Portál pre obce,
rozpočtové a príspevkové organizácie

Online časopis

Bezpečnosť spracúvania osobných údajov obcami podľa nariadenia o ochrane osobných údajov

Dátum: Rubrika: Hospodárenie

Z ustanovení Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.4.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len "nariadenie") vyplýva prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti spracúvania osobných údajov primeranú riziku tohto spracúvania.

Bezpečnosť spracúvania osobných údajov obcami podľa nariadenia o ochrane osobných údajov
JUDr.
Tatiana
Mičudová
Prijaté opatrenia majú za cieľ ochrániť spracúvané osobné údaje pred náhodným alebo nezákonným zničením, stratou, zmenou, ich neoprávneným poskytnutím alebo neoprávneným prístupom k týmto údajom, pred vznikom bezpečnostných incidentov.
Táto povinnosť je upravená aj v zákone č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len "zákon č. 18/2018 Z.z."), a to konkrétne v ust. § 39. V zmysle predmetného ustanovenia je prevádzkovateľ povinný so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku.
Z nariadenia, ako aj zo zákona č. 18/2018 Z.z., vyplýva prevádzkovateľovi povinnosť preukázať Úradu na ochranu osobných údajov SR prijatie organizačných a technických opatrení a ich súlad s nariadením. Z tohto možno vyvodiť povinnosť prevádzkovateľa zdokumentovať dané opatrenia, pričom konkrétnu formu nariadenie neustanovuje.
Príspevok sa zaoberá povinnosťou prevádzkovateľa prijať primerané technické a organizačné opatrenia, poukazuje na právnu úpravu o bezpečnostných incidentoch a ich zaznamenávaní u prevádzkovateľov. Prílohou tohto príspevku je aj vzor záznamu o bezpečnostnom incidente.
Bezpečnostné opatrenia
Podľa čl. 24 ods. 1 nariadenia:
"S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú."
Podľa článku 32 ods. 1 nariadenia:
"Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
a)
pseudonymizáciu a šifrovanie osobných údajov;
b)
schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
c)
schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
d)
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania."
Z citovaných ustanovení nariadenia, ale aj zo zákona č. 18/2018 Z.z. vyplýva povinnosť prevádzkovateľa (orgánu verejnej moci) posúdiť bezpečnostné riziká a primerane tomu zvoliť technické, ale aj organizačné opatrenia.
Technické opatrenia môžu byť realizované napr.:
-
prostriedkami fyzickej povahy (napr. uzamykateľné dvere, trezor),
-
prijatím ochrany pred neoprávneným prístupom (napr. šifrovanie, pseudonymizácia).
Organizačné opatrenia môžu spočívať napr.:
-
vo vymedzení prístupov oprávnených osôb k jednotlivým informačným systémom a údajom v nich,
-
poučení oprávnených osôb s bezpečnostnými pravidlami,
-
vo vymedzení zakázaných postupov alebo operácií s osobnými údajmi,
-
vo vedení zoznamu aktív a v jeho aktualizácii.
Posúdenie by nemalo byť jednorazovou záležitosťou, ale pravidelným procesom vyhodnocovania interných a externých okolností, ktoré môžu mať vplyv na spracúvanie osobných údajov. V prípade zmeny rizika alebo procesu spracúvania osobných údajov je totiž nevyhnutné zrevidovať a prípadne prijať nové bezpečnostné opatrenia.
Článok 32 ods. 1 nariadenia, ako aj § 39 ods. 1 zákona č. 18/2018 Z.z., demonštratívne vymenúva technické a organizačné opatrenia, ktoré by mal prevádzkovateľ prijať.
a) Pseudonymizácia a šifrovanie
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).



Bezplatný odpovedný servis pre predplatiteľov

Vaše otázky môžete zadať na www.otazkyodpovede.sk.