ČASTÉ OTÁZKY K BEZPEČNOSTNÉMU PROJEKTU IS

  • 01

    Kto zodpovedá za bezpečnosť osobných údajov?

    Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ IS (§ 15 odsek 1).

  • 02

    V čom spočíva zodpovednosť za bezpečnosť osobných údajov?

    Zodpovednosť spočíva v ochrane osobných údajov pred náhodným alebo nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracovávania (§ 15 odsek 1).

  • 03

    Ako vyzerá ochrana osobných údajov v praxi?

    Od prevádzkovateľa sa zo zákona požaduje prijatie primeraných technických, organizačných a personálnych opatrení zodpovedajúcich spôsobu spracovávania osobných údajov. Do úvahy pritom treba vziať najmä použiteľné technické prostriedky, rozsah možných rizík, ktoré môžu narušiť bezpečnosť alebo funkčnosť informačného systému a tiež dôvernosť a dôležitosť spracovávaných osobných údajov (§ 15 odsek 1).

  • 04

    Kedy je potrebné mať podľa zákona vypracovaný bezpečnostný projekt?

    Ak sú v informačnom systéme spracovávané osobitné kategórie osobných údajov (napr. rodné číslo, biometrické údaje) a súčasne je tento informačný systém pripojený na internet alebo je prevádzkovaný v sieti pripojenej na internet. (§ 15 odsek 2)

  • 05

    Kde je možné získať vzor bezpečnostného projektu?

    Vzor bezpečnostného projektu si môžete stiahnuť TU: Vzorový bezpečnostný projekt IS.

  • 06

    Čo všetko musí obsahovať bezpečnostný projekt?

    Správne vypracovaný bezpečnostný projekt sa skladá z troch častí: bezpečnostného zámeru, analýzy bezpečnosti informačného systému a bezpečnostných smerníc. (§ 16)

  • 07

    Je potrebné vypracovať bezpečnostný projekt, ak informačný systém obsahuje rodné čísla, ale nie je pripojený na internet?

    Nie. V tomto prípade stačí vypracovať bezpečnostnú smernicu (§ 15 odsek 2). Bezpečnostný projekt ani bezpečnostnú smernicu prevádzkovateľ neposiela na Úrad pre ochranu osobných údajov Slovenskej republiky.

  • 08

    Kto je to zodpovedná osoba?

    Je to osoba, ktorá je prevádzkovateľom poverená podľa zákona dohľadom nad ochranou osobných údajov spracovávaných u prevádzkovateľa.

  • 09

    Kedy vzniká prevádzkovateľovi povinnosť poveriť zodpovednú osobu?

    Ak prevádzkovateľ (zamestnávateľ) zamestnáva viac ako 5 zamestnancov. Zamestnancami sa na tento účel myslia osoby, ktoré sú v pracovnoprávnom vzťahu na základe pracovného pomeru aj osoby zamestnané na kratší pracovný čas. Osoby, ktoré sú v pracovnom vzťahu so zamestnávateľom na základe dohôd o prácach vykonávaných mimo pracovného pomeru, sa v tomto prípade nepovažujú za zamestnancov.

  • 10

    Akú formu školenia zodpovednej osoby požaduje úrad?

    Úrad na ochranu osobných údajov Slovenskej republiky nevyžaduje konkrétnu formu školenia zodpovednej osoby. Školenie môže mať formu samostatného štúdia, zodpovednú osobu môže vyškoliť právnik organizácie, prípadne môže využiť služby vzdelávacej agentúry. Úrad tieto školiace činnosti necertifikuje.

  • 11

    Je potrebné zaslať doklad o vyškolení zodpovednej osoby na úrad?

    Nie. Doklad o školení sa na úrad nezasiela. Je ho však potrebné predložiť na vyžiadanie prípadnej kontrole.

  • 12

    Je platný aj doklad o školení vydaný pred 1. májom 2005?

    Nie. Doklad o školení vydaný pred 1.májom 2005 je dnes už nepoužiteľný. Platný je iba doklad vydaný po 1.máji 2005. Tento doklad preukazuje skutočnosť, že zodpovedná osoba bola vyškolená podľa predpisu účinného od 1. mája 2005 a má vedomosti z poslednej právnej úpravy. Doklad o vyškolení ostáva u prevádzkovateľa, viac info o problematike v otázke č.11.

  • 13

    Má úrad nejaký zoznam osôb, ktoré vykonávajú školenia zodpovedných osôb?

