AZ services s. r. o., IČO: 50 235 991, so sídlom: Československých tankistov 111, 841 06 Bratislava
– mestská časť Záhorská Bystrica, zapísaná v Obchodnom registri Okresného súdu Bratislava I,
oddiel: Sro, vložka č.: 110348/B (ďalej len ako „Prevádzkovateľ“)
Smernica na ochranu osobných údajov
spracúvaných v informačných systémoch
Prevádzkovateľa
(ďalej len ako „Smernica na ochranu osobných údajov“)
Vypracoval: ADVOKÁTSKA KANCELÁRIA – Marek Piršel s.r.o., IČO: 47 255 498, so sídlom:
Kopčianska 10, 851 01 Bratislava, zapísaná v Obchodnom registri Okresného súdu Bratislava I,
oddiel: Sro, vložka č.: 110554/B
Schválil: Bc. Andrea Zavarská Pírová
Dátum: 25.05.2018
Podpis: ……………………………………..
Obsah
1. ÚVOD ………………………………………………………………………………………………………………………………………………………………….
3
2. Výklad pojmov ………………………………………………………………………………………………………………………………………………………
5
3. Sprostredkovateľ ……………………………………………………………………………………………………………………………………………………
8
4. Základné povinnosti Prevádzkovateľa ………………………………………………………………………………………………………………………….
9
5. Politika bezpečného spracúvania osobných údajov Prevádzkovateľa ………………………………………………………………………………………
12
6. Bezpečnostný zámer …………………………………………………………………………………………………………………………………………………..
13
– vyhodnotí, či daná udalosť (resp. sled udalostí) predstavuje porušenie ochrany osobných údajov, ………………………………………….
20
– vykoná posúdenie rizika, ktoré z porušenia ochrany osobných údajov plynie pre práva a slobody dotknutých osôb, ……………………
20
– na základe vyhodnoteného rizika prijať ďalšie kroky (hlásenie dozornému orgánu, prípadne aj dotknutej osobe), ……………………..
20
– zadokumentuje proces detekcie, vyhodnocovania a reagovania na bezpečnostný incident. ……………………………………………………
20
9. Záverečné ustanovenia ……………………………………………………………………………………………………………………………………………………
22
1. ÚVOD
1.1. Smernica na ochranu osobných údajov Prevádzkovateľa je vypracovaná pre ochranu práv
a oprávnených záujmov prevádzkovateľa v zmysle ustanovení Nariadenia Európskeho parlamentu
a Rady (EU) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o
voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“)
a zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
(ďalej len „Zákon“) ochranu práv a oprávnených záujmov fyzických pri spracúvaní ich osobných
údajov zo strany Prevádzkovateľa.
1.2. Smernica na ochranu osobných údajov stanovuje všeobecné pravidlá ochrany osobných údajov
fyzických osôb pri ich spracúvaní, zásady spracúvania osobných údajov, práva dotknutých osôb
a povinnosti zamestnancov Prevádzkovateľa pri spracovávaní osobných údajov.
1.3. Smernica na ochranu osobných údajov bližšie konkretizuje v súlade s právnymi predpismi
ustanovenia Nariadenia podľa osobitných podmienok Prevádzkovateľa. Smernica na ochranu
osobných údajov má pre zamestnancov Prevádzkovateľa povahu pracovného poriadku resp. iného
záväzného pokynu v zmysle predpisov pracovného práva a teda je záväzná pre Prevádzkovateľa a pre
všetkých jeho zamestnancov. Nadobúda účinnosť dňom, ktorý je v ňom určený, najskôr však dňom,
keď bola u Prevádzkovateľa zverejnená. Každý zamestnanec Prevádzkovateľa musí byť oboznámený
so Smernicou na ochranu osobných údajov. Smernica na ochranu osobných údajov musí byť každému
zamestnancovi prístupná.
1.4. Prevádzkovateľ v zmysle ustanovení Nariadenia s ohľadom na povahu, rozsah a účel spracúvania
osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je
povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že
spracúvanie osobných údajov sa vykonáva v súlade s Nariadením. Uvedené opatrenia je
Prevádzkovateľ povinný podľa potreby aktualizovať.
1.5. Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných
údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí
primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné
zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad spracovania
osobných údajov.
1.6. Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí
primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len
na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania,
doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné
údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
1.7. Pri definovaní a zabezpečovaní bezpečnostných opatrení sa prihliada najmä na použiteľné dostupné
technické, softvérové, hardvérové prostriedky, primerané náklady Prevádzkovateľa, organizačné
a personálne opatrenia, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah
možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť spracovávania osobných
údajov a to od momentu ich získania až po ich likvidáciu.
1.8. Smernica na ochranu osobných údajov vymedzuje rozsah a spôsob technických, organizačných a
personálnych opatrení potrebných k eliminácii a minimalizácií hrozieb a rizík pôsobiacich na
spracovávanie osobných údajov z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
1.9. Medzi základné zásady spracovania osobných údajov patria
a. zásada zákonnosti – v zmysle, ktorej osobné údaje možno spracúvať len zákonným
spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby
b. zásada obmedzenia účelu – v zmysle, ktorej osobné údaje sa môžu získavať len na
konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom,
ktorý nie je zlučiteľný s týmto účelom
c. zásada minimalizácie osobných údajov – v zmysle, ktorej spracúvané osobné údaje
musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý
sa spracúvajú
d. zásada správnosti – v zmysle, ktorej spracúvané osobné údaje musia byť správne a podľa
potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho,
aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez
zbytočného odkladu vymazali alebo opravili.
e. zásada minimalizácie uchovávania – v zmysle, ktorej osobné údaje musia byť
uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým
je to potrebné na účel, na ktorý sa osobné údaje spracúvajú
f. zásada integrity a dôvernosti – v zmysle, ktorej osobné údaje musia byť spracúvané
spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení
zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným
spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou
osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov
g. zásada zodpovednosti – v zmysle, ktorej je Prevádzkovateľ je zodpovedný za
dodržiavanie základných zásad spracúvania osobných údajov
2. Výklad pojmov
2.1. Adresou je súbor údajov o pobyte fyzickej osoby, do ktorého patria: názov ulice, orientačné prípadne
súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu,
názov štátu.
2.2. Akceptácia rizika (angl. risk acceptance): rozhodnutie prijať určité riziko.
2.3. Aktívum (angl. asset): čokoľvek, čo má pre organizáciu hodnotu.
2.4. Analýza rizík: proces na pochopenie pôvodu rizík a zistenie úrovne rizík.
2.5. Anonymizovaným údajom je osobný údaj upravený do takej podoby, v ktorej ho nemožno priradiť
dotknutej osobe, ktorej sa týka.
