Ponúkame Vám vypracovanie bezpečnostnej smernice na ochranu osobných údajov.

Novela zákona o ochrane osobných údajov ruší od 15. apríla 2014 bezpečnostnú smernicu.

Organizácie, ktoré spracúvajú osobné údaje v informačnom systéme, ktorý

  • nie je prepojený s verejne prístupnou počítačovou sieťou (internet) alebo
  • je prepojený s verejne prístupnou počítačovou sieťou (internet) a zároveň nespracúva osobitné kategórie osobných údajov (napr. rodné číslo, biometrický údaj, zdravotný záznam),

majú povinnosť mať spracovanú bezpečnostnú dokumentáciu len v základnom rozsahu.

Podľa nového zákona o ochrane osobných údajov za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ. Sú povinní chrániť osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.

Bezpečnosť osobných údajov zabezpečuje prevádzkovateľ a sprostredkovateľ prijatím primeraných technických, organizačných a personálnych opatrení, ktoré budú zodpovedať spôsobu spracúvania osobných údajov. Pri prijímaní týchto bezpečnostných opatrení je potrebné zobrať do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému, v ktorom sú spracúvané osobné údaje.

V závislosti od rizikovosti spracúvaných osobných údajov je nevyhnutné, aby prevádzkovateľ a sprostredkovateľ zdokumentovali prijaté bezpečnostné opatrenia v tzv. bezpečnostnej dokumentácii informačného systému ochrany osobných údajov.

Bezpečnostná dokumentácia prijatých bezpečnostných opatrení má tri formy:

Dokumentácia popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu. Obsah dokumentácie sa musí zhodovať so skutočným stavom pri spracúvaní osobných údajov.

  • Kedy vzniká povinnosť vypracovať bezpečnostnú smernicu

    Ide o prípady:

    1. keď organizácia spracúva osobné údaje v počítači, ktorý je prepojený s verejne prístupnou počítačovou sieťou (internet) a zároveň nespracúva osobitné kategórie osobných údajov alebo
    2. keď organizácia spracúva osobitnú kategóriu osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.), v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou.

    Napríklad:

    1. Prevádzkovateľ spracúva osobné údaje – meno, priezvisko, adresa, email, telefón svojich klientov, a to v počítači, ktorý je pripojený na internet.
    2. Prevádzkovateľ spracúva osobné údaje – okrem bežných aj rodné číslo, a to v počítači, ktorý nie je pripojený na internet.
  • Bezpečnostná smernica obsahuje

    1. popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
    2. rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,
    3. rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,
    4. spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,
    5. postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.

Potrebujete vypracovať pre Váš informačný systém bezpečnostnú smernicu?