Ochrana osobných údajov

 

BEZPEČNOSTNÁ SMERNICA GDPR

č.01/24

Podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a zákona  č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

 Obsah

Použité pojmy a skratky: - 3 -

  1. IDENTIFIKÁCIA PREVÁDZKOVATEĽA IS: - 5 -
  2. ÚVOD.. - 6 -
  3.  ZÁKLADNÉ POJMY.. - 7
  4. ZÁKLADNÉ CIELE A ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV.. - 8 -
  5. PRÁVA DOTKNUTÝCH OSÔB.. - 9 -
  6. SŤAŽNOSTI A NÁVRH NA ZAČATIE KONANIA.. - 10 - 
  7. SPÔSOB ZÍSKAVANIA OSOBNÝCH ÚDAJOV.. - 12 -
  8. INFORMANČNÁ POVINNOSŤ.. - 13 -
  9. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH.. - 13 -
  10. USTANOVENIE ZODPOVEDNEJ OSOBY.. - 14 -
  11. KONTROLNÉ ČINNOSTI – SPÔSOB, PERIODICITA, FORMA.. - 16 -
  12. RIEŠENIE BEZPEČNOSTI SPRACÚVANIA OSOBNÝCH ÚDAJOV.. - 16 -
  13. BEZPEČNOSTNÉ INCIDENTY.. - 20 -

  

Použité pojmy a skratky:

Za účelom vyvrátenia akýchkoľvek nejasností pri výklade jednotlivých pojmov uvádzame bližší popis jednotlivých pojmov pre účely výkladu tejto dokumentácie:

Zamestnanec“: fyzická osoba vykonáva závislú prácu pre prevádzkovateľa na základe pracovnej zmluvy.

Dohodár“: fyzická osoba vykonávajúca závislú prácu pre prevádzkovateľa na základe dohody o výkone práce mimo pracovného pomeru.

Dotknutá osoba:“ každá fyzická osoba, ktorej osobné údaje sa spracúvajú

 „Externista“: fyzická osoba – podnikateľ vykonávajú činnosť pre prevádzkovateľa na základe obchodnoprávneho vzťahu.

 „Informačný systém“: akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,

 „Klient“ fyzická alebo právnická osoba, ktorej prevádzkovateľ predáva tovar/poskytuje službu.

 „Majiteľ“: fyzická osoba, vlastniaca obchodný podiel v spoločnosti prevádzkovateľa.

 „Miestnosť“: priestor prevádzkovateľa /vo výlučnom vlastníctve alebo nájomné/, nachádzajúca sa v Objekte, v ktorom je umiestnený informačný systém v listinnej podobe a počítače, prostredníctvom ktorých je uložený prístup k informačnému systému v elektronickej podobe. V množnom čísle „miestnosti

 „Oprávnená osoba“: každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo vymenovania u prevádzkovateľa.

 „Ovládajúca osoba“: fyzická alebo právnická osoba, ktorá vlastní obchodný podiel v spoločnosti prevádzkovateľa.

 „Porušenie ochrany osobných údajov“: porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim.

 „Objekt“: sídlo prevádzkovateľa, priestory nachádzajúce sa na Kollárova 4 078 01 Sečovce, kde sú fyzické nosiče osobných údajov uložené. 

 „Smernica“: táto smernica o bezpečnosti osobných údajov.

 „Sprostredkovateľ“: každý, kto spracúva osobné údaje v mene prevádzkovateľa.

 „Štatutár“: člen štatutárneho orgánu prevádzkovateľa – konateľ.

 „Uchádzači o zamestnanie“: osoby uchádzajúce sa o prácu u prevádzkovateľa.

 „Usmernenie týkajúce sa posúdenia vplyvu na ochranu údajov“: Usmernenie Pracovnej skupiny pre ochranu osobných údajov zriadenie podľa článku 29 GDPR prijaté dňa 4.4.2017 týkajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“.

 „Usmernenie týkajúce sa zodpovedných osôb“: Usmernenie Pracovnej skupiny pre ochranu osobných údajov zriadenie podľa článku 29 GDPR prijaté dňa 13.12.2016 týkajúce sa zodpovedných osôb.

 „Zákon“: zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

 „Nariadenie“: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) a zákona  č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zodpovedná osoba“: osoba určená prevádzkovateľom alebo Sprostredkovateľom podľa ustanovenia § 44 - 46 Zákona, ktorá plní úlohy podľa Zákona.

 

 

1. IDENTIFIKÁCIA PREVÁDZKOVATEĽA IS:

 

Obchodné meno:

SILOMETAL spol. s r.o.

Sídlo:

Kollárova 4 078 01 Sečovce

IČO:

31660771

Zapísaný:

Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 2141/V

Štatutárny orgán

1.

Ing. Klaus Ostmann, konateľ

2.

Karl - Francois Frederik Louis Andre Ostmann, konateľ

3.

Michael Stegnitz, konateľ

Zodpovedná osoba:

 

Ovládajúca osoba prevádzkovateľa-spoločníci:

1.

Ing. Klaus Ostmann

2.

Karl - Francois Frederik Louis Andre Ostmann

Predmet podnikania:

1.

Podľa ORSR

       

(Ďalej aj ako „prevádzkovateľ“ alebo „spoločnosť“)

  • Prevádzkovateľ je obchodná spoločnosť založená a podnikajúca podľa právnych predpisov Slovenskej republiky.
  • Prevádzkovateľ v rámci svojej činnosti vykonáva výrobnú činnosť.
  • Prevádzkovateľ zamestnáva zamestnancov a dohodárov. prevádzkovateľ využíva služby aj Externistov.
  • Klientmi / odberateľmi prevádzkovateľa sú
    1. právnické osoby,
  • Prevádzkovateľ spracúva osobné údaje v nasledovných IS:

 

Názov informačného systému:

Označenie IS :

1.

IS Personálna a mzdová agenda zamestnancov

IS 01

2.

IS Evidencia zamestnancov - vizitky

IS 02

3.

IS Monitorovanie zamestnancov

IS 03

4.

IS Preukazy na obsluhu vozíkov

IS 04

5.

IS Viazačské preukazy a preukazy obsluhy zdvíhacích zariadení

IS 05

6.

IS Zváračské preukazy

IS 06

7.

IS Evidencia uchádzačov o zamestnanie

IS 07

8.

IS Ekonomicko-účtovná agenda

IS 08

9.

IS Právne vzťahy

IS 09

10.

IS Zmluvné vzťahy

IS 10

11.

IS Správa registratúry

IS 11

12.

IS Evidencia SZČO

IS 12

13.

IS Evidencia zástupcov dodávateľov a odberateľov

IS 13

14.

IS Uplatňovanie práv dotknutých osôb

IS 14

13.

IS Evidencia spoločníkov spoločnosti s ručením obmedzeným

IS 15

14.

IS Kamerový systém

IS 16

 

  • Informácie o právnych základoch, účele, likvidácii údajov, kategórii dotknutých osôb, kategórii osobných údajov a pod. sa nachádzajú v dokumente „Záznamy o spracovateľských činnostiach prevádzkovateľa“ .

 

 

 2. ÚVOD

 

 Za účelom chodu spoločnosti  je potrebné, aby dochádzalo ku toku osobných údajov, či už zamestnancov, zákazníkov, alebo iných fyzických osôb, pričom sa prirodzene vynára otázka ochrany pred zneužitím, stratou, zverejnením alebo iným narušením takýchto údajov. Osobné údaje sú kategóriou, ktoré spadajú pod základné ľudské práva a slobody, ktoré chráni okrem iných predpisov i samotná Ústava SR, čo svedčí o tom, že ide o kategóriu vysoko citlivú a intímnu, ktorá patrí každému jednému človeku ako jeho právo.