2.6. Biometrickým údajom sú údaje, ktoré sú výsledkom osobitného technického spracúvania
osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických
charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej
osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto
fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
2.7. Blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov,
počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na
splnenie povinnosti uloženej Nariadením.
2.8. Cezhraničným prenosom osobných údajov je prenos osobných údajov mimo územia Slovenskej
republiky a na územie Slovenskej republiky.
2.9. Dotknutou osobou je každá fyzická osoba, ktorej sa osobné údaje týkajú.
2.10.Dostupnosť (angl. availability): schopnosť byť dostupný a použiteľný na požiadanie autorizovanej
entity.
2.11.Dôvernosť (angl. confidentiality): vlastnosť, na základe ktorej informácie nie sú sprístupňované a
odhaľované neautorizovaným osobám, entitám ani procesom.
2.12.Incident informačnej bezpečnosti (angl. information security incident): jedna alebo viaceré
neočakávané udalosti informačnej bezpečnosti, pri ktorých je vysoká pravdepodobnosť
kompromitácie aktivít Prevádzkovateľa a ohrozenia informačnej bezpečnosti.
2.13.Informačná bezpečnosť (angl. information security): zachovanie dôvernosti, integrity a
dostupnosti informácií; navyše sa môže týkať aj ďalších vlastností, akými sú autentičnosť,
sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť.
2.14.Informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred
vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný
súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný
systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom
základe, ďalej len „informačný systém“; informačným systémom sa na účely Nariadenia rozumie aj
súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne
automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.
2.15.Spracúvaním osobných údajov je spracovateľská operácia alebo súbor spracovateľských operácií
s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie,
usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie,
poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie,
obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo
neautomatizovanými prostriedkami.
2.16.Integrita (angl. integrity): vlastnosť zabezpečujúca presnosť a kompletnosť aktív.
2.17.Kritériá rizika sú referenčné hodnoty, podľa ktorých sa hodnotí závažnosť rizík.
2.18.Likvidáciou osobných údajov je zrušenie osobných údajov rozložením, vymazaním alebo
fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
2.19.Následok je výsledok udalosti ovplyvňujúci cieľ.
2.20.Ohodnotenie rizika (angl. risk evaluation): proces porovnania odhadnutého rizika podľa daných
kritérií rizika, s cieľom určiť významnosť rizika.
2.21.Opatrenie je zákrok, ktorý upravuje riziko.
2.22.Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci
svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu,
na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá
spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa Nariadenia.
2.23.Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej
fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne
použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné
číslo, lokalizačné údaje, alebo online identifikátor, alebo na základe jednej alebo viacerých
charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú
identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo
sociálnu identitu..
2.24.Osobitné kategórie osobných údajov (citlivé údaje) sú údaje, ktorých nekorektné použitie môže
mať pre subjekt údajov zvlášť závažné dôsledky. Preto pre ich spracovanie platia prísnejšie opatrenia
ako pre iné osobné údaje. Ide o údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické
názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické
údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo
sexuálnej orientácie fyzickej osoby.
2.25.Ošetrovanie rizika (angl. risk treatment): proces výberu a implementácie opatrení na
modifikovanie rizika.
2.26.Podmienkami spracúvania osobných údajov sú prostriedky a spôsob spracúvania osobných
údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných údajov
alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už pred začatím spracúvania
osobných údajov, alebo v priebehu ich spracúvania.
2.27.Poskytovaním osobných údajov je odovzdávanie osobných údajov tretej strane, ktorá ich ďalej
spracúva.
2.28.Posúdenie rizík je celkový proces identifikácie rizík, analýzy rizík a vyhodnotenia rizík.
2.29.Pravdepodobnosť je možnosť, že sa niečo stane.
2.30.Preskúmavanie rizík (angl. risk assessment): celkový proces analýzy rizika a ohodnotenia rizika.
2.31.Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných
údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel,
prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne
záväzný akt Európskej únie, alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za prevádzkovateľa ustanovený alebo
kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie, alebo
medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky.
2.32.Priestorom prístupným verejnosti je priestor, do ktorého možno voľne vstupovať a v ktorom
sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné
obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto
priestore, alebo je to priestor, ktorý tak označuje osobitný zákon.
2.33.Príjemcom je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom
môže byť aj tretia strana;
2.34.Riadenie rizík (angl. risk management): koordinované aktivity na usmernenie a riadenie
organizácie vzhľadom na riziko.
2.35.Incident manažment: koordinovaná aktivita v prípade neželaného/negatívneho incidentu
informačnej bezpečnosti alebo udalosť informačnej bezpečnosti, ktorý má za dôsledok možnosť
ohrozenia práv dotknutých osôb
2.36.Riziko je miera neistoty dosiahnutia cieľa.
2.37.Spracúvaním osobných údajov je vykonávanie operácií alebo súboru operácií s osobnými
údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie,
prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie,
premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos,
poskytovanie, sprístupňovanie alebo zverejňovanie.
2.38.Sprístupňovaním osobných údajov je oznámenie osobných údajov alebo umožnenie prístupu k
nim príjemcovi, ktorý ich ďalej nespracúva.
2.39.Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu
a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve
2.40.Súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a
jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho
úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov
2.41.Systém manažérstva informačnej bezpečnosti tzv. SMIB (angl. Information Security
Management system (ISMS)): časť celkového systému manažérstva, založená na prístupe k riziku
organizácie, ktorej úlohou je zriadiť, implementovať, prevádzkovať, monitorovať, preskúmavať,
udržiavať a zlepšovať informačnú bezpečnosť.
2.42.Profilovaním je akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v
použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich
sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby
súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami,
záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
2.43.Pseudonymizáciou je spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku
konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie
uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho,
aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej
fyzickej osobe.
2.44.Šifrovaním je transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné
len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
2.45.Treťou krajinou je krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou stranou
Dohody o Európskom hospodárskom priestore.
2.46.Treťou stranou je každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim osobné
údaje, jeho zástupcom, sprostredkovateľom alebo inou fyzickou osobou, ktorá na základe poverenia
prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje.
2.47.Udalosť informačnej bezpečnosti (angl. information security event): identifikovaný výskyt stavu
systému, služby alebo siete, ktorý signalizuje možnosť porušenia politiky informačnej bezpečnosti
alebo zlyhania opatrení alebo doposiaľ nezaznamenanú situáciu, ktorá môže byť relevantná z
hľadiska bezpečnosti.
2.48.Účelom spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer
spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
2.49.Úroveň rizika je vyjadrená ako kombinácia následkov a pravdepodobnosti.
