Bezpečnostný projekt
Pozor – platnosť spracovania v súlade so zákonom 136/2013 Z.z. a následných noviel je do 25.5.2018
Zákon ukladá každému, kto spracováva osobné údaje fyzických osôb, povinnosť zabezpečiť ich ochranu pred poškodením, zničením, stratou, zneužitím, neoprávneným prístupom, poskytnutím tretej osobe alebo ich zverejnením. Na zabezpečenie ochrany je prevádzkovateľ povinný prijať sústavu opatrení, ktoré sú súčasťou bezpečnostného projektu. Bez osobných otázok a odpovedí sa nedá analýza kvalitne zapracovať do bezpečnostného dokumentu. Preto pristupujeme ku každému projektu jednotlivo, bez vopred pripravených šablón.
Čo to je?
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, personálnych a organizačných opatrení tak, aby sa eliminovali a minimalizovali riziká a prípadné hrozby v prevádzke, kde sa používajú osobné údaje. Obsahuje najmä:
- bezpečnostný zámer - je vymedzenie základných bezpečnostných cieľov, špecifikácia technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov
- riziková analýza - posudzuje vplyv všetkých rizík a ich mieru ovplyvnenia na osobné údaje
- bezpečnostné smernice – uvádzajú na základe analýzy opatrenia na minimalizáciu rizík
Bezpečnostný projekt je sústava dokumentov, ktorých rozsah a obsah sa mení podľa činnosti ktorú prevádzkovateľ vykonáva. Preto k nemu pristupujem ako k dôvernému dokumentu ktorého obsah treba chrániť pred neoprávneným prístupom.
Základné pojmy
Osobné údaje
Sú to údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Dotknutá osoba
Je každá fyzická osoba, ktorej sa osobné údaje týkajú. Môže to byť výlučne fyzická osoba - jednotlivec. Nie je rozhodujúce, či ide o občana Slovenskej republiky alebo cudzinca. Dotknutou osobou nie je právnická osoba ani fyzická osoba - podnikateľ pri výkone podnikateľskej činnosti.
Súhlas dotknutej osoby
Je to akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov. Obsahuje hodnoverne preukázateľný písomný údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas platnosti súhlasu. Súhlas si prevádzkovateľ nesmie vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru.
Prevádzkovateľ
Je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky.
Oprávnená osoba
Je fyzická osoba, ktorá prichádza do kontaktu s osobnými údajmi u prevádzkovateľa v rámci plnenia svojich pracovných (služobných) povinností alebo obdobného vzťahu s prevádzkovateľom (založeného napr. na základe poverenia, vymenovania, zvolenia alebo v rámci výkonu verejnej funkcie), a ktorá vykonáva prevádzkovateľom určené spracovateľské operácie s osobnými údajmi v súlade s jej poučením.
Sprostredkovateľ
Je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8 a v súlade so zákonom o ochrane osobných údajov.
Informačný systém
Je to systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne aizovanými alebo inými ako aizovanými prostriedkami spracúvania.
Spracúvanie osobných údajov
Spracúvaním osobných údajov sa rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, od ich získavaním až po likvidáciu.
Kto to má mať?
Každý prevádzkovateľ ktorý spracúva osobné údaje dotknutých osôb by mal mať bezpečnostný projekt.
Prevádzkovateľ počas celej doby spracovania osobných údajov a v súlade s legislatívou je povinný:
- určiť účel spracúvania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitného zákona
- určiť podmienky spracúvania osobných údajov a prijať primerané bezpečnostné opatrenia
- vymedziť zoznam osobných údajov, ktoré bude prevádzkovateľ získavať, ak osobné údaje nie sú spracúvané na základe osobitného zákona
- ak je treba, získať súhlas dotknutej osoby na spracúvanie jej osobných údajov
- poučiť oprávnené osoby o spôsobe nakladania s osobnými údajmi a zabezpečiť zachovanie mlčanlivosti
- poveriť zodpovednú osobu, pokiaľ sa prevádzkovateľ tak rozhodne
- špecifikovať zmluvný vzťah so sprostredkovateľom
- evidovať, oznámiť informačné systémy alebo osobitne registrovať informačné systémy ktoré obsahujú osobné údaje
- poskytovať súčinnosť úradu pri plnení jeho úloh podľa zákona o ochrane osobných údajov.
Prečo to má mať?
Každý prevádzkovateľ môže dostať kontrolu v súvislosti so zabezpečením ochrany spracúvaných osobných údajov.