 Prevádzkovateľ zodpovedá za bezpečnosť údajov, ktoré spracúva. Z daného dôvodu je povinný spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, sprístupnením, poskytnutím, zverejnením, alebo pred akýmikoľvek inými neprípustnými formami spracúvania chrániť.  

 Prevádzkovateľ spracúva osobné údaje dotknutých osôb v informačných systémoch, ktoré sa navzájom líšia nielen formou, ako prichádza k samotnému spracúvaniu, ale aj použitými prostriedkami spracúvania, ktoré môžu mať osobitný charakter. Túto smernicu treba chápať ako základný dokument (manuál) pre všetkých užívateľov informačných systémov.

 Prevádzkovateľ vydáva túto bezpečnostnú smernicu za účelom zaistenia bezpečnosti a ochrany informačných systémov a osobných údajov v nich spracúvaných osobami na to poverenými.

 Bezpečnostná smernica je aplikáciou, resp. Implementáciou záverov Analýzy rizík v spoločnosti. Tieto pravidlá je potrebné rešpektovať a dodržiavať za účelom zachovania bezpečného chodu a spracúvania osobných údajov prevádzkovateľom v praxi.

 Súčasťou bezpečnostnej dokumentácie GDPR sú v Prílohe č. 1 navrhované primerané personálne, technické a organizačné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, zohľadňujúc najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných údajov ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému.

 

Medzi základné pramene práva v oblasti ochrany osobných údajov patrí primárne :

 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej aj ako „nariadenie GDPR“)

  • Zákon 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej aj ako „zákon“)

  

  3.  ZÁKLADNÉ POJMY

  1. Osobné údaje sú akékoľvek informácie týkajúce sa fyzickej osoby, na základe ktorých ju možno priamo alebo nepriamo identifikovať. Osobnými údajmi sú napríklad meno, priezvisko, druh a adresa pobytu, dátum narodenia, rodné číslo, email, tel. č., podpis, ale aj lokalizačné údaje, či online identifikátor. Za osobný údaj sa považuje každý údaj, ktorý je špecifický pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. 
  1. Spracúvanie osobných údajov je akákoľvek operácia, činnosť alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov. Za spracúvanie osobných údajov sa považuje napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia. Spracúvaním je každá takáto operácia s osobnými údajmi bez ohľadu na to, akými prostriedkami je vykonávaná. 
  1. Prevádzkovateľ je osoba, ktorá spracúva osobné údaje a určí účely a prostriedky spracúvania. Prevádzkovateľom môže byť fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt. Prevádzkovateľ sa odlišuje od iných subjektov, ktoré spracúvajú osobné údaje (napr. sprostredkovateľ) tým, že určí účely a prostriedky spracúvania osobných údajov. Prevádzkovateľom je vaša firma. 
  1. Sprostredkovateľ je osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa, na základe jeho poverenia. Sprostredkovateľom je napríklad externý účtovník, ktorý pre vás spracúva osobné údaje za účelom vedenia účtovníctva. 
  1. Dotknutá osoba je fyzická osoba, ktorej sa osobné údaje týkajú, resp. ktorej osobné údaje sa spracúvajú. Dotknutými osobami sú vaši zamestnanci, zákazníci alebo osoby, ktoré vám dali súhlas na zasielanie newsletter-a. 
  1. Informačný systém je akýkoľvek usporiadaný súbor osobných údajov spracúvaných podľa určitých kritérií na vymedzený účel. 
  1. Príjemca každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.

 

  4. ZÁKLADNÉ CIELE A ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

 

  1. Prevádzkovateľ stanovuje základné ciele v oblasti ochrany osobných údajov: 
  • Spracúvanie osobných údajov poverenými osobami v súlade s pokynmi prevádzkovateľa a pri dodržaní všetkých prijatých bezpečnostných opatrení; 
  • Spracúvanie osobných údajov v súlade so zásadou zákonnosti; 
  • Spracúvanie len tých osobných údajov, ktoré sú pre dosiahnutie presne vymedzeného účelu spracúvania osobných údajov považované za nevyhnutné; 
  • Zabezpečenie likvidácie osobných údajov zo všetkých nosičov dát po uplynutí nevyhnutnej doby na ich uchovávanie; 
  • Naplnenie informačnej povinnosti voči dotknutým osobám vyplývajúcej z článkov 12 a nasl. Nariadenia GDPR. Pri spracúvaní osobných údajov je prevádzkovateľ povinný dodržiavať zásadu transparentnosti. V rámci tejto zásady prevádzkovateľ dotknutú osobu musí informovať o podmienkach spracúvania osobných údajov a následne jej údaje skutočne spracúvať v súlade s týmito informáciami; 
  • Zabezpečenie zachovávania mlčanlivosti zamestnancov a osôb prítomných v objekte / objektoch; 
  • Uzatvorenie zmluvného vzťahu so sprostredkovateľom a zabezpečenie naplnenia všetkých legislatívnych požiadaviek upravujúcich vzťah prevádzkovateľ - sprostredkovateľ; 
  • Rešpektovanie základných práv dotknutých osôb a zabezpečenie ich dodržiavania. 
  1. Medzi základné zásady spracúvania osobných údajov patrí: 
  • ZÁSADA ZÁKONNOSTI

Spracúvať osobné údaje môže prevádzkovateľ len na niektorom z právnych základov stanovených nariadením GDPR, pričom táto povinnosť sa vzťahuje na dodržiavanie nie len nariadenia GDPR a zákona o ochrane osobných údajov ale aj iných relevantných právnych predpisov. 

  • ZÁSADA OBMEDZENIA ÚČELU

osobné údaje môže prevádzkovateľ získavať len na konkrétne určený, výslovne uvedený a legitímny účel. Ďalej spracúvať takto získané osobné údaje na iný účel, ktorý nie je zlučiteľný s pôvodným účelom, je zakázané. 

  • ZÁSADA MINIMALIZÁCIE ÚDAJOV

Prevádzkovateľ je oprávnený spracúvať len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie. Spracúvať také osobné údaje, ktoré sú nadbytočné, nepotrebné a nie sú nevyhnutné na dosiahnutie stanoveného účelu je zakázané. 

  • ZÁSADA SPRÁVNOSTI

Ak zistíte, že osobné údaje nie sú správne, musíte prijať všetky dostupné opatrenia na ich opravu alebo vymazanie. 

  • ZÁSADA MINIMALIZÁCIE UCHOVÁVANIA

V zmysle nariadenia GDPR sa môžu osobné údaje spracúvať len po dobu, ktorá je nevyhnutná na dosiahnutie stanoveného účelu. Po ukončení spracúvania osobných údajov na daný účel je potrebné osobné údaje zlikvidovať. 

  • ZÁSADA INTEGRITY A DÔVERNOSTI

Prevádzkovateľ je povinný zabezpečiť ochranu osobných údajov, ktoré spracúva. Za týmto účelom je povinný prijať primerané technické a organizačné opatrenia. 

  • ZÁSADA ZODPOVEDNOSTI

Súlad spracúvania osobných údajov s nariadením GDPR a zákonom o ochrane osobných údajov a dodržiavanie všetkých svojich povinností je prevádzkovateľ povinný zdokumentovať, aby splnenie jednotlivých povinností vedel prevádzkovateľ preukázať v prípade kontroly.

 

 5. PRÁVA DOTKNUTÝCH OSÔB

 

  1. Prevádzkovateľ kladie dôraz na rešpektovanie práv dotknutých osôb. Dotknuté osoby majú tieto práva: 
  • Právo na informácie

Každá osoba, ktorej osobné údaje prevádzkovateľ spracúva, má právo na informácie, ktoré stanovuje nariadenie GDPR a zákon o ochrane osobných údajov. Za týmto účelom je prevádzkovateľ povinný prijať vhodné opatrenia, aby tieto informácie dotknutej osobe poskytol. Informácie môžu byť poskytnuté prostredníctvom webovej stránky, emailom alebo v listinnej forme. Informácie musia byť poskytnuté v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho. 