2.50.Verejným záujmom je dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý prevažuje
nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a bez jeho realizácie by
mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
2.51.Všeobecne použiteľným identifikátorom je trvalý identifikačný osobný údaj dotknutej osoby,
ktorý zabezpečuje jej jednoznačnosť v informačných systémoch.
2.52.Zvyškové riziko je riziko, ktoré zostane po ošetrení rizika.
2.53. Zverejňovaním osobných údajov je publikovanie, uverejnenie alebo vystavenie osobných údajov
na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných
počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo
verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom
verejne prístupnom mieste.
3. Sprostredkovateľ
3.1. Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním osobných údajov
sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním osobných údajov sa súhlas
dotknutej osoby nevyžaduje.
3.2. Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho:
– odbornú,
– technickú,
– organizačnú
– personálnu spôsobilosť
– a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov primeranými opatreniami.
Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť
ohrozené práva a právom chránené záujmy dotknutých osôb.
3.3. Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu pred začatím spracúvania
osobných údajov, najneskôr v deň začatia spracúvania osobných údajov.
3.4. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel
dojednaný s prevádzkovateľom v zmluve a spôsobom podľa Nariadenia.
3.5. Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom,
ktorá musí obsahovať predmet a dobu spracúvania osobných údajov, povahu a účel ich
spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a
povinnosti a práva prevádzkovateľa.
3.6. Zmluva, alebo iný úkon podľa predchádzajúceho bodu ďalej musí obsahovať najmä
povinnosť sprostredkovateľa a) spracúvať osobné údaje len na základe písomných pokynov
Prevádzkovateľa, b) zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že
zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, c) vykonať opatrenia podľa ust. § 39
Zákona, d) dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa, e) po zohľadnení povahy
spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť Prevádzkovateľovi vhodnými
technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe
žiadosti dotknutej osoby, f) poskytnúť súčinnosť Prevádzkovateľovi pri zabezpečovaní plnenia
povinností podľa ust. § 39 až 43 Zákona s prihliadnutím na povahu spracúvania osobných údajov a
informácie dostupné sprostredkovateľovi, g) vymazať osobné údaje alebo vrátiť Prevádzkovateľovi
osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe
rozhodnutia prevádzkovateľa a h) po ukončení poskytovania služieb týkajúcich sa spracúvania
osobných údajov na základe rozhodnutia Prevádzkovateľa osobné údaje vymazať alebo vrátiť
Prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis
alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto
osobných údajov, i) poskytnúť Prevádzkovateľovi informácie potrebné na preukázanie splnenia
povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany
Prevádzkovateľa alebo ním povereného audítora.
4. Základné povinnosti Prevádzkovateľa
4.1. Pred začatím spracúvania osobných údajov vymedziť účel spracúvania osobných údajov; účel
spracúvania osobných údajov musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť
v súlade so zákonmi, právnymi predpismi EU a medzinárodnými zmluvami. Je potrebné od
úplného začiatku spracúvania osobných údajov v informačných systémoch vylúčiť
možnosť spracúvania takých osobných údajov, ktoré sú nezlučiteľné s daným účelom
spracúvania.
4.2. Prevádzkovateľ je povinný určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo
dotknutej osoby ustanovené Nariadením. Ide o presnú špecifikáciu podmienok, za akých budú
osobné údaje získavané, zhromažďované, zaznamenávané, usporadúvané, vyhľadávané,
premiestňované, využívané, uchovávané, poskytované, sprístupňované, zverejňované a likvidované.
Podmienky spracúvania vyjadrujú aj použitie automatizovaných (napr. databázy spracúvané
prostredníctvom PC) a neautomatizovaných (napr. doklady spracúvané manuálnym spôsobom)
prostriedkov spracúvania.
4.3. Prevádzkovateľ je povinný získavať osobné údaje výlučne na vymedzený alebo
ustanovený účel; je neprípustné získavať osobné údaje pod zámienkou iného účelu
spracúvania alebo inej činnosti.
4.4. Prevádzkovateľ je povinný zabezpečiť aby sa spracúvali len také osobné údaje, ktoré svojim obsahom
a rozsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Podmienku,
podľa ktorej možno spracúvať osobné údaje, ktoré svojím obsahom a rozsahom zodpovedajú účelu
ich spracúvania, treba posudzovať z pohľadu ich nevyhnutnosti na dosiahnutie daného účelu
spracúvania. Nepatria sem teda také osobné údaje, bez ktorých možno daný účel spracúvania
dosiahnuť. Prevádzkovateľ nie je oprávnený jeden informačný systém s osobnými údajmi
získanými na určitý konkrétny účel využívať zároveň na iný účel len preto, že tieto údaje
sú pre oba účely použiteľné.
4.5. Prevádzkovateľ je povinný získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa
osobné údaje spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli
zhromaždené. Je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely.
4.6. Prevádzkovateľ je povinný zaviesť a neustále preverovať správnosť procesu spracovania osobných
údajov tak, aby bolo zachovaná integrita, dôvernosť a dostupnosť osobných údajov. Integrita
osobných údajov znamená zabezpečenie takej formy spracovateľských operácii, ktoré zabezpečia
správnosť osobných údajov v informačných systémoch prevádzkovateľa.
4.7. Prevádzkovateľ je povinný spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje
vo vzťahu k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný
blokovať a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje, ktoré
nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ zreteľne označí a bez
zbytočného odkladu zlikviduje.
4.8. Prevádzkovateľ je povinný zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme
umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie
účelu spracúvania.
4.9. Prevádzkovateľ je povinný zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po
skončení účelu.
4.10.Spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje Nariadeniu
a ostatným právnym predpisom.
4.11.Prevádzkovateľ je povinný zaviesť a udržiavať po celú dobu risk manažment/riadenie
rizík, ktorý zahŕňa tieto procesy a) identifikácia rizika, b) hodnotenie rizika, c) riadenie
rizika a d) monitoring rizika.
4.12.Prevádzkovateľ je povinný zaviesť a udržiavať po celú dobu incident manažment, ktorý
zahŕňa tieto procesy a) identifikáciu incidentu, b) analýzu incidentu c) oznámenie
incidentu, d) identifikáciu nápravných opatrení, e) obnovu dostupnosti osobných
údajov a e) prevenciu.
4.13.Prevádzkovateľ ustanoví osobu, ktorá bude zodpovedná za ochranu osobných údajov.
Tejto osobe prevádzkovateľ vytvorí materiálne a organizačné predpoklady tak, aby táto
osoba mohla zabezpečiť splnenie povinností vyplývajúcich z Nariadenia, Zákona
a tejto smernice pre Prevádzkovateľa.
