Bezpečnostný projekt predstavuje zabezpečenie ochrany najrizikovejších osobných údajov. Kedy je potrebné ho vypracovať?
Otázka bezpečnosti akýchkoľvek údajov bola aj naďalej je veľmi citlivou, najmä čo sa týka osobných údajov. V súčasnosti dominujúci automatizovaný spôsob spracúvania osobných údajov pomocou výpočtovej techniky môže čeliť kybernetickým útokom rôzneho druhu a takmer bez časového obmedzenia. Aj kvôli týmto hrozbám musí prevádzkovateľ (resp. sprostredkovateľ) prijať bezpečnostné opatrenia, ktoré zodpovedajú adekvátnej ochrane osobných údajov.
Povinnosť vypracovania bezpečnostného projektu a povinnosť aktualizácie
Bezpečnostný projekt predstavuje zdokumentovanie bezpečnostných opatrení, ktoré majú chrániť osobné údaje. Zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „zákon o ochrane osobných údajov“) prikazuje v zmysle § 19 ods. 2 vypracovanie bezpečnostného projektu v dvoch prípadoch, a síce, ak:
- v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou sú spracúvané osobitné kategórie osobných údajov,
- informačný systém slúži na zabezpečenie verejného záujmu.
K vypracovaniu bezpečnostného projektu sa pristupuje vtedy, ak spracúvané osobné údaje podliehajú vysokému bezpečnostnému riziku.
V zmysle § 19 ods. 3 zákona o ochrane osobných údajov je prevádzkovateľ (resp. sprostredkovateľ) povinný zabezpečiť súlad bezpečnostných opatrení v bezpečnostnom projekte s reálnym stavom spracúvania osobných údajov. Povinnosť aktualizácie bezpečnostných opatrení po uskutočnení zmien pri spracúvaní osobných údajov sa vzťahuje na prevádzkovateľa (resp. sprostredkovateľa) až do ukončenia spracúvania osobných údajov v informačnom systéme.
Zákon o ochrane osobných údajov neupravuje kto má vypracovať bezpečnostný projekt pre prevádzkovateľa (resp. sprostredkovateľa), t. j. neukladá požiadavky na kvalifikáciu a dosiahnuté zručnosti osôb, ktoré vypracúvajú bezpečnostný projekt. Zvyčajne sú to osoby s právnickým vzdelaním alebo iní odborníci pre oblasť ochrany osobných údajov, avšak porušením zákona o ochrane osobných údajov nie je skutočnosť, ak podnikateľ vypracuje bezpečnostný projekt samostatne.
Požiadavky na bezpečnostný projekt
Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Musí byť vypracovaný v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná (napr. štandardy STN ISO/IEC 27001, STN ISO/IEC 27002).
Bezpečnostný projekt sa vypracúva v súlade s vyhláškou Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení neskorších predpisov (ďalej len „vyhláška o rozsahu a dokumentácii bezpečnostných opatrení“).
Bezpečnostný projekt musí podľa vyhlášky o rozsahu a dokumentácii bezpečnostných opatrení obsahovať tieto časti:
- názov informačného systému, na ktorý sa bezpečnostný projekt vzťahuje,
- bezpečnostný zámer,
- analýzu bezpečnosti informačného systému,
- závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému.
Podrobný popis požiadaviek na bezpečnostný projekt, ako aj príkladmo uvedené bezpečnostné opatrenia sú súčasťou vyhláška o rozsahu a dokumentácii bezpečnostných opatrení, vrátane prílohy.
Dôležité pojmy, pokiaľ ide o bezpečnostný projekt
V rámci problematiky bezpečnostného projektu je potrebné vysvetliť pojmy informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť, osobitné kategórie osobných údajov a zabezpečenie verejného záujmu.
Pojem informačný systém osobných údajov je definovaný v § 4 ods. 3 písm. b) zákona o ochrane osobných údajov ako informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Ak ide o spracúvanie osobných údajov automatizovane alebo čiastočne automatizovane príslušným spôsobilým zariadením (napr. počítačom, tabletom), ktoré je pripojené na internet, ide o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť. Ak by boli príslušné spôsobilé zariadenia pripojené len na vnútropodnikovú sieť (tzv. intranet), nejde o informačný systém osobných údajov pripojený na verejne prístupnú počítačovú sieť.
Pojem osobitné kategórie osobných údajov je definovaný v § 13 zákona o ochrane osobných údajov. Najčastejšie diskutovanou osobitnou kategóriou osobných údajov sú biometrické údaje fyzickej osoby. Biometrickými údajmi fyzickej osoby v zmysle § 4 ods. 3 písm. f) zákona o ochrane osobných údajov sú napríklad odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny (analýza DNA). Pre spracúvanie biometrických údajov vydal Úrad na ochranu osobných údajov SR metodické usmernenie pod číselným označením 6/2013, ktoré je dostupné na internetovej stránke Úradu na ochranu osobných údajov SR. Ďalšími osobitnými kategóriami osobných údajov sú najmä osobné údaje o psychickej identite fyzickej osoby, osobné údaje o psychickej pracovnej spôsobilosti fyzickej osoby, osobné údaje o porušení ustanovení zakladajúcich trestnú zodpovednosť, osobné údaje o porušení ustanovení zakladajúcich administratívnoprávnu zodpovednosť.
Pojem verejný záujem má za cieľ určiť situácie, kedy prevádzkovateľ plní povinnosti ustanovené osobitnými predpismi. Zákon o ochrane osobných údajov uvádza oblasti verejného záujmu v § 3 ods. 1 a taktiež odkazuje na príklady právnych noriem. Vereným záujmom je napríklad plnenie povinností za účelom zaistenia bezpečnosti Slovenskej republiky, obrany Slovenskej republiky, verejného poriadku a bezpečnosti, predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovanie jej páchateľov, vyšetrovanie a stíhanie páchateľov trestných činov.
Pokuty
Za nesplnenie alebo porušenie povinností bezpečnosti spracúvania osobných údajov môže Úrad na ochranu osobných údajov SR uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu vo výške od 1 000 eur do 50 000 eur. Pokuta môže byť uložená napríklad za nesplnenie alebo porušenie povinnosti aktualizácie bezpečnostných opatrení a bezpečnostného projektu, nevyhotovenie bezpečnostného projektu v požadovanom rozsahu.
Úrad na ochranu osobných údajov SR je povinný uložiť prevádzkovateľovi alebo sprostredkovateľovi pokutu za nesplnenie povinnosti vypracovať bezpečnostný projekt vo výške od 1 000 eur do 200 000 eur. Obligatórnosť ukladania pokuty je prvkom negatívnej stimulácie pre prevádzkovateľov alebo sprostredkovateľov pre plnenie tejto povinnosti.
Z dikcie zákona o ochrane osobných údajov je zrejmé, že Úrad na ochranu osobných údajov nemôže pri ukladaní pokuty a určovaní jej výšky postupovať svojvoľne. Musí prihliadať na závažnosť, čas trvania a následky protiprávneho konania, opakovanie takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých osôb.