Prevádzkovateľ uvedené informácie zverejnil / sprístupnil: v sídle 

  • Právo na prístup k údajom

Každá osoba, ktorej osobné údaje prevádzkovateľ spracúva, má právo získať potvrdenie o tom, či konkrétny prevádzkovateľ spracúva jej osobné údaje. Ak osobné údaje tejto osoby spracúva, má dotknutá osoba právo na prístup k týmto údajom a informácie o ich spracúvaní stanovené zákonom. 

  • Právo na opravu

Každá osoba má právo, aby prevádzkovateľ spracúval iba jej správne a aktuálne údaje. Ak dotknutá osoba o to prevádzkovateľa požiada, tak musí nesprávne a neaktuálne údaje opraviť. 

  • Právo na vymazanie

V určitých prípadoch má osoba, ktorej údaje prevádzkovateľ spracúva, právo na vymazanie jej osobných údajov. Ak sú splnené zákonné podmienky, prevádzkovateľ je povinný jej údaje vymazať. 

  • Právo na obmedzenie spracúvania

V určitých prípadoch má osoba, ktorej údaje prevádzkovateľ spracúva, právo na obmedzenie spracúvania jej osobných údajov. Počas obmedzenia spracúvania môže prevádzkovateľ jej údaje len uchovávať, iným spôsobom ich spracúvať nemôžete. 

  • Právo na prenosnosť údajov

Pokiaľ prevádzkovateľ spracúva osobné údaje v elektronickej forme na základe súhlasu danej osoby, môže ho požiadať, aby jej osobné údaje poskytol vo forme, ktorá umožňuje prenos inému prevádzkovateľovi. 

  • Právo namietať
    1. Dotknutá osoba má za určitých okolností právo namietať proti spracúvaniu jej údajov. 
  1. Dotknutým osobám prevádzkovateľ zabezpečí bezporuchový výkon ich práv, v čo najjednoduchšej podobe, nekladie im prekážky. Preto vytvoril systém, prostredníctvom ktorého by mohli dotknuté osoby uplatňovať svoje práva. 
  1. Dotknutej osobe sú vždy poskytnuté informácie o spracúvaní jej osobných údajov a sú poučené o svojich právach. Prevádzkovateľ poskytuje tieto informácie vhodným spôsobom podľa okruhu dotknutých osôb, napríklad písomne v listinnej forme, mailom alebo zverejnením na webovom sídle. 
  1. Dotknuté osoby môžu uplatňovať svoje práva e-mailom na Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript. alebo poštou. 
  1. Pri uplatnení práv dotknutou osobou telefonicky dotknutú osobu kompetentná osoba prevádzkovateľa upovedomí o vhodnej forme, akou môže svoje práva uplatniť. 
  1. Prevádzkovateľ každú žiadosť zaeviduje a vybaví bez zbytočného odkladu, najneskôr však do jedného mesiaca. V tejto lehote informuje dotknutú osobu, ktorá žiadosť podala, o opatreniach, ktoré na základe jej žiadosti prijali. Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. O predĺžení lehoty dotknutú osobu informuje do jedného mesiaca od podania žiadosti spolu s odôvodnením zmeškania lehoty. Oznámenie o spôsobe vybavenia žiadosti sa podáva rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ dotknutá osoba nepožiada o iný spôsob. 
  1. Pri použití ktoréhokoľvek z vyššie uvedených spôsobov uplatnenia práv dotknutých osôb, je potrebné zabezpečiť nasledovné: 
  1. presnú identifikáciu žiadateľa. Jeho autenticitu. Preukázateľné zabezpečenie skutočnosti, že žiadosť o poskytnutie informácii je skutočne od DO alebo osoby, ktorá je oprávnená žiadať v mene DO o poskytnutie informácií. 
  2. nepopierateľnosť odoslania žiadosti, preukázateľné zabezpečenie nemožnosti poprieť skutočnosť, že žiadosť o poskytnutie informácii bola odoslaná DO zabezpečenie dôvernosti a integrity odosielaných informácii počas ich prenosu k DO.

 

  1. preukázateľné zabezpečenie toho že informácie boli dotknutej osobe komunikačným kanálom doručené.

 

6. SŤAŽNOSTI A NÁVRH NA ZAČATIE KONANIA

 

  1. V prípade doručenia sťažnosti je povinná osoba, ktorá sťažnosť prijala oboznámiť vedenie spoločnosti / zodpovednú osobu o prijatí tejto sťažnosti a odovzdať jej všetky informácie, ktoré vo vzťahu ku sťažnosti a konkrétnemu sťažovateľovi má k dispozícii. Vedenie spoločnosti / zodpovedná osoba poverí vybavením sťažnosti konkrétnu oprávnenú osobu, alebo sťažnosť vybaví sama. 
  1. Sťažnosti sa podávajú v zmysle Nariadenia GDPR, resp. Zákona č. 18/2018 Z. z. o ochrane osobných údajov a zákona č. 9/2010 Z. z. o sťažnostiach. Zodpovedný pracovník prijímajúci sťažnosť okamžite vyrozumie zodpovednú osobu prevádzkovateľa, ako aj samotného prevádzkovateľa. Sťažnosti sa vybavujú v zmysle Zákona č. 9/2010 Z.z. o sťažnostiach. 
  1. Dotknutá osoba má právo podať návrh na začatie konania v zmysle ustanovenia § 100 zákona o ochrane osobných údajov. 
  1. Dotknutá osoba, ktorá má podozrenie, že dochádza k neoprávnenému spracúvaniu jej osobných údajov alebo došlo k zneužitiu jej osobných údajov, môže podať na Úrade pre ochranu osobných údajov Slovenskej republiky (ďalej len ,,Úrad“) návrh na začatie konania o ochrane osobných údajov. 
  1. Návrh na začatie konania možno podať písomne, osobne ústnou formou do zápisnice, elektronickými prostriedkami, pričom musí byť podpísaný zaručeným elektronickým podpisom, telegraficky alebo telefaxom, ktorý však treba písomne alebo ústne do zápisnice doplniť najneskôr do 3 dní. 
  1. Predmetný návrh musí v zmysle ustanovenia § 100 zákona o ochrane osobných údajov obsahovať:
  • meno, priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
  • označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
  • predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní osobných údajov porušili,
  • dôkazy na podporu tvrdení uvedených v návrhu,
  • kópiu listiny preukazujúcej uplatnenie práva podľa § 28 zákona, ak sa takéto právo mohlo uplatniť, alebo uvedenie dôvodov hodných osobitného zreteľa. 
  1. Úrad následne rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia konania. V odôvodnených prípadoch môže Úrad túto lehotu primerane predĺžiť, najviac však o 6 mesiacov. O predĺžení lehoty Úrad písomne informuje účastníkov konania.