4.14.Prevádzkovateľ je povinný oznámiť Úradu a ochranu osobných údajov Slovenskej
republiky porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel;
to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k
riziku pre práva fyzickej osoby. Oznámenie musí obsahovať: a) opis povahy porušenia
ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu
dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých
záznamov o osobných údajoch b) kontaktnú osobu c) opis pravdepodobných následkov
porušenia ochrany osobných údajov a d) opis prijatých alebo navrhovaných opatrení.
4.15.Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie
ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k
vysokému riziku pre práva fyzickej osoby.
4.16.Cezhraničným spracúvaním sa rozumie spracúvanie osobných údajov na území EU a ich prenos
výlučne v rámci členských štátov. Na cezhraničné spracúvanie osobných údajov sa nevyžadujú žiadne
opatrenia z dôvodu voľného pohybu osobných údajov v rámci EÚ. Rovnako sa nevyžadujú iné
opatrenia pri prenose osobných údajov do ostatných krajín EHS. V prípade, že ide o prenos osobných
údajov do tretích krajín, môžu nastať dve situácie. Ak ide o krajinu, ktorá zaručuje primeranú úroveň
ochrany na základe rozhodnutia o primeranosti – rozhodnutie Komisie, že tretia krajina, územie
alebo jeden či viaceré určené sektory v danej tretej krajine alebo predmetná medzinárodná
organizácia zaručujú primeranú úroveň ochrany. Na takýto prenos nie je nutné žiadne osobitné
povolenie alebo opatrenie a uplatňujú sa zásady ako pri prenose v rámci EÚ podľa Nariadenia.
4.17.V prípade, že neexistuje rozhodnutie o primeranosti, prenos je možný len vtedy, ak
prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky a za podmienky, že
dotknuté osoby majú k dispozícii vymožiteľné práva a účinné právne prostriedky
nápravy.
4.18.Za primerané záruky možno považovať bez potreby povolenia od dozorného orgánu:
– medzinárodnú zmluvu, ktorou je Slovenská republika viazaná,
– záväzné vnútropodnikové pravidlá podľa čl. 47 Nariadenia,
– štandardné zmluvné doložky o ochrane osobných údajov, ktoré prijala Komisia,
– štandardné doložky o ochrane osobných údajov, ktoré prijal dozorný orgán,
– schválený kódex správania,
– schválený certifikačný mechanizmus
4.19.Za primerané záruky možno považovať aj iné opatrenia, napríklad zmluvné doložky, na
základe povoľovacieho mechanizmu Úradu na ochranu osobných údajov Slovenskej
republiky.
4.20.Ak neexistuje rozhodnutie o primeranosti alebo ak neexistujú primerané záruky, tak
prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční
len za taxatívne uvedených podmienok:
– dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o
rizikách, ktoré takéto prenosy môžu pre ňu predstavovať z dôvodu absencie rozhodnutia o
primeranosti a primeraných záruk;
– prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na
vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby;
– prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby
medzi prevádzkovateľom a inou fyzickou alebo právnickou osobou;
– prenos je nevyhnutný z dôležitých dôvodov verejného záujmu;
– prenos je nevyhnutný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;
– prenos je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby alebo iných osôb, ak je
dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas;
– prenos sa uskutočňuje z registra, ktorý je podľa práva Únie alebo práva členského štátu určený na
poskytovanie informácií verejnosti a ktorý je otvorený na nahliadanie verejnosti alebo akejkoľvek
osobe, ktorá vie preukázať oprávnený záujem, ale len pokiaľ sú v tomto konkrétnom prípade splnené
podmienky stanovené právom Únie alebo právom členského štátu na nahliadanie.
4.21.Ak by sa prenos nemohol zakladať na žiadnom z vyššie uvedenom ustanovení prenos do tretej
krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa
povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných
oprávnených záujmov, ktoré sleduje Prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a
slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na
základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov.
Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia vyššie
uvedených informácií informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch,
ktoré sleduje.
5. Politika bezpečného spracúvania osobných údajov Prevádzkovateľa
5.1. Hlavné zásady politiky bezpečného spracúvania osobných údajov:
5.1.1.zabezpečíme ochranu osobných údajov pred ich odcudzením, stratou, poškodením,
neoprávneným prístupom, zmenou, rozširovaním;
5.1.2.zabezpečíme dostupnosť aktív tak, aby boli dostupné autorizovanému subjektu v požadovanú
dobu a aby nedochádzalo k odmietnutiu prístupu;
5.1.3.zabezpečíme ochranu aktív, ktoré sú súčasťou chráneného systému;
5.1.4.zabezpečíme dôvernosť, integritu a autenticitu spracúvaných osobných údajov;
5.1.5.zabezpečíme minimalizáciu rizík hroziacich pri spracúvaní osobných údajov v podmienkach
prevádzkovateľa;
5.1.6.zabezpečíme nepretržitosť činností súvisiacich so spracúvaním osobných údajov v prípade
narušenia;
5.1.7.zabezpečíme pripravenosť všetkých oprávnených osôb a ostatných zamestnancov
prevádzkovateľa a ich aktívny prístup v prípade narušenia bezpečnosti spracúvaných osobných
údajov;
5.1.8.v pravidelných intervaloch budeme analyzovať a vyhodnocovať možnosti napadnutia
informačných systémov;
5.1.9.zabezpečíme pravidelné preškoľovanie všetkých oprávnených osôb pri spracúvaní osobných
údajov v informačných systémoch prevádzkovateľa v zmysle Nariadenia;
5.1.10.zabezpečíme trvalé dosahovanie zodpovedného, profesionálneho a uvedomelého prístupu
každej oprávnenej osoby s dôrazom na bezpečnosť spracúvaných osobných údajov a dobré meno
prevádzkovateľa využitím aj vhodných motivačných metód;
5.1.11.zabezpečíme trvalé fungovanie risk manažmentu a incident manažmentu,
v tomto rozsahu budeme pravidelne vykonávať analýzu rizík (raz ročne) a
vždy v prípade výskytu incidentu informačnej bezpečnosti.
6. Bezpečnostný zámer
6.1. Bezpečnostný zámer – základná charakteristika
Bezpečnostný zámer špecifikuje požiadavky na bezpečnosť informačných systémov a ciele, ktoré
sa majú dosiahnuť na ochranu informačných systémov pred ich ohrozením.
6.1.1.Formulácia aktuálnych bezpečnostných cieľov je výsledok vykonanej analýzy bezpečnosti
informačného systému. V prvom rade je dôležitá merateľnosť bezpečnostných cieľov, kedy ciele
v sledovanom období vieme porovnávať, čo nám poskytne hmatateľný výsledok k ich
vyhodnoteniu a teda, či boli alebo neboli splnené. Ďalej by ciele mali byť ekonomické, to
znamená, že náklady, ktoré sme vynaložili na ich spracovanie musia byť nižšie ako efekt, ktorý
prinesú.
