Používanie štátnej elektronickej schránky a povinnosť nechať si vypracovať bezpečnostný projekt

Kto a prečo musí mať vypracovaný tzv. bezpečnostný projekt podľa zákona o ochrane osobných údajov. Je potrebné bezpečnostný projekt vytvárať či upravovať v súvislosti s používaním štátnej e-schránky?

Čo je to bezpečnostný projekt a kto si ho musí nechať vypracovať?

Takmer každý, kto spracúva osobné údaje fyzických osôb, je považovaný za prevádzkovateľa informačného systému. Typicky je ním každý podnikateľ, ktorý spracúva osobné údaje svojich zamestnancov pri vedení personálnej a mzdovej agendy, majiteľ eshopu pri spracovaní objednávok od zákazníkov alebo prevádzkovateľ kamerového systému pri monitorovaní svojej prevádzkarne.

Každý prevádzkovateľ je pri tom podľa zákona povinný prijať primerané technické, organizačné a personálne opatrenia, ktoré budú zodpovedať spôsobu spracúvania osobných údajov.

Tí prevádzkovatelia, ktorí spracúvajú tiež osobné údaje osobitnej kategórie (rodné číslo, biometrické údaje, informácie o zdravotnom stave a iné ), pričom ich informačný systém je pripojený na internet, sú navyše povinní zdokumentovať tieto opatrenia v tzv. bezpečnostnom projekte.

Príklad: Podnikateľ, ktorý zasiela evidenčné listy svojich zamestnancov Sociálnej poisťovni elektronicky, musí byť nevyhnutne pripojený k sieti internet (podmienka č. 1). Keďže súčasťou evidenčného listu je aj rodné číslo zamestnanca, t.j. osobný údaj osobitnej kategórie (podmienka č.2), podnikateľ má podľa zákona o ochrane osobných údajov povinnosť vypracovať bezpečnostný projekt a riadiť sa ním.

Musí mať bezpečnostný projekt vypracovaný každý podnikateľ, ktorý používa elektronickú schránku?

Časť odbornej verejnosti zastáva názor, že s príchodom elektronických schránok bude každý podnikateľ povinný nechať si vypracovať aj bezpečnostný projekt.

Ako už bolo uvedené vyššie, k tomu, aby u podnikateľa táto povinnosť skutočne nastala, musia byť splnené dve podmienky – v informačnom systéme pripojenom na internet (i) dochádza k spracúvaniu osobných údajov osobitnej kategórie, akou je rodné číslo (ii).

Pokiaľ ide o prvú podmienku, k jej splneniu bude stačiť, že podnikateľ využíva počítač s pripojením na internet.

Čo sa týka druhej podmienky, túto budú spĺňať najmä tí podnikatelia, ktorí spracúvajú osobné údaje svojich zamestnancov. Ak podnikateľ pri vedení mzdovej a personálnej agendy na počítači s pripojením na internet spracúva aj rodné číslo zamestnanca (t.j. osobitnú kategóriu osobných údajov ), bezpečnostný projekt si musí nechať vypracovať bez ohľadu na to, či má alebo nemá aktívnu elektronickú schránku, ako aj bez ohľadu na to, či s úradmi komunikuje alebo nekomunikuje elektronicky. Podstatným je totiž pripojenie počítača na internet, nie existencia a používanie elektronickej schránky.

U tých podnikateľov, ktorí už bezpečnostné projekty majú, je potrebné ich iba mierne aktualizovať v súvislosti so zmenenou situáciou pri používaní štátnych elektronických schránok.

Čo hrozí podnikateľom, ktorí nemajú vypracovaný bezpečnostný projekt?

Podnikateľom, ktorí si nesplnia alebo porušia povinnosť mať vypracovaný bezpečnostný projekt, hrozí podľa zákona o ochrane osobných údajov pokuta od 1 000 do 200 000 EUR. Úrad na ochranu osobných údajov túto pokutu uloží navyše automaticky.

Bude bezpečnostný projekt povinný aj v roku 2018, kedy nadobudne účinnosť GDPR - General Data Protection Regulation?

Mnohí podnikatelia zaregistrovali, že v roku 2018 dochádza k zásadným zmenám v oblasti právnej úpravy ochrany osobných údajov. 25.5.2018 totiž nadobudne účinnosť jednotné európske nariadenie č. 2016/679 (GDPR), ktoré stanovuje rovnaké podmienky ochrany osobných údajov pre všetky členské štáty EÚ. Okrem toho si na Slovensku pripravujeme tiež vlastný zákon o ochrane osobných údajov, ktorý by mal nadobudnúť účinnosť v rovnaký deň ako GDPR. Ani jeden z týchto predpisov však bezpečnostný projekt neupravuje, t.j. bezpečnostný projekt od 25.5.2018 už nebude povinný. Namiesto zbytočného formalizmu sa podľa GDPR - General Data Protection Regulation zavádzajú nové mechanizmy ochrany založené na dôkladnej analýze rizík, za ktorú si bude každý prevádzkovateľ zodpovedať sám.

Viac podobných článkov nájdete na www.podnikajte.sk


Biometrický občiansky preukaz už od 1.12.2022

Od decembra bude možné žiadať o vydanie občianskeho preukazu s biometrickou podobou tváre a otlačkami prstov. V závere novembra už preto nebudú vydávané preukazy vôbec.

Aktivácia občianskeho preukazu eID: ako nastaviť KEP PIN a KEP PUK online

Postup, ako si nastaviť KEP PIN a KEP PUK na diaľku na novom občianskom preukaze a ako získať platné certifikáty pre kvalifikovaný elektronický podpis (KEP) v aplikácii eID klient.

Výmena občianskeho preukazu pre končiace certifikáty: otázky a odpovede

Certifikáty pre e-podpis budú od nového roka na niektorých občianskych preukazoch neplatné. Kto by si mal doklad vymeniť, ako a kde o nový požiadať, koľko stojí a ako získať nové certifikáty? Odpovede na časté otázky.

Koniec certifikátov pre e-podpis od 1.1.2023: koho sa týka a čo robiť?

Tí, ktorí využívajú elektronické podpisovanie, by si mali skontrolovať dátum vydania občianskeho preukazu. Kto ho musí vymeniť, koľko za vybavenie zaplatí a oplatí sa nechať si to na poslednú chvíľu?
To najlepšie z Podnikajte.sk do vašej schránky