Kontrolný orgán má takto postupovať v súlade so zákonom o ochrane osobných údajov:
- vopred písomne oznámiť kontrolovanej osobe predmet a účel kontroly; to neplatí, ak by oznámenie o kontrole pred začatím kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, keď oznámenie o kontrole možno vykonať pri začatí kontroly
- pred začatím kontroly preukázať sa poverením na vykonanie kontroly a preukázať svoju príslušnosť k úradu služobným preukazom úradu
- vypracovať protokol o kontrole alebo záznam o kontrole
- uvádzať do protokolu a do záznamu o kontrole kontrolné zistenia
- oboznámiť kontrolovanú osobu s kontrolnými zisteniami v protokole a vyžiadať si od nej v lehote určenej kontrolným orgánom písomné vyjadrenie ku kontrolným zisteniam uvedeným v protokole
- odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole
- písomne potvrdiť kontrolovanej osobe prevzatie originálov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím
- preveriť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu
- prerokovať protokol o výsledku kontroly s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní
Pokiaľ zistí porušenia, môže uložiť nasledovné pokuty a poriadkové pokuty
prevádzkovateľovi od 300 EUR - 3000 EUR, ak
- nie je zabezpečená aktuálnosť osobných údajov (§ 16 ods.2)
- nie sú oznámené nedostatky tretím stranám alebo sa nepreukáže dôvod od ich upustenia (§ 18 ods.1, 2)
- nedá sa hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb (§ 21 ods.3)
- chýba poverenie zodpovednej osoby (§ 23 ods.8)
- nesplnená alebo porušená oznamovaciu povinnosť (§ 25 ods.2-4)
- chýba informácia o ukončení poverenia zodpovednej osoby (§ 26)
- nie je oznámenie o obmedzení práv dotknutej osoby (§ 30)
- chýba evidencia informačných systémom (§ 43)
- je porušená povinnosť sprístupniť údaje z evidencie (§ 44)
prevádzkovateľovi od 1000 EUR - 50 000 EUR, ak
- nie je splnená alebo porušená niektorá z povinností základných zásad spracúvania osobných údajov (§ 5-7, 9-12)
- je porušená povinnosť pri výbere a poverení sprostredkovateľa (§ 8 ods. 2-5)
- chýba niektorá z povinností likvidácie osobných údajov (§ 17)
- chýba niektorá z povinností bezpečnosti spracúvania osobných údajov (§ 19 od. 1,3 § 20)
- nie je splnená alebo porušená niektorá z povinností upravujúcich poučenie oprávnených osôb (§ 21 ods. 2,4)
prevádzkovateľovi od 1 000 EUR - 200 000 EUR, ak
- chýba písomná zmluva poverenia spracúvaním osobných údajov sprostredkovateľa (§ 8 ods.3)
- nesplnená alebo porušená povinnosť mať vypracovaný bezpečnostný projekt (§ 19 ods.2)
- nesplnená alebo porušená povinnosť osobitnej registrácie informačného systému (§ 37,38, § 39 ods.5)
- nie je vykonaný prenos osobných údajov do tretích krajín (§ 31, 32 ods. 2-4)
sprostredkovateľovi od 300 EUR - 3000 EUR, ak
- nezabezpečil správnosť a aktuálnosť osobných údajov (§ 16 ods. 2)
- neoznámil zistené nedostatky tretím stranám (§ 18 ods. 1)
- nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie záznamu poučenia oprávnených osôb (§ 21 ods. 3)
- nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej osoby (§ 23 ods. 8)
- nesplnil alebo porušil oznamovaciu povinnosť (§ 25 ods. 2 až 4)
- nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej osoby (§ 26)
- nevykonal oznámenie o obmedzení práv dotknutej osoby (§ 30)
sprostredkovateľovi od 1 000 EUR - 50 000 EUR, ak
- nesplnil alebo porušil niektorú z povinností základných zásad spracúvania osobných údajov (§ 5 ods. 1, § 6 ods. 2 písm. c-i, § 6 ods. 4)
- nesplnil alebo porušil niektorú z povinností sprostredkovateľa (§ 8 ods. 6, 7)
- nesplnil alebo porušil niektorú z povinností likvidácie osobných údajov (§ 17)
- nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania osobných údajov (§ 19 ods. 1, 3 a § 20)
- nesplnil alebo porušil niektorú z povinností upravujúcich poučenie oprávnených osôb (§ 21 ods. 2, 4)
- pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil niektorú z povinností (§ 23 ods. 2, 5 až 7 a § 25 ods. 1)
- pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú z povinností (§ 28 a 29)
sprostredkovateľovi od 1 000 EUR - 200 000 EUR, ak
- nemá vypracovaný bezpečnostný projekt (§ 19 ods. 2)
- nevykonal prenos alebo porušil podmienky pre prenos osobných údajov do tretích krajín (§ 31, § 32 ods. 2-4)
úrad môže uložiť pokutu od 150 EUR - 2 000 EUR tomu, kto
- poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa a sprostredkovateľa
- poskytne nepravdivé osobné údaje (§ 16 ods. 1)
- nepostupoval v súlade s technickými, organizačnými alebo personálnymi opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom (§ 19 a 20)
- poruší povinnosť mlčanlivosti o osobných údajoch (§ 22)
- neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa zákona