6.2. Formulácia cieľov a špecifikácia súvisiacich opatrení
6.2.1.Formulácia cieľa: Zabezpečiť, aby pracovníci – oprávnené osoby, iné fyzické osoby ako aj
zmluvní partneri Prevádzkovateľa z pozícií tretích strán si boli vedomí svojich zodpovedností
a boli vhodní na výkon procesov a subprocesov Prevádzkovateľa súvisiacimi so spracúvaním
osobných údajov
6.2.1.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.1.1.1.jasne definovať popis pracovného miesta a očakávaní
6.2.1.1.2.zabezpečovať overenie správnosti predložených dokladov a vhodný výber
pracovníkov
6.2.1.1.3.počas pracovného, zmluvného či obdobného vzťahu Prevádzkovateľa
s jednotlivcom alebo externým subjektom zabezpečiť preukázateľné poučenia
pracovníkov a preukázateľné zverenie aktív
6.2.1.1.4.zabezpečiť udržiavanie bezpečnostného povedomia oprávnených osôb
6.2.1.1.5.zabezpečiť formuláciu primeraného disciplinárneho procesu a súvisiacich porušení
6.2.1.1.6.po ukončení pracovnoprávneho, zmluvného či obdobného vzťahu
Prevádzkovateľa s oprávnenou osobou zabezpečiť dodržiavanie záväzkov
mlčanlivosti, vrátenie všetkých zverených aktív Prevádzkovateľa, odňatie
prístupových práv do informačných systémov Prevádzkovateľa
6.2.1.1.7.zabezpečiť odňatie prístupových práv pred skončením pracovného pomeru, príp.
iného zmluvného vzťahu
6.2.1.1.8.zabezpečiť na časovej a vecnej úrovni kontrolu pohybu oprávnených
osôb v informačných systémoch Prevádzkovateľa
6.2.2.Formulácia cieľa: Zabezpečenie preukázateľného riadenia aktív Prevádzkovateľa, ktoré
súvisia so spracúvaním osobných údajov tak, aby bola zabezpečená ich primeraná ochrana.
6.2.2.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.2.1.1.identifikovať kritické aktíva
6.2.2.1.2.prideliť zodpovednosť za aktíva
6.2.2.1.3.viesť a udržiavať inventárny zoznam aktív
6.2.2.1.4.zabezpečiť poučenie pracovníkov pri zverení aktíva
6.2.3.Formulácia cieľa: Pravidelným kontrolovaním zabezpečiť odhaľovanie nezhôd v procesoch
a súvisiacich dokumentáciách, formou doporučení navrhovať zlepšovanie a aktualizácie, či
nové spracovanie dokumentácie
6.2.3.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.3.1.1.vykonávať plánované, následné a v prípade potreby mimoriadne kontrolné
činnosti
6.2.4.Formulácia cieľa: Preskúmavaním risk manažmentu, incident manažmentu a systému
manažérstva informačnej bezpečnosti Prevádzkovateľa dosiahnuť navrhnutie a prijatie
vhodných opatrení, ktoré zabezpečia trvalé zlepšovanie kvality spracúvania osobných údajov
6.2.4.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.4.1.1.Zabezpeč iť preskúmavanie a implementáciu záznamov protokolov
z kontrolných činností
6.2.4.1.2.Zabezpečiť posudzovanie požiadaviek na obstaranie aktív
6.2.4.1.3.Zabezpečiť preskúmavanie dokumentácie a tým jej trvalú vhodnosť
6.2.5.Formulácia cieľa: Zabezpečiť, aby zraniteľnosti, hrozby, incidenty informačnej bezpečnosti a
udalosti informačnej bezpečnosti boli oznamované riadeným spôsobom, čo zabezpečí primeranú
a najmä rýchlu reakciu pre prijatie vhodných opatrení
6.2.5.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.5.1.1.Zabezpečovať preventívnu prípravu pracovníkov, ako aj poučenia z udalostí
informačnej bezpečnosti
6.2.5.1.2.Zabezpečiť riadenie bezpečnostných incidentov vo vzťahu k dodávateľom
podporných služieb, či služieb spracúvania osobných údajov od sprostredkovateľov,
prípadne iných externých subjektov
6.2.5.1.3.Zabezpečovať vhodné komunikačné kanály pre oznamovanie bezpečnostných
incidentov zo strany iných fyzických osôb a vlastných pracovníkov
6.2.5.1.4.Zabezpečiť vykonávanie vhodných priebežných opatrení až po úplnú obnovu
systému, zdokumentovanie priebehu bezpečnostného incidentu
6.2.6.Formulácia cieľa: Zabezpečiť, aby boli zmeny vykonávané na aktívach tak, aby ich
implementáciou nedošlo k ich poškodeniu, či zlyhaniu a v konečnom dôsledku narušeniu
dostupnosti, integrity a celkovej bezpečnosti spracúvania osobných údajov
6.2.6.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.6.1.1.Zabezpečiť riadené vykonávanie zmien prevádzkového softvéru
6.2.6.1.2.Zabezpečiť vykonávanie upgrade operačného systému
6.2.6.1.3.Zabezpečiť testovanie zmien
6.2.7.Formulácia cieľa: zabezpečiť riadené vytváranie kópií z informačných systémov tak, aby
v prípade vzniku neočakávaného javu, či priamo bezpečnostného incidentu ich použitím bol
zabezpečený návrat do stavu, ktorý spĺňa kritérium dostupnosti a integrity
6.2.7.1.Súvisiace opatrenia v podmienkach prevádzkovateľa:
6.2.7.1.1.Určiť intervaly pre vytváranie záložných a archívnych kópií z informačných
systémov
6.2.7.1.2.Zabezpečiť ochranu vytvorených kópií, ich označovanie a evidenciu
6.2.7.1.3.Zabezpečiť preverovanie funkčnosti vytvorených kópií, v prípade ak bol ukončený
účel spracúvania zabezpečiť ich bezpečnú likvidáciu
6.2.8.Formulácia cieľa: Zabezpečiť, aby aktíva prevádzkovateľa boli správne udržiavané
6.2.8.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.8.1.1.Zabezpečiť udržiavanie sprievodnej dokumentácie technických zariadení
6.2.8.1.2.Zabezpečiť vykonávanie preventívnej údržby zariadení
6.2.8.1.3.Zabezpečiť vedenie záznamov udržiavaných technických zariadení
6.2.9.Formulácia cieľa: Riadenou manipuláciou s médiami zabezpečiť ochranu osobných údajov
pred ich poškodením, neoprávneným sprístupnením a pod.
