Nový zákon 122/2013 Z. z. o ochrane osobných údajov

Autor: Daniel Schikor | 2.9.2013 o 19:30 | (upravené 6.11.2013 o 19:18) Karma článku: 10,69 | Prečítané:  15801x

Zákon 122/2013 Z. z. o ochrane osobných údajov prináša významné zmeny, ktoré je prevádzkovateľ informačných systémov s osobnými údajmi povinný splniť do presne daného termínu od nadobudnutia platnosti zákona.

Povinnosť

termín

dátum

Všetky informačné systémy, v ktorých sa spracúvajú osobné údaje uviesť do súladu s novým zákonom.

do 6 mesiacov

31.12.2013

Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených osôb v súlade s novým zákonom.

do 6 mesiacov

31.12.2013

Registrácie udelené podľa doterajšieho zákona sa účinnosťou nového zákona zrušujú. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na registráciu v súlade s novým zákonom.

do 6 mesiacov

31.12.2013

Osobitné registrácie udelené podľa doterajšieho zákona sa účinnosťou nového zákona rušia. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný systém na osobitnú registráciu v súlade s novým zákonom.

do 6 mesiacov

31.12.2013

Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt vypracované podľa doterajšieho zákona sa účinnosťou nového zákona považujú za bezpečnostné opatrenia vypracované podľa tohto nového zákona. Prevádzkovateľ a sprostredkovateľ sú povinní zosúladiť prijaté bezpečnostné opatrenia s novým zákonom.

do 9 mesiacov

31.03.2014

Prevádzkovateľ je povinný dať zmluvný vzťah so sprostredkovateľom do súladu s novým zákonom.

do 1 roka

30.06.2014

Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho zákona sa účinnosťou nového zákona zrušujú. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu a jej poverenie oznámiť úradu v súlade s novým zákonom.

do 1 roka

30.06.2014

To, čo je potrebné urobiť, aby ste boli v súlade s novou legislatívou o ochrane osobných údajov, nájdete v ďalšom texte.

Poučenie oprávnených osôb

Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.

Poučenie musí mať podľa nového zákona presne dané náležitosti a musí byť o ňom vykonaný záznam:

a)    identifikačné údaje prevádzkovateľa,

b)    titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby,

c)     titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,

d)    rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov,

e)    deň poučenia,

f)     deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.

Dôležitý je hlavne bod d). Poučenie každej oprávnenej osoby prevádzkovateľa musí zodpovedať konkrétnym spracovateľským operáciám s osobnými údajmi, ktoré táto osoba vykonáva s ohľadom na jej funkciu i pracovnú pozíciu (napr. osoba na recepcii spracúva osobné údaje v inom rozsahu a vykonáva iné operácie s osobnými údajmi ako personalistka). Poučenie má korešpondovať s opisom pracovných činností pri ktorých oprávnená osoba spracúva osobné údaje.

Registrácia a evidencia informačných systémov

Podľa zákona 122/2013 je každý prevádzkovateľ informačného systému, ktorý obsahuje osobné údaje, povinný požiadať úrad o registráciu informačných systémov, osobitnú registráciu informačných systémov alebo viesť o  informačných systémoch evidenciu.

Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém"); informačným systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.

Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania (t.j. aj pre papierové dokumenty).

Povinnosť registrácie sa nevzťahuje na informačné systémy, ktoré:

a)    podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ,

b)    obsahujú osobné údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Teda ak spracovávate osobné údaje na základe niektorého osobitného zákona (napr. daňový zákon pri personalistike a mzdách) nie je potrebné informačný systém registrovať.

Osobitnej registrácii podliehajú informačné systémy, v ktorých:

a)    spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona,

b)    sa spracovávajú biometrické údaje.

O informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.

Bezpečnostné opatrenia

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel príjme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.

Bezpečnostné opatrenia prevádzkovateľ zdokumentuje:

 

Nepripojený k Internetu

Pripojený k Internetu

Nespracúva osobitné kategórie

nič

smernica

Spracováva osobitné kategórie (napr. rodné číslo)

smernica

projekt

Informačný systém slúži na zabezpečenie verejného záujmu

projekt

projekt

Bezpečnostný projekt informačného systému obsahuje:

a)      názov informačného systému na ktorý sa vzťahuje,

b)      bezpečnostný zámer,

c)      analýzu bezpečnosti informačného systému,

d)     bezpečnostnú smernicu podľa vyhlášky 164/2013.

Bezpečnostná smernica musí obsahovať:

a)      popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,

b)      rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,

c)      rozsah zodpovednosti oprávnených osôb a zodpovednej osoby,

d)     spôsob, formu a  periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,

e)      postupy pri haváriách, poruchách a  iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou situáciou.