 

 

 

 

 

 7. SPÔSOB ZÍSKAVANIA OSOBNÝCH ÚDAJOV

 

  1. Oprávnené osoby sú povinné dbať na kontrolu dodržiavania zásady zákonnosti a pri získavaní osobných údajov od dotknutých osôb získavať len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie vopred stanoveného účelu a v súlade s konkrétnym právnym základom.
  2. Oprávnené osoby pri získavaní osobných údajov dodržiavajú nasledovný postup:
  • osobné údaje nevyžiadané – oprávnená osoba je povinná zhodnotiť, či údaje, o ktoré nepožiadala sú nevyhnutné na dosiahnutie účelu, na ktorý ich dotknutá osoba poskytla. Údaje, ktoré prevádzkovateľ nepožiadal a k naplneniu účelu nie sú nevyhnutné je potrebné preukázateľne dotknutej osobe vrátiť a zo všetkých nosičov dát ich zlikvidovať.
    • poštou (žiadosť o zamestnanie) v prípade, že nedôjde k podpisu pracovnej zmluvy je tieto potrebné preukázateľne vrátiť žiadateľovi alebo skartovať ( s výnimkou osobných údajov zaslaných v elektronickej podobe, ktoré je potrebné bezpečne vymazať). Pokiaľ sa budú z nejakých dôvodov (napr. možnosť zamestnania v blízkej budúcnosti ) uchovávať niektoré osobné údaje, je potrebné zabezpečiť ich ochranu, súhlas so spracúvaním osobných údajov a nakladať s nimi ako s ostatnými osobnými údajmi,
  • ostatné osobné údaje - oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa, alebo sprostredkovateľa, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnosť a bez vyzvania mu vopred poskytne informácie podľa čl. 13 nariadenia GDPR, prípadne predloží dokument „informačná povinnosť prevádzkovateľa – zásady spracúvania osobných údajov“ alebo informuje dotknutú osobu, kde sa tieto informácie nachádzajú. Dodržanie tejto povinnosti považuje prevádzkovateľ za nevyhnutné a jej porušenie zo strany oprávnenej osoby môže prevádzkovateľ ako zamestnávateľ považovať za hrubé porušenie pracovnej disciplíny. V prípade ak dotknutej osobe oprávnená osoba neposkytne informácie podľa čl. 13, je povinná o tejto skutočnosti bezodkladne oboznámiť nadriadeného, alebo zamestnávateľa, aby túto skutočnosť mohol bez zbytočného odkladu napraviť.           
  1. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol. Zamestnanec je povinný aktualizovať osobné údaje, ktoré poskytol zamestnávateľovi. 
  1. Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov. 
  1. Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme. 
  1. Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila. 
  1. Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný. 
  1. Pri poskytovaní súhlasu dotknutej osoby nesmie oprávnená osoba na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie. Nátlakom sa rozumie taká hrozba, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu). 
  1. Oprávnená osoba je povinná dotknutú osobu predtým, než požiada o udelenie súhlasu so spracovaním jej osobných údajov, poskytnúť informácie v nevyhnutnom rozsahu, najmä identitu prevádzkovateľa, účel spracúvania osobných údajov a ďalšie informácie uvedené v jednotlivých vzorových dokumentoch – Súhlas dotknutej osoby. Oprávnená osoba v každom prípade nesmie zabudnúť na informačnú povinnosť prevádzkovateľa.

 

 8. INFORMANČNÁ POVINNOSŤ

 

  1. Nariadenie v ustanovení článku 12 a nasl. stanovuje prevádzkovateľovi tzv. informačnú povinnosť. V súlade s touto povinnosťou, prevádzkovateľ informuje dotknuté osoby v požadovanom rozsahu vhodným spôsobom.

 

  1. V prípade zamestnancov a dohodárov je toto oznámenie vykonané vždy pri uzavretí pracovnej zmluvy, resp. dohody o výkone práce mimo pracovného pomeru. Dotknutá osoba potvrdí oboznámenie sa so zásadami spracúvania osobných údajov svojim podpisom na písomnom vyhotovení oznámenia.

 

  1. Oznámenie voči Zákazníkom je dotknutým osobám poskytnuté vhodným spôsobom pri vzniku záväzkového vzťahu.

 

 9. ZÁZNAMY O SPRACOVATEĽSKÝCH ČINNOSTIACH

  1. Podľa ustanovení nariadenia je každý prevádzkovateľ povinný viesť záznamy o spracovateľských činnostiach (ďalej aj ako „záznamy“).

 Povinnosť vedenia záznamov sa netýka takého prevádzkovateľa, ktorý je podnikom alebo organizáciou, zamestnávajúcou menej ako 250 osôb, a výlučne v takom prípade, kedy bude dochádzať ku spracúvaniu osobných údajov takým spôsobom, ktorý nie je možné považovať za rizikový a nebude závažným spôsobom zasahovať do práv a slobôd fyzických osôb. 

  1. Vychádzajúc z ustanovení nariadenia, bez ohľadu na počet zamestnancov musí záznamy viesť prevádzkovateľ: 
  1. pokiaľ spracovanie, ktoré vykonáva, pravdepodobne predstavuje riziko pre práva a slobody dotknutých osôb;
  2. spracovanie nie je príležitostné, alebo;
  3. spracovanie zahŕňa spracovanie osobitých kategórií osobných údajov alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku

 

  1. S ohľadom na skutočnosť, že prevádzkovateľ spracúva osobné údaje zamestnancov, dohodárov a uchádzačov o zamestnanie, ktoré zahŕňajú aj citlivé osobné údaje (o zdravotnom stave), prevádzkovateľ vedie záznamy o spracovateľských činnostiach v oblasti personálnej a mzdovej agendy. 
  1. Záznam o spracovateľských činnostiach obsahuje:
  1. identifikačné údaje a kontaktné údaje prevádzkovateľa a zodpovednej osoby, ak je určená,
  2. účel spracúvania osobných údajov,
  3. opis kategórií dotknutých osôb a kategórií osobných údajov,
  4. kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii
  5. označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos,
  6. predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
  7. všeobecný opis technických a organizačných bezpečnostných opatrení

 

  1. Zákon umožňuje vedenie záznamov v písomnej alebo elektronickej podoby. Prevádzkovateľ bude viesť záznamy v elektronickej podobe.

 

 10. USTANOVENIE ZODPOVEDNEJ OSOBY

 

  1. Podľa ustanovenia článku 37 nariadenia je prevádzkovateľ povinný určiť zodpovednú osobu, ak je naplnená aspoň jedna z týchto podmienok stanovených alternatívne:
  2. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
  3. hlavnými činnosťami prevádzkovateľa alebo Sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo
  4. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa ustanovenia článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa článku 10 nariadenia.

 

Ad. a.: Prevádzkovateľ nevykonáva spracúvanie osobných údajov ako /v postavení/ orgánu verejnej moci alebo verejnoprávnej inštitúcie. Na základe uvedeného, táto podmienka nie je naplnená.

 

Ad. b.: Podľa odôvodnenia 97 GDPR v súkromnom sektore sa hlavné činnosti prevádzkovateľa týkajú jeho primárnych činností, a nie spracúvania osobných údajov ako vedľajšej činnosti. Podľa Usmernenia týkajúceho sa zodpovedných osôb, za hlavné činnosti možno považovať kľúčové operácie nevyhnutné na dosiahnutie cieľov prevádzkovateľa.

 

Podľa Usmernenia týkajúceho sa zodpovedných osôb sa pri určovaní, či sa spracúvanie vykonáva vo veľkom rozsahu, majú zohľadniť predovšetkým tieto faktory:

  • počet dotknutých osôb, ktorých sa spracúvanie týka, vyjadrený buď ako konkrétne číslo, alebo ako podiel príslušnej populácie,
  • objem údajov a/alebo rozsah rôznych položiek údajov, ktoré sa spracúvajú,
  • dĺžka trvania alebo stálosť (trvalosť) činnosti spracúvania údajov,
  • geografický rozsah spracovateľskej činnosti

 

Podľa Usmernenia týkajúceho sa zodpovedných osôb, výklad výrazu „pravidelné“ zahŕňa jeden alebo viacero z týchto významov:

  • prebiehajúce alebo vyskytujúce sa v určitých intervaloch počas určitého obdobia,
  • opakovane sa vyskytujúce alebo opakované v pevne stanovených časoch,
  • odohrávajúce sa nepretržite alebo pravidelne

 

Podľa Usmernenia týkajúceho sa zodpovedných osôb, výklad výrazu „systematické“ zahŕňa jeden alebo viacero z týchto významov:

  • vyskytujúce sa v súlade so systémom,
  • vopred naplánované, organizované alebo metodické,
  • odohrávajúce sa ako súčasť všeobecného plánu zberu údajov,
  • vykonávané v rámci stratégie

 

Monitorovanie jednoznačne však zahŕňa všetky formy sledovania a profilovania na internete vrátane sledovania a profilovania na účely behaviorálnej reklamy.