6.2.9.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.9.1.1.Zabezpečiť, aby všetky prenosné média boli súčasťou inventárneho zoznamu
6.2.9.1.2.Zabezpečiť priebežné revidovanie vytvorených záznamov
6.2.10.Formulácia cieľa: Zabezpečiť identifikovateľnosť hrozieb, ktoré by mohli mať dopad na
kvalitu spracúvania osobných údajov
6.2.10.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.10.2.Zabezpečiť vykonávanie kvalitatívnej analýzy spracúvania osobných údajov
6.2.11.Formulácia cieľa: zabezpečiť primeranú úroveň ochrany aktív prevádzkovateľa vo forme
fyzickej bezpečnosti, opatrení pred výpadkami napájania a riadenia prístupu k aktívam
prevádzkovateľa a opatrení pred infiltráciou škodlivým kódom
6.2.11.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.11.1.1.Identifikovať opatrenia v oblasti fyzického prístupu
6.2.11.1.2.Zabezpečiť opatrenia v oblasti ochrany pred vonkajšími hrozbami a hrozbami
prostredia
6.2.11.1.3.Zabezpečiť opatrenia proti škodlivému kódu a neautorizovanému prístupu
6.2.11.1.4.Implementovať opatrenia v oblasti riadenia prístupu, autentifikácii používateľa
a opatrenia v oblasti výpadkov napájania kritických aktív
6.2.12.Formulácia cieľa: Zabezpečiť, aby spracúvanie osobných vo všetkých informačných
systémoch bolo v súlade s Nariadením
6.2.12.1.Súvisiace opatrenia v podmienkach Prevádzkovateľa:
6.2.12.2.Zabezpečiť aktualizovanie Smernice na ochranu osobných údajov, ktorá upravuje prácu
s osobnými údajmi v tomto informačnom systéme ako aj súvisiacich činností a následne
preukázateľné poučenie všetkých oprávnených osôb s jej znením
6.2.12.3.Zabezpečiť šifrovanie osobných údajov pri komunikácii s oprávnenými osobami,
zamestnancami, sprostredkovateľ mi a ď alš ími subjektmi spolupracujúcimi
s Prevádzkovateľom.
6.2.12.4.Zabezpečiť, aby heslo potrebné pre otvorenie šifrovaných osobných údajov alebo pre
logovanie nebolo voľné dostupné alebo zasielané mailom, oznamované telefonicky príp.
iným spôsobom, ktorý by mohol narušiť jeho dôvernosť.
6.2.12.5.Zabezpečiť, aby heslo potrebné na dešifrovanie osobných údajov bolo jedinečné pre
každú oprávnenú osobu, zamestnanca, sprostredkovateľa a ďalšie subjektmi spolupracujúce
s Prevádzkovateľom.
6.2.12.6.Zabezpečiť, aby zasielané osobné údaje boli šifrované na úrovni dokumentu .Doc, Xls.,
prípadne ďalšie. V prípade zvýšeného rizika zabezpečiť, aby šifrovanie prebehlo na úrovni
mailu.
6.2.12.7.Zabezpečiť webové rozhranie pomocou SSL certfikátu, ktorý umožní šifrovanie
dátových prenosov medzi prehliadačom návštevníka a serverom a potvrdenie identity
hostingu.
6.2.12.8.Zabezpečiť vytvorenie a pravidelnú obmenu hesla pre prístup do informačných
systémov Prevádzkovateľa. Heslo musí byť jedinečné pre každý subjekt vstupujúci do
systému Prevádzkovateľa a dostatočné silné (odporúča sa heslo pozostávajúce z min. 8
znakov obsahujúce číslice a veľké a malé písmena), prípadne zadanie dodatočného hesla
zaslaného mailom príp. SMS správou na telefónne číslo.
6.2.12.9.Zabezpečiť, aby logovanie do informačných systémov Prevádzkovateľa umožňovalo
spätné časové a obsahové sledovanie činnosti vykonávané každou oprávnenou osobou.
6.2.12.10.Zabezpečiť inštaláciu antivíroveho programu a firewall na každom počítači patriacom
do aktív Prevádzkovateľa.
6.2.12.11.Zabezpečiť pravidelné vytváranie a ochranu záloh osobných údajov (odporúča sa
vytvorenie zálohy aspoň každých 24 hodín)
Analýza bezpečnosti spracúvania osobných údajov
6.3. Aktuálny stav v oblasti bezpečnosti ľudských zdrojov
K výberu pracovníkov dochádza osobným pohovorom s určeným pracovníkom Prevádzkovateľa,
kedy uchádzač predkladá potrebné dokumenty preukazujúce jeho vhodnosť na obsadzované
pracovné miesto. Uchádzači predkladajú svoje žiadosti o prijatie do zamestnania v prevažnej miere
osobne. Pokiaľ uchádzač nie je vhodný, resp. Prevádzkovateľ nemá momentálne voľné pracovné
miesto, predložené žiadosti sa vracajú ihneď uchádzačovi, alebo sa skartujú. V prípade elektronickej
komunikácie sa zlikvidujú.
6.4. Aktuálny stav v oblasti riadenia aktív
Pracovníci Prevádzkovateľa spracúvajú osobné údaje s použitím aktív Prevádzkovateľa. Tieto sú
evidované zatiaľ len pre potreby vedenia účtovníctva. V prípade zmien na aktívach pracovníci informujú
zodpovednú osobu podľa tejto Smernice na ochranu osobných údajov.
6.5. Aktuálny stav v oblasti kontrolných činností a preskúmavania manažmentom
prevádzkovateľa
Prevádzkovateľ zatiaľ nemá zdokumentované žiadne výsledky z predchádzajúcich kontrolných činností
týkajúcich sa spracúvania osobných údajov ani ich následného preskúmavania manažmentom
prevádzkovateľa.
6.6. Aktuálny stav v oblasti riadenia bezpečnostných incidentov
Prevádzkovateľ sa zatiaľ nevenoval preventívnej príprave pracovníkov v oblasti možných
bezpečnostných incidentov.
6.7. Aktuálny stav v oblasti riadenia prevádzky
Prevádzkovateľ využíva k spracúvaniu osobných údajov svoj server.
Záloha je vytváraná minimálne jedenkrát za 24 hodín.
Oprávnené osoby Prevádzkovateľa využívajú k likvidácii osobných údajov spracúvaných manuálne
skartovacie stroje.
6.8. Aktuálny stav v oblasti riadenia bezpečnostných rizík
Prevádzkovateľ zatiaľ nevykonával bezpečnostné analýzy s cieľom eliminácie prejavov bezpečnostných
hrozieb.
6.9. Aktuálny stav v oblasti bezpečnosti systémov
Prevádzkovateľ spracúva osobné údaje vo vlastných priestoroch v samostatných kanceláriách. Priestory
Prevádzkovateľa mimo prevádzkových hodín, sú chránené zabezpečovacím zariadením a kamerovým
systémom zvonka budovy.