    Podnikateľské subjekty a osoby vykonávajú školenia zodpovedných osôb ako svoju podnikateľskú aktivitu. Úrad na ochranu osobných údajov Slovenskej republiky nevedie v tejto veci žiadnu evidenciu a túto činnosť necertifikuje.

  • 14

    Aké podmienky musí spĺňať zodpovedná osoba?

    Zodpovedná osoba musí byť bezúhonná v zmysle § 35 ods. 4 zákona 428/2002 Z. z., spôsobilá na právne úkony v plnom rozsahu a nesmie byť štatutárnym orgánom prevádzkovateľa, ani nesmie byť oprávnená konať v mene štatutárneho orgánu prevádzkovateľa.

  • 15

    Aké doklady sa v súvislosti so zodpovednou osobou zasielajú na úrad?

    Úradu sa na formulári, ktorý je dostupný v časti registrácia, zasiela iba vyplnené a podpísané oznámenie o poverení zodpovednej osoby. Výpis z registra trestov sa úradu nezasiela. U osoby poverenej pred 1. májom 2005 sa priloží aj kópia dokladu o odbornom školení zodpovednej osoby.

  • 16

    Aký typ dokladu o odbornom školení úrad akceptuje?

    Úrad nevyžaduje od prevádzkovateľa žiadny doklad o odbornom vyškolení. Rozhodujúcou skutočnosťou je znalosť zákona zo strany zodpovednej osoby.

  • 17

    Kedy uplynie termín na zaslanie oznámenia o poverení zodpovednej osoby?

    Oznámenie o poverení zodpovednej osoby je potrebné zaslať úradu do 30 dní odo dňa jej poverenia. Oznámenie je potrebné zaslať ako doporučený list.

  • 18

    Musí byť zodpovedná osoba zamestnancom prevádzkovateľa?

    Pri poverení zodpovednej osoby nie je podmienkou, aby to bol zamestnanec prevádzkovateľa. Zodpovednou osobou môže byť aj externý spolupracovník, no treba si uvedomiť, že táto osoba bude mať prístup ku všetkým osobným údajom spracovávaným prevádzkovateľom, preto by jej mal prevádzkovateľ maximálne dôverovať.

  • 19

    Za akých okolností je prevádzkovateľ povinný prihlásiť svoj informačný systém na registráciu?

    Registráciu musí absolvovať v prípade, ak prevádzkuje informačný systém, v ktorom sa spracovávajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami. Povinnosti registrácie však nepodliehajú informačné systémy, ktoré:

    • podliehajú osobitnej registrácii;
    • podliehajú dohľadu zodpovednej osoby, ktorá vykonáva dohľad nad ochranou osobných údajov;
    • obsahujú osobné údaje fyzických osôb spracovávané na účely plnenia predzmluvných vzťahov alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich blízkych osôb (najčastejším prípadom je pracovný pomer);
    • obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi, osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo náboženskej spoločnosti alebo osobné údaje o členstve osôb v politickej strane alebo v politickom hnutí, ktoré sú ich členmi ak ich tieto organizácie spracovávajú a využívajú výlučne pre svoju vnútornú potrebu;
    • obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich z osobitného zákona alebo sú spracovávané na základe osobitného zákona (§ 25 odsek 2).
  • 20

    Kedy je prevádzkovateľ povinný prihlásiť svoj informačný systém na registráciu?

    Prevádzkovateľ prihlási informačný systém na registráciu ešte pred začatím spracovávania osobných údajov (§ 26 odsek 2).

  • 21

    Ako môže prevádzkovateľ splniť svoju povinnosť prihlásiť svoj informačný systém na registráciu?

    Na splnenie tejto povinnosti stačí, keď prevádzkovateľ úplne a pravdivo vyplní potrebné údaje predtlačené v registračnom formulári prístupnom na internetových stránkach Úradu na ochranu osobných údajov SR. Takto vyplnený formulár potvrdený pečiatkou a podpisom štatutárneho orgánu prevádzkovateľa doručí v jednom vyhotovení na Úrad na ochranu osobných údajov SR.

  • 22

    Akým spôsobom môže prevádzkovateľ doručiť registračný formulár na úrad?

    Formulár je možné doručiť osobne, poštou alebo aj elektronickou poštou. V prípade, že prevádzkovateľ zašle registračný formulár elektronickou poštou, je povinný potvrdiť jeho platnosť listom s pečiatkou a podpisom svojho štatutárneho orgánu.

