Najčastejšie otázky týkajúce sa vypracovania bezpečnostného projektu ochrany osobných údajov
Kto má povinnosť mať vypracovaný bezpečnostný projekt?
Bezpečnostné opatrenia zdokumentované v bezpečnostnom projekte musia mať spoločnosti, ktoré spracúvajú osobitnú kategóriu osobných údajov (napríklad údaje o rasovom alebo etnickom pôvode, náboženskej viere, členstve v politických stranách alebo hnutiach, údaje týkajúce sa zdravia alebo pohlavného života, rodné čísla, biometrické údaje…) v informačnom systéme prepojenom s internetom alebo pri spracúvaní osobných údajov v informačnom systéme, ktorý slúži na zabezpečenie verejného záujmu.
Čo všetko možno považovať za „spracúvanie“ osobných údajov?
Spracúvanie osobných údajov je ich vyhľadávanie, preskupovanie, prehliadanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie, cezhraničný prenos, blokovanie, získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie, zmena.....
Čo je to bezpečnostný projekt informačného systému?
Bezpečnostný projekt je dokument, ktorý vymedzuje rozsah bezpečnostných opatrení potrebných na eliminovanie alebo minimalizovanie rizík pôsobiacich na informačný systém z jeho okolia a vymedzuje spôsob zabezpečenia bezpečnosti, spoľahlivosti a funkčnosti informačného systému.
Čo má obsahovať?
Bezpečnostný projekt má obsahovať:
- názov informačného systému, na ktorý sa vzťahuje,
- bezpečnostný zámer, ktorý obsahuje základné ciele, bezpečnostné opatrenia a spôsob ich využitia, vymedzenie okolia informačného systému, analýzu a zhodnotenie možných rizík ako aj ich elimináciu vhodnými technickými, organizačnými a personálnymi bezpečnostnými opatreniami,
- analýzu bezpečnosti informačného systému, teda analýzu rizík a hrozieb pôsobiacich na informačný systém, ktoré môžu narušiť jeho bezpečnosť a funkčnosť, či dôvernosť spracúvaných osobných údajov. Z analýzy vyplynie zoznam rizík, ktoré je potrebné odstrániť.
- bezpečnostnú smernicu podľa zákona, ktorá popisuje technické, organizačné a personálne opatrenia a spôsob ich uplatňovania, rozsah oprávnení a prístupov do informačného systému, mieru zodpovednosti oprávnených osôb, identifikáciu osoby zodpovednej za dohľad nad ochranou osobných údajov, spôsob výkonu kontrolnej činnosti, či postupy pri mimoriadnych situáciách
Je možné, aby jeden bezpečnostný projekt obsahoval viac informačných systémov?
Áno, pri bezpečnostných projektoch je bežnou praxou vypracovanie jedného projektu pre viaceré informačné systémy. Je však nutné jasné rozlíšenie častí, týkajúcich sa jednotlivých informačných systémov.
Kedy stačí vypracovanie bezpečnostnej smernice podľa zákona a nie je potrebné vypracovanie bezpečnostného projektu?
Vypracovanie bezpečnostnej smernice postačuje, ak v informačnom systéme prepojenom na internet prevádzkovateľ nespracúva osobitnú kategóriu osobných údajov alebo v systéme neprepojenom na internet spracúva osobitné kategórie osobných údajov.
Aké sú riziká v prípade nevypracovaného bezpečnostného projektu?
Najhoršou sankciou v takomto prípade je potenciálna pokuta 300 až 200 000 eur, ktorú v mnohých prípadoch Úrad na ochranu osobných údajov prevádzkovateľovi musí uložiť (teda nie môže). To platí i v prípade ak prevádzkovateľ nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt. Ďalšími nemenej závažnými rizikami sú napríklad strata osobných údajov a ich zneužitie, neoprávnený zásah do osobných údajov, čo vedie k strate dôvery klientov, či obchodných partnerov.