Vstup do priestorov Prevádzkovateľa je chránený bežnou zámkou, ku ktorej je vyhotovený individuálny
kľúč pre každú oprávnenú osobu (zamestnanec a zmluvný partner Prevádzkovateľa).
Informovanie o monitorovacom systéme Prevádzkovateľa zabezpečuje jednak:
– viditeľným označením toho, že priestor je monitorovaný (umiestnenie informačných tabuliek pri
vstupných bránach a pri vchodoch do budovy).
– preukázateľným informovaním pracovníkov o zavedenom monitorovacom mechanizme
Emailová komunikácia predmetom ktorej sú aj osobné údaje je zabezpečovaná bežnými prostriedkami –
šifrovaním. Prevádzkovateľ odosiela a taktiež prijíma prostredníctvom e-mailu správy obsahujúce
osobné údaje. Výplatné pásky sú pracovníkom odovzdávané v listinnej forme osobne.
Oprávnené osoby majú vytvorené len také používateľské práva, ktoré nevyhnutne potrebujú k svojej
pracovnej činnosti. Prihlasujú sa prostredníctvom prideleného mena a hesla. Prvé heslo prideľuje
správca IT a zostáva v platnosti aj po prvom prihlásení, následne je oprávnená osoba vyzvaná na zmenu
hesla. Heslo pozostáva minimálne zo ôsmych znakov, ako kombinácia čísel a písmen.
7. ZÁZNAMY O SPRACOVATEĽSKYCH ČINNOSTIACH
7.1. Záznamy o spracovateľských činnostiach slúžia na dokumentáciu skutočností súvisiacich
so spracúvaním osobných údajov dotknutých osôb, ktoré vykonáva Prevádzkovateľ, resp.
sprostredkovateľ. Obsahové náležitosti týchto záznamov stanovuje Nariadenie, a to
samostatne pre Prevádzkovateľa a samostatne pre sprostredkovateľa. Za vedenie
záznamov je vždy zodpovedný Prevádzkovateľ, resp. sprostredkovateľ.
7.2. Miera detailnosti týchto záznamov je však individuálna a bude závisieť vždy od konkrétnych
okolností, za ktorých sa osobné údaje spracúvajú. Z Nariadenia však vyplýva, že miera
zdokumentovania týchto spracovateľských činností musí byť dostatočná na to, aby bol
Prevádzkovateľ, resp. sprostredkovateľ, schopný preukázať, že spracúvanie osobných údajov
dotknutých osôb vykonáva v súlade s Nariadením.
7.3. Záznamy vedené Prevádzkovateľom musia obsahovať minimálne nasledovné informácie:
(a) Kontaktné údaje: Záznamy musia obsahovať obchodné meno, resp. názov a kontaktné údaje
prevádzkovateľa. V prípade, ak má prevádzkovateľ vymenovanú zodpovednú osobu, je potrebné uviesť aj
obchodné meno, resp. názov alebo meno a priezvisko a kontaktné údaje aj tejto zodpovednej osoby.
(b) Účely spracúvania: Záznamy musia obsahovať informáciu, za akými účelmi sa osobné údaje
dotknutých osôb pri konkrétnych spracovateľských činnostiach spracúvajú.
(c) Opis kategórií dotknutých osôb a osobných údajov: Záznamy musia obsahovať informáciu, akých
kategórií dotknutých osôb sa spracovateľné činnosti týkajú. Záznamy tiež musia obsahovať informácie
ohľadom kategórií osobných údajov, ktorých sa jednotlivé spracovateľské činnosti týkajú.
(d) Kategórie príjemcov osobných údajov: V prípade, ak Prevádzkovateľ poskytol, resp. sa chystá
poskytnúť osobné údaje dotknutých osôb tretím osobám (príjemcom), je potrebné túto skutočnosť v
záznamoch zadokumentovať. Táto povinnosť sa týka ako príjemcov nachádzajúcich sa v členských
štátoch EÚ, tak i príjemcov z tretích krajín, resp. medzinárodných organizácií.
(e) Prenosy osobných údajov: Pokiaľ Prevádzkovateľ prenáša osobné údaje dotknutých osôb do
tretích krajín, resp. medzinárodných organizácií, musia záznamy obsahovať označenie každej takejto
tretej krajiny, resp. medzinárodnej organizácie.
(f) Lehoty na vymazanie osobných údajov: Záznamy by mali obsahovať predpokladané lehoty, v
ktorých dôjde k výmazu príslušných osobných údajov dotknutej osoby u Prevádzkovateľa, pokiaľ je
stanovenie tejto lehoty zo strany Prevádzkovateľa objektívne možné.
(g) Opis technických a organizačných bezpečnostných opatrení: Záznamy musia obsahovať
všeobecný opis technických a organizačných bezpečnostných opatrení, ktoré Prevádzkovateľ prijal v
súlade s Nariadením.
7.4. Záznamy vedené sprostredkovateľom musia obsahovať minimálne nasledovné
informácie:
(a) Kontaktné údaje: Záznamy musia obsahovať obchodné meno, resp. názov a kontaktné údaje
sprostredkovateľa, ako aj obchodné meno, resp. názov a kontaktné údaje prevádzkovateľa, v mene
ktorého sprostredkovateľ osobné údaje spracúva. V prípade, ak má sprostredkovateľ vymenovanú
zodpovednú osobu, je potrebné uviesť aj obchodné meno, názov alebo meno a priezvisko a kontaktné
údaje aj tejto zodpovednej osoby.
(b) Kategórie spracúvania vykonávaného v mene každého prevádzkovateľa: Záznamy musia obsahovať
informácie týkajúce sa kategórií spracúvaných osobných údajov dotknutých osôb, a to pre každého
prevádzkovateľa, pre ktorého sprostredkovateľ osobné údaje spracúva.
(c) Prenosy osobných údajov: Pokiaľ Prevádzkovateľ prenáša osobné údaje dotknutých osôb do tretích
krajín, resp. medzinárodných organizácií, musia záznamy obsahovať označenie každej takejto tretej
krajiny, resp. medzinárodnej organizácie.
(d) Opis technických a organizačných bezpečnostných opatrení: Záznamy musia obsahovať všeobecný
opis technických a organizačných bezpečnostných opatrení, ktoré sprostredkovateľ prijal v súlade s
Nariadením.
8. Oznamovanie porušení ochrany osobných údajov
8.1. V prípade, ak nastane bezpečnostný incident, je Prevádzkovateľ povinný takýto incident ohlásiť
dozornému orgánu, a to v lehote 72 hodín od okamihu, odkedy sa o bezpečnostnom incidente
dozvedel. V prípade ak Prevádzkovateľ ohlási bezpečnostný incident po vyššie uvedenej lehote, musí
k ohláseniu pripojiť aj zdôvodnenie, prečo incident neohlásil v lehote. Prevádzkovateľ má v tomto
prípade poskytnúť dozornému orgánu informácie v rozsahu, v akom ich aktuálne poskytnúť možno,
t. j. Prevádzkovateľ by mal informácie poskytnúť vo viacerých etapách a bez ďalšieho zbytočného
odkladu.