  • 23

    Má povinnosť prihlásiť svoj informačný systém na registráciu aj prevádzkovateľ, ak sa osobné údaje v jeho informačnom systéme spracovávajú výlučne manuálne?

    Novelizované znenie zákona o ochrane osobných údajov vymedzuje, že registrácii podliehajú len informačné systémy, v ktorých sa spracovávajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracovávania. Informačné systémy s použitím len manuálnych prostriedkov spracovávania teda registrácii nepodliehajú (§ 25 ods. 2).

  • 24

    Čo je to cezhraničný tok osobných údajov?

    Cezhraničný tok osobných údajov je prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s takýmito subjektmi (§ 4 odsek 1 písmeno j).

  • 25

    Kto má mať dohľad nad cezhraničným tokom osobných údajov?

    Dohľad nad cezhraničným tokom osobných údajov má mať zodpovedná osoba na základe poverenia prevádzkovateľa informačného systému.

  • 26

    Čo treba predložiť úradu pri žiadaní o povolenie cezhraničného toku osobných údajov?

    Zmluvu s partnerom v zahraničí mimo EÚ , ktorého sa týka cezhraničný tok osobných údajov, teda ktorému poskytne žiadateľ osobné údaje dotknutých osôb (+ preklad do slovenského jazyka). Z nej musia byť zrejmé:

    • názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa a partnera (partnerov) v zahraničí ktorých sa cezhraničný tok bude týkať;
    • zoznam tretích krajín cezhraničného toku;
    • meno a priezvisko štatutárneho orgánu prevádzkovateľa;
    • meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov, ak sa vyžaduje jej poverenie;
    • účel spracúvania osobných údajov, (prípadne s uvedením príslušných ustanovení osobitného zákona požadujúceho účel spracovania údajov );
    • zoznam osobných údajov, ktoré budú predmetom cezhraničného toku, vrátane osobitej kategórie osobných údajov podľa § 8 (v prípade že sa cezhraničný tok nebude týkať údajov podľa §8 musí to byť v zmluve jasne deklarované)
    • okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené.
  • 27

    Aké sú podmienky cezhraničného toku osobných údajov?

    Podmienky cezhraničného toku osobných údajov vyčerpávajúco ustanovuje zákon č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov v paragrafoch 23 a 23a. Nebolo by účelné na tomto mieste citovať tieto ustanovenia zákona. Zákon je k dispozícii na internetových stránkach úradu.

  • 28

    Ako zistiť, ktoré krajiny zaručujú osobným údajom primeranú úroveň ochrany osobných údajov?

    V zásade za štáty, ktoré osobným údajom zaručujú primeranú úroveň ochrany, považujeme všetky štáty Európskej únie. Za krajiny zaručujúce primeranú úroveň ochrany vo všeobecnosti možno považovať aj krajiny, ktoré podpísali a prevzali do svojho právneho systému Dohovor rady Európy č. 108 o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (aktualizovaný zoznam zmluvných strán dohovoru sa nachádza na oficiálnej web stránke Rady Európy conventions.coe.int). V prípade USA u konkrétnej firmy zaváži najmä to, či sa táto firma pripojila k iniciatíve Safe Harbor. Viac informácií o možnosti pristúpenia k dohode o Safe Harbor nájdete na stránke www.export.gov/safeharbor/ .

  • 29

    Ktorý orgán je oprávnený rozhodnúť v prípade pochybností, či je možné vykonať cezhraničný tok?

    V prípade pochybností o tom, či je možné vykonať cezhraničný tok osobných údajov, rozhodne úrad. Pri posudzovaní primeranosti ochrany osobných údajov v tretej krajine sa vždy postupuje individuálne. Na zreteľ sa však berie to, či daná krajina má dozorný orgán vykonávajúci dozor nad ochranou osobných údajov a náležitú legislatívnu úpravu týkajúcu sa ochrany osobných údajov (§ 23 ods. 10).

  • 30

    Musí prevádzkovateľ žiadať úrad o povolenie cezhraničného toku do krajín mimo EU?

    Áno, musí. Pretože úrad posudzuje, či dotknutá krajina poskytuje adekvátnu ochranu osobných údajov, alebo nie. Náš zákon totiž explicitne neuvádza, za akých podmienok sa hľadí na štáty mimo EÚ ako na štáty poskytujúce primeranú ochranu osobných údajov.

  • 31

    Máte ďalšie otázky?

    Nie je vám jasný niektorý termín? Pokojne sa na nás obráťte e-mailom alebo telefonicky, radi vám všetko podrobne vysvetlíme.