Bezpečnostný projekt treba archivovať aj 5 rokov po GDPR

od | mar 15, 2015 | Bezpečnostná smernica, Bezpečnostný projekt, Data Protection Officer, Dotknutá osoba, GDPR, GDPR nariadenie, Nariadenie GDPR | 0 komentárov

Bezpečnostný projekt na ochranu osobných údajov je opatrenie, ktoré je povinné na základe zákona č.122/2013 Z.z. o ochrane osobných údajov, v znení neskorších predpisov. Opatrenia na ochranu osobných údajov, prostredníctvom bezpečnostného projektu, je povinný mať vypracované každý prevádzkovateľ a sprostredkovateľ, ak disponuje informačným systémom, v ktorom sú spracúvané kategórie osobných údajov a tento informačný systém je verejne prístupný. To môže byť najčastejšie prostredníctvom verejne prístupnej počítačovej siete. Jednoducho povedané vždy, ak je počítač s takýmito údajmi pripojený na internet a spracúva niektorí s týchto údajov :

  • rodné číslo, napríklad pri mzdovej a personálnej agende prevádzkovateľa
  • údaje o psychickej pracovnej spôsobilosti jednotlivca
  • biometrické osobné údaje
  • údaje o porušení predpisov trestného, priestupkového a občianskeho práva
  • údaje o výkone právoplatných rozsudkov a rozhodnutí
  • údaje, ktoré odhaľujú rasový, či etnický pôvod osoby, politické názory, náboženskú vieru alebo svetonázor, členstvo v politickej strane alebo hnutí, členstvo v odborových organizáciách
  • údaje týkajúce sa zdravia a pohlavného života

Zodpovednosť za bezpečnosť týchto údajov a informácii, ako aj za vypracovanie bezpečnostného projektu na ich ochranu, má prevádzkovateľ, prípadné iná poverená osoba. Takýmito subjektami (prevádzkovateľmi) sú hlavne :

  • finanční poradcovia organizovaní v MLM štruktúre
  • sprostredkovatelia poistenia s agentúrnym typom distribučného kanála
  • poisťovací agenti a makléri
  • klientsky orientované spoločnosti

Dotknutá osoba je v tomto prípade každá fyzická osoba, ktorej sa spracované a evidované osobné údaje, ktoré poskytla prevádzkovateľovi dotýkajú.

Bezpečnostný projekt musí pozostávať z troch častí :

  • bezpečnostný zámer a jeho súčasti, kde patrí opis aktív spoločnosti prevádzkovateľa, opis strategických cieľov a opis predpokladaných hrozieb
  • analýza bezpečnosti informačného systému, tzv. riziková analýza, ktorá posudzuje možný vplyv hrozieb na aktíva a strategické ciele spoločnosti. Výsledkom rizikovej analýzy je práve veľkosť a hrozba jednotlivých rizík.
  • Bezpečnostné smernice, ktorých účelom je na základe rizikovej analýzy prijať také opatrenia, ktoré budú prípadné riziká minimalizovať a chrániť tak osobné údaje klientov

Za bezpečnosť osobných údajov v informačnom systéme zodpovedá prevádzkovateľ. Chráni ich pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek neprípustnými formami spracúvania. Pre určitú skupinu prevádzkovateľov a sprostredkovateľov je stanovená povinnosť formalizovať informačnú bezpečnosť ohľadne osobných údajov do písanej podoby, ktorou je Bezpečnostný projekt.

Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.

A v čom spočívajú výhody ochrany osobných údajov ?

V prvom rade je to prevencia pred hrozbou straty a následným možným zneužitím dôležitých a citlivých informácií tretími subjektmi.

Zvýšená dôvera klientov v serióznosť prevádzkovateľa a jeho schopnosť zabezpečiť osobné údaje pred neželaným únikom.

V rámci vypracovania bezpečnostného projektu na ochranu osobných údajov, odhalenie možných rizík a správne nastavenie prevencie a spôsob zabezpečenia prevádzkovateľom.

V neposlednom rade aj hrozba pokuty zo strany Úradu na ochranu osobných údajov, ak prevádzkovateľ nevie doložiť bezpečnostný projekt.