Ochrana osobných údajov – Bezpečnostné opatrenia

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a rovnako aj sprostredkovateľ. Prevádzkovateľ (pokiaľ si v zmluve so sprostredkovateľom nedohodne inak) je povinný vytvoriť také podmienky fungovania nimi prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Prevádzkovateľ je povinný splniť súčasne všetky uvedené bezpečnostné opatrenia, nielen niektoré z nich. Bezpečnostné opatrenia treba prijať nielen v rozsahu technických a organizačných, ale aj personálnych opatrení na zabezpečenie ochrany spracúvaných osobných údajov.

V závislosti od rizikovosti spracúvania osobných údajov je nevyhnutné, aby prevádzkovateľ a sprostredkovateľ zdokumentovali prijaté bezpečnostné opatrenia v tzv. bezpečnostnej dokumentácii informačného systému ochrany osobných údajov. Bezpečnostná dokumentácia prijatých bezpečnostných opatrení má tri formy:

• dokumentácie v základnom rozsahu,
• primerané technické, organizačné a personálne opatrenia podľa § 19 ods. 1 cit. zákona
• a bezpečnostný projekt.

Toto platilo do 15. apríla 2014: „Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostnej smernice vzniká:

• pri spracúvaní osobných údajov v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim),
• alebo pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim).“ Od 15. apríla 2014 má prevádzkovateľ prijať primerané technické, organizačné a personálne opatrenia, čo to je zákon a ani vyhláška č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení neustanovujú. Predpokladá sa, že úrad bude uvedenú vyhlášku práve z toho dôvodu novelizovať. Stále však zostáva pôvodná verzia, ktorá je časťou bezpečnostného projektu.

Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostného projektu vzniká:

• pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim),
• alebo pri spracúvaní osobných údajov v informačnom systéme, ktorý slúži na zabezpečenie verejného záujmu.

Bezpečnostný projekt sa skladá z:

• bezpečnostného zámeru,
• analýzy bezpečnosti informačného systému a
• bezpečnostnej smernice.

Povinnosť prijať bezpečnostné opatrenia vo forme dokumentácie v základnom rozsahu vznikne, ak prevádzkovateľ alebo sprostredkovateľ nemá povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostnej smernice alebo bezpečnostného projektu. Ide o prípady, keď sa spracúvajú „bežné“ osobné údaje v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim). To, akú formu bezpečnostnej dokumentácie prevádzkovateľ vypracuje, záleží od toho, či si osobné údaje v informačnom systéme Personalistika a mzdy spracúva sám alebo prostredníctvom sprostredkovateľa; pozri bod 4 tohto článku. Ako pomôcka môže slúžiť uvedená tabuľka, podľa ktorej prevádzkovateľ zistí, aké bezpečnostné opatrenia má prijať, ak spracúva osobné údaje prostredníctvom sprostredkovateľa. Pozor, prevádzkovateľ je vždy povinný mať vypracovanú minimálne základnú dokumentáciu.

Poznámka redakcie:
§ 19 ods. 1 a 3 zákona č. 122/2013 Z. z.

Autor: JUDr. Marcela Macová, PhD.