 

Pri hlavnej činnosti prevádzkovateľ nespracúva osobné údaje klientov – fyzických osôb nepodnikateľov. Súčasne prevádzkovateľ spracúva osobné údaje zamestnancov, dohodárov, bývalých zamestnancov a dohodárov, uchádzačov o zamestnanie, externistov, konateľov.

Hlavnými činnosťami prevádzkovateľa teda nie sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, a teda prevádzkovateľ nespĺňa podmienku podľa ustanovenia § 44 ods. 1 písm. b) Zákona.

 

Ad c.: Spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku:

 

Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Prevádzkovateľ spracúva výlučne osobné údaje týkajúce sa zdravia zamestnancov a dohodárov, a to potvrdenie o invalidite a potvrdenie o tehotenstve zamestnankyne. Vychádzajúc z Usmernenia týkajúceho sa zodpovedných osôb, v prípade prevádzkovateľa, s ohľadom na počet dotknutých osôb, rozsah spracúvaných osobných údajov, skutočnosť, že tieto sa spracúvajú len v súvislosti s pracovným pomerom u prevádzkovateľa, nejde o spracúvanie vo veľkom rozsahu. 

Prevádzkovateľ vôbec nespracúva osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa vyššie uvedených ustanovení. 

Prevádzkovateľ nespĺňa ani podmienku podľa ustanovenia § 44 ods. 1 písm. c) Zákona.

 

  1. Na základe vyššie uvedených úvah zastávame názor, že prevádzkovateľ nie je povinný ustanoviť tzv. zodpovednú osobu.

 

  1. V prípade, že prevádzkovateľ určí / poverí zodpovednú osobu a registruje ju na Úrade pre ochranu osobných údajov sa uvádzajú nasledovné oprávnenia a povinnosti zodpovednej osoby, ktorých nositeľom v situácii nevymenovania zodpovednej osoby je štatutárny orgán spoločnosti.
  2. V prípade, že prevádzkovateľ poveril dohľadom nad ochranou osobných údajov zodpovednú osobu, alebo viaceré zodpovedné osoby (v súlade s čl. 37 Nariadenia GDPR, resp. §44 a nasl. zákona ), ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov, sú oprávnené osoby povinné dodržiavať príkazy tejto/týchto zodpovednej/zodpovedných osôb.
  3. Zodpovedná osoba zabezpečuje:
  • poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa Nariadenia GDPR, resp. zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
  • monitoruje súlad s Nariadením GDPR, zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
  • poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa čl. 35 Nariadenia GDPR, resp. § 42 zákona,
  • spolupracuje s Úradom pri plnení svojich úloh,
  • plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie podľa čl. 36 Nariadenia GDPR, resp. § 43 zákona a podľa potreby aj konzultácie v iných veciach,
  • zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov,
  • dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania jej osobných údajov a uplatňovania jej práv podľa Nariadenia GDPR, resp. zákona,
  • zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti v súlade s Nariadením GDPR, zákonom alebo osobitným predpisom,

zodpovedná osoba môže plniť aj iné úlohy a povinnosti; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.

  1. Zodpovedná osoba zodpovedá za:
  • aktualizáciu bezpečnostnej politiky,
  • údržbu bezpečnostnej dokumentácie aautorizáciu ich zmien príslušnými riadiacimi pracovníkmi a následnú aktualizáciu súvisiacej dokumentácie,
  • riadenie školení pracovníkov - zodpovedná osoba, alebo iná poverená osoba vykoná poučenie pracovníkov o ich oprávneniach, právach a povinnostiach, o prístupoch do zamestnania v pracovnom čase a mimo pracovného času a o spôsobe narábania s údajmi, ktoré obsahujú osobné údaje; poučené musia byť aj osoby, ktoré nenarábajú s údajmi osobného charakteru, ak sú zamestnancami spoločnosti, alebo ak majú voľný prístup do priestorov spoločnosti ( napr. upratovačka, údržbár a pod.).
  1. Zodpovedná osoba kontroluje:
  • dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov,
  • dodržiavanie a plnenie bezpečnostnej dokumentácie,
  • pravidelnosť a dodržiavanie termínov údržby a profylaxie systému,
  • pravidelnosť a dodržiavanie termínov zálohovania,
  • správne uloženie záloh,
  • správne umiestnenie kľúčových prvkov.

 

11. KONTROLNÉ ČINNOSTI – SPÔSOB, PERIODICITA, FORMA

 

  1. Kontrola informačného systému:
  • Kontrola IS je vykonávaná na viacerých úrovniach:
  1. a) kontrola miery rizika vzniku nebezpečenstva narušenia práv a slobôd dotknutých osôb začatím spracúvania zamýšľaných osobných údajov;
  2. b) kontrola dodržiavania zásad spracúvania osobných údajov oprávnenými osobami;
  3. c) kontrola prevádzky automatizovaného IS;
  4. d) kontrola zabezpečenia objektu a miestností, v ktorých dochádza k spracúvaniu osobných údajov.

 

Ad a)  Pred začatím spracúvania osobných údajov v informačnom systéme konateľ spoločnosti preverí, či vykonaním zamýšľaných spracovateľských operácií nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím alebo v priebehu spracúvania osobných údajov konateľ spoločnosti bezodkladne odstráni.

 

Ad b) Kontrola dodržiavania zásad spracúvania osobných údajov sa vykonáva v pravidelnej perióde, minimálne raz za rok.

 

Ad c) Kontrola Prevádzky automatizovaného informačného systému sa vykonáva nepretržite.

 

Ad d) Kontrola zabezpečenia miestností pred nedovoleným prístupom v mimopracovnom čase je vykonávaná denne osobou, ktorá posledná opúšťa priestory miestnosti v objekte.

 

 

12. RIEŠENIE BEZPEČNOSTI SPRACÚVANIA OSOBNÝCH ÚDAJOV

 

  1. Cieľom riešenia bezpečnosti je vytvoriť s minimálnymi nákladmi maximálnu ochranu informačného systému pred jeho možným narušením. Bezpečnosť informačného systému je nutné riešiť tak, aby riziká, ktorým je informačný systém vystavený, boli pomocou vhodných opatrení znížené na prijateľnú úroveň. Takéto riešenie potom zabezpečí elimináciu prevažnej časti rizík v kombinácii s vhodnými preventívnymi opatreniami ešte pred ich vznikom.
  2. Bezpečnosť zabezpečuje prevádzkovateľ na úrovni:
  • Personálnej

– s citlivými informáciami sa zoznamuje iba osoba, ktorá ich potrebuje k výkonu svojej činnosti (oprávnená/poverená osoba).

  • Administratívnej

– pomocou organizačných opatrení sa dosiahne výrazné zvýšenie bezpečnosti.

  • Fyzickej

– chráni prostredie, v ktorom sa informačný systém prevádzkuje.

  • Počítačovej

– ochrana informačného systému a dát spracovávaných a prenášaných medzi počítačmi.

  • Vývojového prostredia

– bezpečný vývoj aplikácií, ktoré budú pracovať s citlivými informáciami.

 

  1. Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä:

 

  • pseudonymizáciu a šifrovanie osobných údajov,
  • zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
  • proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
  • proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

 

  1. Pri posudzovaní primeranej úrovne bezpečnosti je potrebné prihliadať na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.

 

  1. Zamestnanec prevádzkovateľa môže spracúvať osobné údaje dotknutých osôb len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

 

  1. Prevádzkovateľ zabezpečí, aby neoprávneným osobám bol znemožnený akýkoľvek nedovolený prístup k spracúvaným osobným údajom.