8.2. Pre začatie plynutia uvedenej 72 hodinovej lehoty bude mať zásadný význam skutočnosť, kedy sa
Prevádzkovateľ dozvie o udalosti (resp. slede udalostí), ktorá by mohla mať za následok porušenie
ochrany osobných údajov. V prípade, ak existuje primeraná pravdepodobnosť, že následkom udalosti
mohlo dôjsť k porušeniu ochrany osobných údajov, Prevádzkovateľ by takúto udalosť za porušenie
ochrany považovať a mal by postupovať v zmysle svojich procesov, ktoré má určené na detekciu,
vyhodnocovanie a reakciu na bezpečnostné incidenty.
8.3. V prípade, pokiaľ Prevádzkovateľ udalosť vyhodnotí tak, že nie je pravdepodobné, že jej následkom
je porušenie ochrany osobných údajov dotknutých osôb, nejde o bezpečnostný incident z pohľadu
ochrany osobných údajov a tento incident nebude povinný dozornému orgánu hlásiť.
8.4. Nariadenie vo vzťahu k hláseniu porušenia ochrany osobných údajov stanovuje výnimku, v zmysle
ktorej Prevádzkovateľ nie je povinný hlásiť bezpečnostný incident v prípade, ak nie je
pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody
dotknutých osôb.
8.5. Prevádzkovateľ vyhotoví vo vzťahu k posudzovanému bezpečnostnému incidentu dokumentáciu,
ktorej súčasťou bude dokumentovanie okolností spojených s porušením ochrany osobných údajov,
jeho následky a prijaté opatrenia na nápravu. Uvedená dokumentácia musí umožniť dozorným
orgánom overiť súlad postupu Prevádzkovateľa vo vzťahu k hláseniu bezpečnostných incidentov
dozorným orgánom.
8.6. Prevádzkovateľ pri vyhodnocovaní bezpečnostného incidentu postupuje nasledovným
spôsobom:
– vyhodnotí, či daná udalosť (resp. sled udalostí) predstavuje porušenie ochrany osobných údajov,
– vykoná posúdenie rizika, ktoré z porušenia ochrany osobných údajov plynie pre práva a slobody
dotknutých osôb,
– na základe vyhodnoteného rizika prijať ďalšie kroky (hlásenie dozornému orgánu, prípadne aj
dotknutej osobe),
– zadokumentuje proces detekcie, vyhodnocovania a reagovania na bezpečnostný incident.
8.7. V prípade, ak by bezpečnostný incident nastal u sprostredkovateľa, ten v zmysle Nariadenia nehlási
incident dozornému orgánu alebo Prevádzkovateľovi, a to bez zbytočného odkladu po tom, čo sa o
porušení ochrany osobných údajov dozvedel.
8.8. Obsahom hlásenia bezpečnostného incidentu dozornému orgánu sú najmä nasledovné
skutočnosti:
– opis povahy porušenia ochrany osobných údajov, vrátane kategórií a približného počtu dotknutých
osôb, ktorých sa porušenie týka, a vrátane kategórií a približného počtu dotknutých záznamov o
osobných údajoch,
– meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde môže
dozorný orgán získať viac informácií,
– opis pravdepodobných následkov porušenia ochrany osobných údajov, najmä vo vzťahu k právam a
slobodám dotknutých osôb;
– opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany
osobných údajov, a to vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
8.9. Hlásenie bezpečnostného incidentu dotknutej osobe. V prípade, ak Prevádzkovateľ v
rámci vyhodnocovania bezpečnostného incidentu pri vykonaní posúdenia rizika zistí,
porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva
a slobody dotknutých osôb, Prevádzkovateľ je v tomto prípade povinný bez zbytočného
odkladu oznámiť porušenie ochrany osobných údajov dotknutej osobe.
8.10.Oznámenie dotknutej osobe musí byť formulované jasne a jednoducho, a musí obsahovať aspoň
nasledovné informácie:
– meno/názov a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde môže
dotknutá osoba získať viac informácií,
– opis pravdepodobných následkov porušenia ochrany osobných údajov, najmä vo vzťahu k právam a
slobodám dotknutých osôb;
– opis opatrení prijatých alebo navrhovaných Prevádzkovateľom s cieľom napraviť porušenie ochrany
osobných údajov, a to vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.
8.11.Nariadenie zároveň stanovuje viacero výnimiek, kedy Prevádzkovateľ nie je povinný
hlásiť dotknutej osobe bezpečnostný incident. Jedná sa o nasledovné prípady:
– Prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia, a tieto opatrenia
zároveň uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týkalo. Pôjde najmä
o opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené
mať k nim prístup (napríklad na základe šifrovania),
– Prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody
dotknutých osôb už pravdepodobne už nebude mať dôsledky.
– informovanie dotknutej osoby by si vyžadovalo neprimerané úsilie. V tomto prípade Prevádzkovateľ
nemusí informovať priamo dotknutú osobu, ale môže si informačnú povinnosť plniť
prostredníctvom informovania verejnosti, alebo iným rovnako efektívnym spôsobom.
9. Záverečné ustanovenia
1. Smernica na ochranu osobných údajov je dôverným dokumentom (dokument s obmedzeným
prístupom), ktorého obsah je nevyhnutné chrániť pred neautorizovaným prístupom.
2. Sprístupnenie obsahu Smernice na ochranu osobných údajov neoprávneným a nepovolaným osobám
môže mať za následok eliminovanie bezpečnostných mechanizmov informačného systému a
ohrozenie jeho bezpečnosti. Z uvedených dôvodov Prevádzkovateľ stanovuje, že s obsahom tejto
Smernice na ochranu osobných údajov sa môže oboznámiť iba prevádzkovateľ informačných
systémov.
3. V prípade vyžiadania si a prevzatia kópií dokladov, písomných dokumentov, kópií pamäťových médií
a iných materiálov obsahujúcich osobné údaje zo strany kontrolného orgánu je potrebné písomné
potvrdenie kontrolného orgánu o prevzatí a vrátení zapožičaných dokumentov.
4. Kontrolu realizácie opatrení vyplývajúcich zo Smernice na ochranu osobných údajov vykonáva
zodpovedná osoba.
5. Aktualizáciu Smernice na ochranu osobných údajov zabezpečuje poverená zodpovedná osoba.
Aktualizácia sa vykonáva vypracovaním písomného dodatku, pre ktorý platia ustanovenia rovnaké
ako pre Smernicu na ochranu osobných údajov, vypracovaný v súlade s Nariadením.