ČASTÉ OTÁZKY K BEZPEČNOSTNÉMU PROJEKTU IS
-
01
Kto zodpovedá za bezpečnosť osobných údajov?
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ IS (§ 19 odsek 1).
-
02
V čom spočíva zodpovednosť za bezpečnosť osobných údajov?
Zodpovednosť spočíva v ochrane osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania (§ 19 odsek 1).
-
03
Ako vyzerá ochrana osobných údajov v praxi?
Od prevádzkovateľa sa zo zákona požaduje prijatie primeraných technických, organizačných a personálnych opatrení zodpovedajúcich spôsobu spracovávania osobných údajov. Do úvahy pritom treba vziať najmä použiteľné technické prostriedky, rozsah možných rizík, ktoré môžu narušiť bezpečnosť alebo funkčnosť informačného systému a tiež dôvernosť a dôležitosť spracovávaných osobných údajov (§ 19 odsek 1).
-
04
Kedy je potrebné mať podľa zákona vypracovaný bezpečnostný projekt?
Ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13 (napr. rodné číslo, biometrické údaje), alebo informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 odsek 1; ustanovenie § 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu (§ 19 odsek 3).
-
05
Kde je možné získať vzor bezpečnostného projektu?
Vzor bezpečnostného projektu si môžete stiahnuť TU: Vzorový bezpečnostný projekt IS.
-
06
Čo všetko musí obsahovať bezpečnostný projekt?
Bezpečnostný projekt informačného systému podľa § 19 ods. 3 zákona obsahuje:
- názov informačného systému, na ktorý sa vzťahuje,
- bezpečnostný zámer,
- analýzu bezpečnosti informačného systému,
- bezpečnostnú smernicu podľa § 4.
-
07
Je potrebné vypracovať bezpečnostný projekt, ak informačný systém obsahuje rodné čísla, ale nie je pripojený na internet?
Nie. V tomto prípade stačí vypracovať bezpečnostnú smernicu (§ 19 odsek 2). Bezpečnostný projekt ani bezpečnostnú smernicu prevádzkovateľ neposiela na Úrad pre ochranu osobných údajov Slovenskej republiky.
-
08
Kto je to zodpovedná osoba?
Je to osoba, ktorá je prevádzkovateľom poverená podľa zákona dohľadom nad ochranou osobných údajov spracovávaných u prevádzkovateľa.
-
09
Kedy vzniká prevádzkovateľovi povinnosť poveriť zodpovednú osobu?
Ak prevádzkovateľ (zamestnávateľ) spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Týmto nie je dotknutá zodpovednosť prevádzkovateľa. (§ 23 odsek 2)
-
10
Aké sú požadavky úradu na zodpovednú osobu?
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní skúšky podľa § 24.
-
11
Kto nemôže byť zodpovednou osobou?
Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa, členom štatutárneho orgánu prevádzkovateľa, a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa alebo člena štatutárneho orgánu prevádzkovateľa pri plnení povinností a uplatňovaní práv podľa tohto zákona.
-
12
Aké doklady sa v súvislosti so zodpovednou osobou zasielajú na úrad?
Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom. (§ 24 odsek 2)
-
13
Musí byť zodpovedná osoba zamestnancom prevádzkovateľa?
Pri poverení zodpovednej osoby nie je podmienkou, aby to bol zamestnanec prevádzkovateľa. Zodpovednou osobou môže byť aj externý spolupracovník, no treba si uvedomiť, že táto osoba bude mať prístup ku všetkým osobným údajom spracovávaným prevádzkovateľom, preto by jej mal prevádzkovateľ maximálne dôverovať.
-
14
Za akých okolností je prevádzkovateľ povinný prihlásiť svoj informačný systém na registráciu?
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania. Povinnosť registrácie sa nevzťahuje na informačné systémy, ktoré:
- podliehajú osobitnej registrácii podľa § 37,
- podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
- obsahujú osobné údaje o členstve osôb v občianskom združení alebo odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu, alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
- obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
-
15
Kedy je prevádzkovateľ povinný prihlásiť svoj informačný systém na registráciu?
Prevádzkovateľ je povinný prihlásiť informačný systém na registráciu podľa § 34 pred začatím spracúvania osobných údajov.
-
16
Má povinnosť prihlásiť svoj informačný systém na registráciu aj prevádzkovateľ, ak sa osobné údaje v jeho informačnom systéme spracovávajú výlučne manuálne?
Znenie zákona o ochrane osobných údajov vymedzuje, že registrácii podliehajú len informačné systémy, v ktorých sa spracovávajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracovávania. Informačné systémy s použitím len manuálnych prostriedkov spracovávania teda registrácii nepodliehajú (§ 34 ods. 1).
-
17
Čo je to cezhraničný tok osobných údajov do tretích krajín?
Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia Európskej komisie zaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
-
18
Ako zistiť, ktoré krajiny zaručujú osobným údajom primeranú úroveň ochrany osobných údajov?
V zásade za štáty, ktoré osobným údajom zaručujú primeranú úroveň ochrany, považujeme všetky štáty Európskej únie. Za krajiny zaručujúce primeranú úroveň ochrany vo všeobecnosti možno považovať aj krajiny, ktoré podpísali a prevzali do svojho právneho systému Dohovor rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (aktualizovaný zoznam zmluvných strán dohovoru sa nachádza na oficiálnej web stránke Rady Európy conventions.coe.int). V prípade USA u konkrétnej firmy zaváži najmä to, či sa táto firma pripojila k iniciatíve Safe Harbor. Viac informácií o možnosti pristúpenia k dohode o Safe Harbor nájdete na stránke www.export.gov/safeharbor/ .
-
19
Ktorý orgán je oprávnený rozhodnúť v prípade pochybností, či je možné vykonať cezhraničný tok?
V prípade pochybností o tom, či je možné vykonať cezhraničný tok osobných údajov, rozhodne úrad. Pri posudzovaní primeranosti ochrany osobných údajov v tretej krajine sa vždy postupuje individuálne. Na zreteľ sa však berie to, či daná krajina má dozorný orgán vykonávajúci dozor nad ochranou osobných údajov a náležitú legislatívnu úpravu týkajúcu sa ochrany osobných údajov.
-
20
Musí prevádzkovateľ žiadať úrad o povolenie cezhraničného toku do krajín mimo EU?
Áno, musí. Pretože úrad posudzuje, či dotknutá krajina poskytuje adekvátnu ochranu osobných údajov, alebo nie. Náš zákon totiž explicitne neuvádza, za akých podmienok sa hľadí na štáty mimo EÚ ako na štáty poskytujúce primeranú ochranu osobných údajov.
-
21
Máte ďalšie otázky?
Nie je vám jasný niektorý termín? Pokojne sa na nás obráťte e-mailom alebo telefonicky, radi vám všetko podrobne vysvetlíme.