 

  1. Na základe informácií získaných analýzou spracúvania osobných údajov prevádzkovateľom bola analyzovaná primeranosť a stav personálnych, organizačných a technických opatrení. Stav a aktuálnosť jednotlivých opatrení ako i odporúčania prijatia sa nachádzajú v prílohe č. 1 k tejto smernici.

 

  1. Analýza bezpečnosti informačného systému je rozbor, analyzovanie stavu bezpečnosti informačných systémov z hľadiska hrozieb, ktoré pôsobia na jednotlivé aktíva.

 

  • Kvalitatívna analýza rizík:

 

  • Vykonanou analýzou bezpečnosti informačných systémov obsahujúcich osobné údaje dotknutých osôb je odhalenie bezpečnostných rizík, ktorými v rámci informačných systémov môžu byť potenciálne útoky na:
  1. dôvernosť IS – zabezpečenie ochrany pred neoprávneným prístupom nepovolaných - neoprávnených osôb – napríklad hackerov, vlamačov, PC vírusov, odpočúvania, zneužitia, neoprávneného vyhotovovania rozmnoženín,
  2. integritu IS – ochrana proti poškodeniu, zmene, vymazaniu a neplánovanému zničeniu,
  3. dostupnosť IS – ochrana proti výpadkom napájania a iným havarijným stavom.

 

  • Analýzou vyššie spomínaných potenciálnych útokov ako bezpečnostných rizík boli identifikované hrozby, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov:
  1. Neoprávnené prístupy zo strany nepovolaných osôb – hackerov
    • návrh eliminácie hrozby: zabránenie prístupu do informačných systémov z internetu neoprávneným osobám, heslovanie počítačov, používanie antivírového programu.
  2. Neoprávnený prístup zo strany nepovolaných osôb – vlamačov
    • návrh eliminácie hrozby: bezpečnostné zámky na dverách, elektronická signalizácia narušenia objektu, riešenie kontrolovaného, evidovaného alebo obmedzeného prístupu zamestnancov, konateľov, návštevníkov a klientov do objektu spoločnosti
  3. Poškodenie integrity informačných systémov počítačovými vírusmi
    • návrh eliminácie hrozby: antivírový program, firewall, zálohovanie dát
  4. Zneužitie rozsahu oprávnení oprávnenej osoby v rozsahu neoprávneného konania, ako napr. neoprávnené rozmnožovanie a rozširovanie osobných údajov
    • návrh eliminácie hrozby: vypracovanie tejto smernice, preškolenie oprávnených osôb, dostatočné poučenie o právach a povinnostiach oprávnenej osoby v rámci poverenia.
  5. Ochrana proti poškodeniu, zmene, vymazaniu a zničeniu osobných údajov v informačných systémoch
    • návrh eliminácie hrozby: dodržiavanie opatrení uvedených v prílohe č. 1
  6. Ochrana proti výpadkom napájania
    • návrh eliminácie hrozby: napojenie serveru a aktívnych prvkov siete na záložné zdroje
  7. Ochrana spracúvaných údajov pri likvidácii
    • návrh eliminácie hrozby: dodržiavanie opatrení uvedených v prílohe č. 1
  8. Ochrana proti požiaru:
    • návrh eliminácie hrozby: vypracovanie požiarneho plánu ochrany objektov

 

  • Riziká, ktoré nie sú vyššie uvedené a nie je možné ich v uvedenom čase identifikovať – tzv. nepokryté riziká: nepokrytými rizikami sú udalosti, ktoré môžu nastať, a to z objektívnych alebo subjektívnych príčin, a ktoré v súčasnosti nie je možné dostatočne objektívne predvídať.

 

8.2. Bezpečnostné štandardy, metódy a prostriedky:

  • Ochrana pred neoprávneným prístupom zo strany nepovolaných osôb – hackerov: Technické vybavenie a prijaté opatrenia v Smernici dostatočne eliminujú riziko.

 

  • Ochrana pred neoprávneným prístupom zo strany nepovolaných osôb – vlamačov: Fyzická ochrana objektov je dostatočná, zabezpečujú ju mechanické zábrany vstupu. Vchod do budovy je zabezpečený spôsobom špecifikovaným v Prílohe č. 1.

 

  • Ochrana pred poškodením integrity informačných systémov počítačovými vírusmi: Súčasné vybavenie je dostatočné.

 

  • Ochrana pred zneužitím rozsahu oprávnení oprávnenej osoby, najmä k neoprávnenému rozmnožovaniu a rozširovaniu osobných údajov:
  1. sú prijaté primerané opatrenia,
  2. oprávnené osoby sú poučené o svojich povinnostiach v oblasti ochrany osobných údajov v zmysle zákona ako aj o povinnosti mlčanlivosti,
  3. riešenia prístupových práv do informačného systému zabezpečuje nemožnosť tlačenia, resp. kopírovania dokumentov obsahujúcich osobné údaje neoprávnenou osobou. Dokument môžu vytlačiť, resp. kopírovať len tie oprávnené osoby, ktoré majú oprávnenie s údajmi pracovať – prístup k údajom v automatizovanej forme je zabezpečený vstupným heslom, v manuálnej forme umožnením prístupu do skríň (trezoru), kde sa informačný systém nachádza, iba oprávneným osobám,
  4. zabezpečenie školenia všetkých oprávnených osôb k spracúvaniu osobných údajov v informačných systémoch (interné pravidlá, ustanovenia predpisov v konkrétnej oblasti) a stanovenie zodpovednosti oprávnenej osoby za porušenie povinností ochrany osobných údajov pri manipulácii s nimi a za porušenie povinnosti mlčanlivosti,
  5. určenie oprávnených osôb na získavanie osobných údajov a spôsobu ich získavania,
  6. miesta uloženia komponentov informačných systémov v manuálnej a automatizovanej podobe sú zabezpečené mechanickými zábranami.

 

  • Ochrana proti poškodeniu, zmene, vymazaniu a zničeniu osobných údajov v informačných systémoch: zálohovanie, prístup do informačných systémov, dátových nosičov i zariadení, v ktorých sa osobné údaje nachádzajú, alebo prostredníctvom ktorých je možný prístup do servera je chránený heslom. Bližší opis jednotlivých opatrení a návrhov je uvedený v Prílohe č. 1. 
  • Ochrana informačných systémov v manuálnej podobe: Sú stanovené bezpečné miesta v kontrolovaných priestoroch, ako aj stanovené povinnosti zamestnancov chrániť údaje pred možnosťou nahliadnutia do nich inou neoprávnenou osobou prítomnou na pracovisku. 
  • Ochrana proti výpadkom napájania:
  1. je zabezpečené ukladanie spracúvaných dát v určenej periodicite na externý server (všetky informačné systémy, v ktorých sa spracúvajú osobné údaje, sú umiestňované na externý server)
  2. ochrana proti požiaru spĺňa náležitosti zákona č. 314/2001 Z. z. o ochrane pred požiarmi v znení neskorších predpisov v zmysle vypracovaného požiarneho plánu ochrany objektu 
  • Určenie a zabezpečenie miesta uschovávania osobných údajov v manuálnej podobe a zabezpečenie oddelenia prvkov informačných systémov v automatizovanej forme obsahujúcich osobné údaje od iných prvkov automatizovaných systémov, ktoré sú prístupné v rámci siete aj iným ako oprávneným osobám: nachádzajúce sa v Prílohe č. 1. 
  • Určenie termínov a spôsobu likvidácie nepotrebných údajov po skončení účelu, na ktorý boli získavané a osôb zodpovedných za likvidáciu: Uvedené v prílohe č. 1. Ochrana spracúvaných údajov pri likvidácii je dostatočne zabezpečená, likvidujú sa protokolárne, za prítomnosti oprávnenej osoby a konateľa spoločnosti alebo ním poverenej osoby, v počítačovej podobe likviduje oprávnená osoba v spolupráci s osobou zodpovednou za výpočtovú techniku. O likvidácii je vyhotovený písomný záznam. 
  • Posúdenie zhody bezpečnostných opatrení s použitými bezpečnostnými štandardami, metódami a prostriedkami:
  1. Objekty, v ktorých sa nachádzajú komponenty informačných systémov, sú v rámci kontroly prístupu dostatočne zabezpečené pred vstupom nepovolaných osôb.
  2. Objekt, v ktorom má sídlo Spoločnosť, je z hľadiska požiarnej bezpečnosti vybavené zodpovedajúcimi hasiacimi prístrojmi a je spracovaný požiarny plán v zmysle zákona č. 314/2001 Z. z. o ochrane pred požiarmi v znení neskorších predpisov a spĺňa požiadavky stanovené týmto zákonom.
  3. Fyzická bezpečnosť komponentov informačných systémov je štandardná. Ochrana osobných údajov v Spoločnosti je v súlade so Zákonom.
  4. Neprijatie potrebných personálnych, organizačných a technických opatrení alebo nevykonanie vyššie uvedených navrhovaných opatrení môže u prevádzkovateľa viesť k vzniku bezpečnostného incidentu, ktorý môže viac či menej významne narušiť bezpečnosť spracúvaných osobných údajov u prevádzkovateľa a spôsobiť nemalé problémy, zvýšiť riziká pre dotknuté osoby a znížiť bezpečnosť spracúvaných osobných údajov.
  5. Vzhľadom na súčasný stav a spôsob prevádzky informačných systémov a po prijatí potrebných opatrení vyplývajúcich z prílohy č. 1 nevzniká pre spoločnosť potreba ďalšieho financovania. Informačné systémy v spoločnosti sú dôveryhodnými výpočtovými systémami.

