Povinnosť | termín | dátum |
Všetky informačné systémy, v ktorých sa spracúvajú osobné údaje uviesť do súladu s novým zákonom. | do 6 mesiacov | 31.12.2013 |
Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s novým zákonom. | do 6 mesiacov | 31.12.2013 |
Registrácie udelené podľa doterajšieho zákona sa účinnosťou nového zákona zrušujú. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s novým zákonom. | do 6 mesiacov | 31.12.2013 |
Osobitné registrácie udelené podľa doterajšieho zákona sa účinnosťou nového zákona rušia. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s novým zákonom. | do 6 mesiacov | 31.12.2013 |
Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou nového zákona považujú za bezpečnostné opatrenia vypracované podľa tohto nového zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom. | do 9 mesiacov | 31.03.2014 |
Prevádzkovateľ je povinný dať zmluvný vzťah so sprostredkovateľom do súladu s novým zákonom. | do 1 roka | 30.06.2014 |
Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa účinnosťou nového zákona zrušujú. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s novým zákonom. | do 1 roka | 30.06.2014 |
To, čo je potrebné urobiť, aby ste boli v súlade s novou legislatívou o ochrane osobných údajov, nájdete v ďalšom texte.
Poučenie oprávnených osôb
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.
Poučenie musí mať podľa nového zákona presne dané náležitosti a musí byť o ňom vykonaný záznam:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,
c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
d) rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov,
e) deň poučenia,
f) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.
Dôležitý je hlavne bod d). Poučenie každej oprávnenej osoby prevádzkovateľa musí zodpovedať konkrétnym spracovateľským operáciám s osobnými údajmi, ktoré táto osoba vykonáva s ohľadom na jej funkciu i pracovnú pozíciu (napr. osoba na recepcii spracúva osobné údaje v inom rozsahu a vykonáva iné operácie s osobnými údajmi ako personalistka). Poučenie má korešpondovať s opisom pracovných činností pri ktorých oprávnená osoba spracúva osobné údaje.
Registrácia a evidencia informačných systémov
Podľa zákona 122/2013 je každý prevádzkovateľ informačného systému, ktorý obsahuje osobné údaje, povinný požiadať úrad o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu.
Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém"); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania (t.j. aj pre papierové dokumenty).
Povinnosť registrácie sa nevzťahuje na informačné systémy, ktoré:
a) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ,
b) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Teda ak spracovávate osobné údaje na základe niektorého osobitného zákona (napr. daňový zákon pri personalistike a mzdách) nie je potrebné informačný systém registrovať.
Osobitnej registrácii podliehajú informačné systémy, v ktorých:
a) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona,
b) sa spracovávajú biometrické údaje.
O informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.
Bezpečnostné opatrenia
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel príjme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.
Bezpečnostné opatrenia prevádzkovateľ zdokumentuje:
Nepripojený k Internetu | Pripojený k Internetu | |
Nespracúva osobitné kategórie | nič | smernica |
Spracováva osobitné kategórie (napr. rodné číslo) | smernica | projekt |
Informačný systém slúži na zabezpečenie verejného záujmu | projekt | projekt |
Bezpečnostný projekt informačného systému obsahuje:
a) názov informačného systému na ktorý sa vzťahuje,
b) bezpečnostný zámer,
c) analýzu bezpečnosti informačného systému,
d) bezpečnostnú smernicu podľa vyhlášky 164/2013.
Bezpečnostná smernica musí obsahovať:
a) popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,
c) rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.
Pri realizácii bezpečnostnej smernice sa odporúča postupovať podľa normy STN ISO/IEC 27001, STN ISO/IEC 27002 alebo výnosu Ministerstva financií Slovenskej republiky č. 312/2010 o štandardoch pre informačné systémy verejnej správy.
Sprostredkovateľ
Nový zákon tiež upravuje a konkretizuje podmienky spracovávania osobných údajov sprostredkovateľom. Podľa § 8 tohto zákona musí vzťah fungovať na zmluvnom základe v ktorom sprostredkovateľ ale aj prevádzkovateľ má povinnosti, ktoré musí splniť.
Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
Zmluva medzi prevádzkovateľom a sprostredkovateľom musí obsahovať:
a) údaje o zmluvných stranách,
b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,
c) účel spracúvania osobných údajov,
d) názov informačného systému,
e) zoznam osobných údajov ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,
f) okruh dotknutých osôb,
g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,
h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, najmä vypracovaným bezpečnostným projektom,
i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby,
j) dobu, na ktorú sa zmluva uzatvára,
k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.
Zmluvu je potrebné uzavrieť ešte pred spracovávaním osobných údajov, najneskôr však v deň začatia ich spracovávania.
Zodpovedná osoba
Zákon mení aj štatút zodpovednej osoby. Najzákladnejšou požiadavkou je povinnosť prevádzkovateľa alebo sprostredkovateľa písomne poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov, ktoré spracúva. Túto povinnosť majú iba tí prevádzkovatelia, ktorí spracúvajú osobné údaje prostredníctvom 20 a viac oprávnených osôb.
Poverenie zodpovednej osoby obsahuje:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
c) dátum začiatku platnosti poverenia zodpovednej osoby,
d) vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky a dátum vydania potvrdenia,
f) výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
g) odtlačok pečiatky prevádzkovateľa,
h) dátum vyhotovenia poverenia a
i) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.
Dôležitý je bod e) kde môže byť zodpovednou osobou len tá fyzická osoba, ktorá vykonala skúšky na Úrade na ochranu osobných údajov. Skúška prebieha formou písomného testu, ktorý obsahuje 20 otázok. Za každú správne zodpovedanú otázku je možné získať jeden bod. Na vykonanie testu je stanovený limit 30 minút. Pre úspešné absolvovanie skúšky je potrebné získať najmenej 15 bodov, čiže tolerancia je 5 nesprávnych odpovedí. Ak žiadateľ neuspeje, skúšku môže absolvovať opakovane, najskôr však po uplynutí 60 dní odo dňa konania predchádzajúcej neúspešnej skúšky.
Zodpovedná osoba je zároveň aj oprávnenou osobou prevádzkovateľa, a teda jej poverenie na výkon funkcie zodpovednej osoby musí v prílohe obsahovať aj jej písomné poučenie ako oprávnenej osoby prevádzkovateľa. Ak prevádzkovateľ poveril výkonom dohľadu nad spracúvaním osobných údajov niekoľko zodpovedných osôb, je potrebné aby tieto písomnosti obsahovali presnú špecifikáciu povinností, ktoré v rámci dohľadu nad ochranou spracúvania osobných údajov u prevádzkovateľa v zmysle zákona vykonáva (napríklad, ktoré konkrétne informačné systémy osobných údajov má na starosti, povinnosti, ktoré v rámci dohľadu vykonáva a pod.).
Dôležité odkazy:
Formulár na evidenciu informačného systému
Vypracované evidenčné listy Úradu na ochranu osobných údajov
Ukážkový test na skúšku zodpovednej osoby
