mzdovej agendy, majiteľ eshopu pri spracovaní objednávok od zákazníkov alebo prevádzkovateľ kamerového systému pri monitorovaní svojej prevádzkarne.

Každý prevádzkovateľ je pri tom podľa zákona povinný prijať primerané technické, organizačné a personálne opatrenia, ktoré budú zodpovedať spôsobu spracúvania osobných údajov.

Tí prevádzkovatelia, ktorí spracúvajú tiež osobné údaje osobitnej kategórie (rodné číslo, biometrické údaje, informácie o zdravotnom stave a iné ), pričom ich informačný systém je pripojený na internet, sú navyše povinní zdokumentovať tieto opatrenia v tzv. bezpečnostnom projekte.

Príklad: Podnikateľ, ktorý zasiela evidenčné listy svojich zamestnancov Sociálnej poisťovni elektronicky, musí byť nevyhnutne pripojený k sieti internet (podmienka č. 1). Keďže súčasťou evidenčného listu je aj rodné číslo zamestnanca, t.j. osobný údaj osobitnej kategórie (podmienka č.2), podnikateľ má podľa zákona o ochrane osobných údajov povinnosť vypracovať bezpečnostný projekt a riadiť sa ním.

Musí mať bezpečnostný projekt vypracovaný každý podnikateľ, ktorý používa elektronickú schránku?

Časť odbornej verejnosti zastáva názor, že s príchodom elektronických schránok bude každý podnikateľ povinný nechať si vypracovať aj bezpečnostný projekt.

Ako už bolo uvedené vyššie, k tomu, aby u podnikateľa táto povinnosť skutočne nastala, musia byť splnené dve podmienky – v informačnom systéme pripojenom na internet (i) dochádza k spracúvaniu osobných údajov osobitnej kategórie, akou je rodné číslo (ii).

Pokiaľ ide o prvú podmienku, k jej splneniu bude stačiť, že podnikateľ využíva počítač s pripojením na internet.

Čo sa týka druhej podmienky, túto budú spĺňať najmä tí podnikatelia, ktorí spracúvajú osobné údaje svojich zamestnancov. Ak podnikateľ pri vedení mzdovej a personálnej agendy na počítači s pripojením na internet spracúva aj rodné číslo zamestnanca (t.j. osobitnú kategóriu osobných údajov ), bezpečnostný projekt si musí nechať vypracovať bez ohľadu na to, či má alebo nemá aktívnu elektronickú schránku, ako aj bez ohľadu na to, či s úradmi komunikuje alebo nekomunikuje elektronicky. Podstatným je totiž pripojenie počítača na internet, nie existencia a používanie elektronickej schránky.

U tých podnikateľov, ktorí už bezpečnostné projekty majú, je potrebné ich iba mierne aktualizovať v súvislosti so zmenenou situáciou pri používaní štátnych elektronických schránok.

Čo hrozí podnikateľom, ktorí nemajú vypracovaný bezpečnostný projekt?

Podnikateľom, ktorí si nesplnia alebo porušia povinnosť mať vypracovaný bezpečnostný projekt, hrozí podľa zákona o ochrane osobných údajov pokuta od 1 000 do 200 000 EUR. Úrad na ochranu osobných údajov túto pokutu uloží navyše automaticky.

Bude bezpečnostný projekt povinný aj v roku 2018, kedy nadobudne účinnosť GDPR - General Data Protection Regulation?

Mnohí podnikatelia zaregistrovali, že v roku 2018 dochádza k zásadným zmenám v oblasti právnej úpravy ochrany osobných údajov. 25.5.2018 totiž nadobudne účinnosť jednotné európske nariadenie č. 2016/679 (GDPR), ktoré stanovuje rovnaké podmienky ochrany osobných údajov pre všetky členské štáty EÚ. Okrem toho si na Slovensku pripravujeme tiež vlastný zákon o ochrane osobných údajov, ktorý by mal nadobudnúť účinnosť v rovnaký deň ako GDPR. Ani jeden z týchto predpisov však bezpečnostný projekt neupravuje, t.j. bezpečnostný projekt od 25.5.2018 už nebude povinný. Namiesto zbytočného formalizmu sa podľa GDPR - General Data Protection Regulation zavádzajú nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú si bude každý prevádzkovateľ zodpovedať sám.

Viac podobných článkov nájdete na www.podnikajte.sk


Úhrada správneho poplatku finančnej správe: ako na to?

Aké sú možnosti úhrady správneho poplatku finančnej správe a kde nájsť platobné inštrukcie po odoslaní žiadosti, ktorá podlieha správnemu poplatku?

Formulár A1 pre prácu v zahraničí možno vybaviť elektronicky

Od 15. mája 2023 možno požiadať o PD A1 aj prostredníctvom elektronického formulára. Ako postupovať v prípade vyslania zamestnancov či SZČO?

Čítačky čipových kariet a nové občianske preukazy

Je biometrický občiansky preukaz kompatibilný so staršími čítačkami? Sú na oddelení dokladov povinní dať občanovi novú? A ako zistiť, či čítačka funguje s aplikáciou eID klient?

Poštovné a zmeny v cenníku od 1.3.2023

O koľko stúpnu ceny za posielanie listových zásielok, balíkov či poštového platobného styku podľa navrhovaného opatrenia? Elektronické podanie bude čoraz výhodnejšie.
To najlepšie z Podnikajte.sk do vašej schránky