 

 


 

13. BEZPEČNOSTNÉ INCIDENTY

 

  1. Týmto zavádzame postupy pri haváriách, poruchách a iných mimoriadnych situáciách (ďalej aj ako „bezpečnostný incident“) vrátane preventívnych opatrení na zníženie pravdepodobnosti vzniku mimoriadnych situácií a možností efektívnej obnovy stavu z pred havárie. Štandardne zaužívanými postupmi pre periodické hodnotenie zraniteľnosti je pravidelné hodnotenie slabých miest a ohrození informačného systému prevádzkovateľa s periodicitou najmenej raz ročne.
  2. Prevádzkovateľ je povinný oznámiť Úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel. To neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
  • Zmeškanie uvedenej lehoty, resp. nesplnenie oznamovacej povinnosti je prevádzkovateľ povinný náležite odôvodniť.
  • Oznámenie musí obsahovať najmä:
    • opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
    • kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
    • opis pravdepodobných následkov porušenia ochrany osobných údajov,
    • opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
  • Prevádzkovateľ je povinný poskytnúť informácie v rozsahu, v akom sú mu známe v čase oznámenia. Ak v čase oznámenia nie sú prevádzkovateľovi známe všetky informácie, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
  1. Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
  2. Oznamovaciu povinnosť v čase vzniku bezpečnostného incidentu alebo hrozby vzniku bezpečnostného incidentu má i sprostredkovateľ voči prevádzkovateľovi, pričom je tak povinný vykonať bez zbytočného odkladu po tom, ako sa o danej skutočnosti dozvedel.
  3. Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
  • Medzi obligatórne náležitosti oznámenia vzniku bezpečnostného incidentu patrí jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia uvedené v čl. 33 ods. 3 nariadenia GDPR.
  • Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, Úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá z vyššie uvedených podmienok.
  • Oznámenie sa nevyžaduje, ak:
  1. a) prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
  2. b) prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby,
  3. c) by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
  4. Narušenie personálnej bezpečnosti:

Narušenie personálnej bezpečnosti

Bezpečnostný incident

Hrozba

Navrhované riešenia

Strata, vyzradenie alebo krádež hesiel pre vstup do

Môže dôjsť k narušeniu integrity, alebo zneužitiu osobných údajov

Zmena všetkých prihlasovacích hesiel do informačného systému a to aj administrátorských; vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS; vykonať disciplinárne opatrenie, ak sa jednoznačne zistí, že išlo o poskytnutie autorizácie pre vstup, neoprávnenej osobe osobou oprávnenou.

Neoprávnený vstup neoprávnenej osoby

môže dôjsť k narušeniu integrity alebo zneužitiu osobných údajov

Zmena všetkých prihlasovacích hesiel do informačného systému a to aj administrátorských; vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS; vykonať disciplinárne opatrenie, ak sa jednoznačne zistí, že išlo o poskytnutie autorizácie pre vstup, neoprávnenej osobe osobou oprávnenou.

Narušenie fyzickej bezpečnosti

Bezpečnostný incident

Hrozba

Navrhované riešenia

Krádež počítača

môže dôjsť k zneužitiu osobných údajov

Zabezpečiť  miesto, kde je uložený počítač proti opätovnému odcudzeniu – napr. inštalovaním senzorov, kamerových systémov, doplnkových mechanických zábran; zakúpenie nového počítača s vyššími bezpečnostnými prvkami, inštalácia systému a obnova dát zo záloh;

zabezpečiť ukladanie archivovaných údajov v kryptovanom tvare.

Krádež, alebo strata kľúčov

môže dôjsť k neoprávnenému vstupu do miestností s aktívami IS a odcudzeniu osobných údajov, prípadne počítačov s osobnými údajmi

Okamžitá výmena zámkov; prípadne doplnenie bezpečnostných ochrán IS - napr. inštalovaním senzorov; kamerových systémov; doplnkových mechanických zábran.

Strata záložných médií

môže dôjsť k zneužitiu osobných údajov

Zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo.

Krádež záložných médií

môže dôjsť k zneužitiu osobných údajov

Zabezpečiť miesto, kde sú uložené média, proti opätovnému odcudzeniu – napr. inštalovaním senzorov, kamerových systémov, doplnkových mechanických zábran; zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo.

Narušenie technicko-softvérovej bezpečnosti

Bezpečnostný incident

Hrozba

Preventívne opatrenia

Havárie IS spôsobené technickou chybou niektorého komponentu centrálneho počítača- serveru

 

X

Zabezpečiť záložné zdroje s automatickým shutdownom; monitorovať činnosť serverov, kontrolovať chybové hlásenia; v serveroch používať diskové polia s hotswap diskami; zabezpečiť dostatok finančných prostriedkov na obnovu IS, podľa možnosti obmieňať server každé tri roky; zachovávať pravidlo - novší server sa stáva hlavným a starší záložným; zálohovať

 

Postup na zabezpečenie stavu obnovy

Pri výpadku servera presmerovať prevádzku na záložný server; obnova zo zálohy; presmerovať aplikácie a užívateľov na záložný server; odstrániť poruchu na hlavnom serveri; po odstránení poruchy presmerovať prevádzku na hlavný server.

 

Vírusová infiltrácia

môže dôjsť k narušeniu integrity alebo straty a zneužitiu dát s osobnými údajmi

Zabezpečiť antivírovú ochranu; inštalovať len autorizované programy oprávnenými zamestnancami; preverovať cudzie nosiče (FD, CD ROM, USB...); nepripájať nepreverené PC bez vedomia admin do LAN; nepoužívané pasívne rozvody odpojiť od aktívnych prvkov LAN; neotvárať nevyžiadané e-mailové prílohy; sledovať aktuálne dianie na LAN a v sieti internet,

 

Postup na zabezpečenie stavu obnovy

odpojiť každého užívateľa; okamžitá kontrola aktualizácie antivírového programu, prípadná inštalácia aktualizácii, alebo zakúpenie kvalitnejšieho (z hľadiska bezpečnosti) antivírového programu; kontrola všetkých počítačov zapojených do spoločnej LAN siete, aktualizovaným antivírovým programom; detekovať spôsob narušenia; odstrániť príčiny; opraviť narušenú funkčnosť; opätovne skontrolovať systém antivírovým programom; prekontrolovať všetky PC; nájsť zdroj infiltrácie a zabezpečiť jeho eliminovanie; znovu spustiť systém a pripojiť užívateľov; inštalácia doplnkových programov, ktoré eliminujú možnosť napadnutia počítača.