Pri realizácii bezpečnostnej smernice sa odporúča postupovať podľa normy STN ISO/IEC 27001, STN ISO/IEC 27002 alebo výnosu Ministerstva financií Slovenskej republiky č. 312/2010 o štandardoch pre informačné systémy verejnej správy.

Sprostredkovateľ

Nový zákon tiež upravuje a konkretizuje podmienky spracovávania osobných údajov sprostredkovateľom. Podľa § 8 tohto zákona musí vzťah fungovať na zmluvnom základe v ktorom sprostredkovateľ ale aj prevádzkovateľ má povinnosti, ktoré musí splniť.

Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ nesmie  zveriť spracúvanie osobných údajov sprostredkovateľovi ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Zmluva medzi prevádzkovateľom a sprostredkovateľom musí obsahovať:

a)    údaje o zmluvných stranách,

b)    deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa,

c)     účel spracúvania osobných údajov,

d)    názov informačného systému,

e)    zoznam osobných údajov ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov,

f)     okruh dotknutých osôb,

g)    podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi,

h)    vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa dbal na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov, najmä vypracovaným bezpečnostným projektom,

i)      súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby,

j)     dobu, na ktorú sa zmluva uzatvára,

k)    dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Zmluvu je potrebné uzavrieť ešte pred spracovávaním osobných údajov, najneskôr však v deň začatia ich spracovávania.

Zodpovedná osoba

Zákon mení aj štatút zodpovednej osoby. Najzákladnejšou požiadavkou je povinnosť prevádzkovateľa alebo sprostredkovateľa písomne poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov, ktoré spracúva. Túto povinnosť majú iba tí prevádzkovatelia, ktorí spracúvajú osobné údaje prostredníctvom 20 a viac oprávnených osôb.

Poverenie zodpovednej osoby obsahuje:

a)    identifikačné údaje prevádzkovateľa,

b)    titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,

c)     dátum začiatku platnosti poverenia zodpovednej osoby,

d)    vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto zákona,

e)    číslo potvrdenia o absolvovaní skúšky a dátum vydania potvrdenia,

f)     výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,

g)    odtlačok pečiatky prevádzkovateľa,

h)    dátum vyhotovenia poverenia a

i)      podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v mene prevádzkovateľa.

Dôležitý je bod e) kde môže byť zodpovednou osobou len tá fyzická osoba, ktorá vykonala skúšky na Úrade na ochranu osobných údajov. Skúška prebieha formou písomného testu, ktorý  obsahuje 20 otázok. Za každú správne zodpovedanú otázku je možné získať jeden bod. Na vykonanie testu je stanovený limit 30 minút. Pre úspešné absolvovanie skúšky je potrebné získať najmenej 15 bodov, čiže  tolerancia je 5 nesprávnych odpovedí. Ak žiadateľ neuspeje, skúšku môže absolvovať opakovane, najskôr však po uplynutí 60 dní odo dňa konania predchádzajúcej neúspešnej skúšky.

Zodpovedná osoba je zároveň aj oprávnenou osobou prevádzkovateľa, a teda jej poverenie na výkon funkcie zodpovednej osoby musí v prílohe obsahovať aj jej písomné poučenie ako oprávnenej osoby prevádzkovateľa. Ak prevádzkovateľ poveril výkonom dohľadu nad spracúvaním osobných údajov niekoľko zodpovedných osôb, je potrebné aby tieto písomnosti obsahovali presnú špecifikáciu povinností, ktoré v rámci dohľadu nad ochranou spracúvania osobných údajov u prevádzkovateľa v zmysle zákona vykonáva (napríklad, ktoré konkrétne informačné systémy osobných údajov má na starosti, povinnosti, ktoré v rámci dohľadu vykonáva a pod.).

Dôležité odkazy:

Formulár na evidenciu informačného systému
Vypracované evidenčné listy Úradu na ochranu osobných údajov
Ukážkový test na skúšku zodpovednej osoby

Páčil sa Vám tento článok? Pridajte si blogera medzi obľúbených a my Vám pošleme email keď napíše ďalší článok
Pridaj k obľúbeným

Hlavné správy

PLUS

Kupujúci Japonec? Neexistuje, tvrdia stánkari z vianočných trhov

Strávili sme jeden deň so stánkarmi, aby sme zistili ako vidia návštevníkov spoza svojich pultov.

EKONOMIKA

Deti boháčov majú vlastnú sieť, stojí za ňou Slovák

Byť bohatým je nuda, keď vás nikto nevidí.


Už ste čítali?