Neautorizovaný vstup z internetu

môže dôjsť k narušeniu integrity, odcudzeniu alebo strate a zneužitiu dát s osobnými údajmi

nespúšťať programy z prostredia internetu nepodpísane certifikačnou autoritou;  nesťahovať neautorizované programy z prostredia internetu,

Postup na zabezpečenie stavu obnovy

kontrola log súborov firewallu, routerov, antivírového programu a pod. a ich vyhodnotenie; zabezpečiť súborovú integritu OS a obnovu poškodených alebo infikovaných údajov zo záloh; zvýšenie bezpečnosti firewallov; nastavenie kryptovaných prenosov v LAN sieti; pokiaľ existuje prístup z internetu do lokálnej siete, je nutné, aby bol vytvorený iba kryptovaným prenosom minimálne cez protokol SSH a nepoužívalo sa pre autorizáciu vstupov meno a heslo, ale privátne a verejné kľúče v minimálnej dĺžke 512 bite, optimálne 1024 bite, prípadne využiť zabezpečenú VPN; inštalácia doplnkových programov, ktoré eliminujú možnosť napadnutia počítača z internetu.

Technické narušenie, alebo zlyhanie bezpečnosti zariadenia v IS

 

pamäť počítača – môže dôjsť k narušeniu integrity alebo strate dát

v prípade vykazovania podozrivého správania je nutná výmena

procesor - môže dôjsť k narušeniu integrity alebo strate dát

Nutná výmena

CD/DVD RW - môže dôjsť k narušeniu integrity zálohovaných dát alebo strate dát

v prípade že sa zistí že na záložnom CD/DVD médiu sú nečitateľné alebo inak znehodnotené informácie nutná výmena zálohovacieho zariadenia

harddisk – tvorí najdôležitejšiu časť počítača a preto mu je potrebné venovať náležitú ochranu. Môže dôjsť k narušeniu integrity alebo strate dát

v prípade, že sa zistí, že na disku sú nečitateľné alebo inak znehodnotené údaje je nutná kontrola antivírusovým programom, prípadne výmena za nový a skopírovanie dát, ktoré neboli znehodnotené, alebo použiť dáta zo záloh

wifi zariadenie - môže dôjsť k úniku informácií a neautorizovanému vstupu do systému

nutná rekonfigurácia hesiel a v prípade nefunkčnosti celková výmena a konfigurácia

Porucha napájania, strata dodávky elektrickej energie

 

x

dôležité aktívne prvky siete je nutné chrániť záložnými zdrojmi elektrickej energie so stabilizátorom sieťového napätia

Postup na zabezpečenie stavu obnovy

V čase výpadku sa musí záložný zdroj automaticky aktivovať; pri dlhodobejšom výpadku sa server musí automaticky korektne vypnúť (shutdown); po nábehu el. energie je nutné server spustiť a skontrolovať.

Porucha prostriedkov demilitarizovanej zóny

 

x

monitorovať činnosť zariadení; monitorovať funkčnosť všetkých zariadení;

zabezpečiť prístup len pre pracovníkov s oprávnením; periodicky meniť administrátorské a užívateľské prístupy s heslami; zabezpečiť antivírovú ochranu všetkých PC, ako aj e-mailového prístupu; 

zabezpečiť programovú aktuálnosť; zabezpečiť technickú aktuálnosť; kontrolovať súbory zaznamenávajúce činnosť systému; kontrolovať súbory;

V prípade narušenia:

odpojiť LAN od prostriedkov demilitarizovanej zóny; vyhľadať príčinu nefunkčnosti; odstrániť príčinu výmenou častí, inštalovaním aktualizácií, výmenou celku; preveriť prostriedky firewallu, prekladu adries (DNS) a proxy; po otestovaní funkčnosti pripojiť LAN

Porucha aktívnych prvkov siete

 

x

monitorovať činnosť; zabezpečiť dostatočnú kapacitu; pripájať ich prostredníctvom záložného zdroja; zabezpečiť dostatočnú ochranu pred nepovolaným prístupom; postup na zabezpečenie stavu obnovy:

vymeniť nefunkčnú časť

Porucha pasívnej časti siete

 

x

Premeranie kabeláže, zásuviek a konektorov; postup na zabezpečenie stavu obnovy:  opraviť, prípadne vymeniť chybnú časť

Havária databáz

 

x

Sledovať konfiguračné súbory; monitorovať hlásenia programov a včas na ne reagovať; denne kontrolovať chybové hlásenia aplikácie a databázy; postup na zabezpečenie stavu obnovy: po odstránení nedostatkov a kontrole spätne inštalovať databázu zo zálohy.

Havária aplikácie

 

x

Sledovať hlásenia aplikácie a zaznamenávať postrehy užívateľov; sledovať konfiguračné súbory; monitorovať hlásenia a včas na ne reagovať;                denne kontrolovať chybové hlásenia aplikácie;

Postup na zabezpečenie stavu obnovy:

preinštalovať aplikáciu;  nainštalovať novšiu verziu aplikácie;  konzultovať chyby s dodávateľom.

Porucha pracovných staníc

 

x

Inštalovať antivírové programy; inštalovať nové programy smie len poverený zamestnanec; užívatelia nesmú zasahovať do konfiguračných súborov; chybové hlásenia sú povinný hlásiť správcovi systému; zálohovať dáta na určené média; za zálohy, prevádzku a bezpečnosť zodpovedá zamestnanec.

Používať len autorizované programy; inštalovať antivírové programy; inštalovať nové programy smie len poverený zamestnanec; užívatelia nesmú zasahovať do konfiguračných súborov; chybové hlásenia sú povinný hlásiť správcovi systému; zálohovať dáta na určené média; za zálohy, prevádzku a bezpečnosť zodpovedá zamestnanec.

Postup na zabezpečenie stavu obnovy

Technická chyba – zabezpečiť opravu nefunkčnej časti; softvérová chyba – identifikovať príčinu, obnoviť súbory zo zálohy, preinštalovať OS, aktualizovať antivírovú ochranu.

Narušenie dverí, okien

 

x

Pravidelne sledovať funkčnosť aktív

Postup na zabezpečenie stavu obnovy

neodkladne zabezpečiť opravu; hľadať príčinu a odstrániť

Narušenie monitorovaného objektu

 

x

pravidelne sledovať funkčnosť

Postup na zabezpečenie stavu obnovy

Hľadať a eliminovať príčinu narušenia.

Mimoriadne udalosti spôsobené vplyvom zvyškových rizík

x

Zabezpečiť niekoľkonásobné záložne kópie; zhotovenie havarijných plánov na zabezpečenie kontinuity činnosti ; kontrolovať, čí sú splnené protipožiarne opatrenia;            kontrolovať osoby pri vstupe do budovy; vo vybraných priestoroch inštalovať EZS, bezpečnostné mreže, dvere; zabezpečiť autentizáciu osôb pri vstupe do chránených priestorov

 

V prípade vyradenia aktív IS z činnosti:

zvolať krízový štáb; koordinovať činnosť podľa bezpečnostnej dokumentácie – smernice;    aktivovať záložne pracovisko;   skontrolovať úplnosť systému na záložnom pracovisku; spustenie záložnej prevádzky;

odstránenie škôd na pôvodnom pracovisku;

po obnovení funkčnosti vrátenie činnosti na pôvodné pracovisko;

 

v prípade napadnutia len časti aktív IS:

presunúť aktíva do vyhovujúcich priestorov; inštalovať záložné databázy a pripojenia ak sú nutné; spustiť prevádzku,

po odstránení dôsledkov vrátiť činnosť do stavu pred udalosťou.