117/2014 Z.z.
[zrušené nepriamo č. 18/2018 Z.z.]
VYHLÁŠKA
Úradu na ochranu osobných údajov Slovenskej republiky
z 24. apríla 2014,
ktorou sa mení a dopĺňa vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení
Úrad na ochranu osobných údajov Slovenskej republiky podľa § 20 ods. 3 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov ustanovuje:
Čl. I
Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení sa mení a dopĺňa takto:
1. V § 1 ods. 2 sa vypúšťajú slová aplikuje najmä bezpečnostné opatrenia uvedené v prílohe, pričom.
2. V § 2 ods. 2 sa slová uvedená v § 3, 4 a 5 nahrádzajú slovami podľa § 3, 4 a 5.
3. Poznámka pod čiarou k odkazu 1 znie:
1) Napríklad § 29 výnosu Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy..
4. § 3 a 4 znejú:
§ 3
Pri prijímaní a dokumentovaní bezpečnostných opatrení sa primerane použijú najmä bezpečnostné opatrenia uvedené v prílohe. Pri určovaní rozsahu bezpečnostných opatrení prevádzkovateľ postupuje pred začatím spracúvania osobných údajov, ako aj v priebehu ich spracúvania podľa § 1.
§ 4
Obsah bezpečnostných opatrení podľa § 19 ods. 1 zákona, ak prevádzkovateľ nepostupuje podľa § 19 ods. 2 zákona, zodpovedá rozsahu prijatých bezpečnostných opatrení podľa § 3 a preukazuje sa napríklad popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch..
5. V § 5 ods. 1 uvádzacej vete sa slová § 19 ods. 3 nahrádzajú slovami § 19 ods. 2.
6. V § 5 ods. 1 písmeno d) znie:
d) závery vyplývajúce z písmen b) a c)..
7. Poznámka pod čiarou k odkazu 2 znie:
2) Napríklad STN ISO/IEC 27001, STN ISO/IEC 27002, výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z. z..
8. V § 5 sa za odsek 3 vkladá nový odsek 4, ktorý znie:
(4)
Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému na konkrétne podmienky prevádzkovaného informačného systému obsahujú
a) popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,
b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,
c) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,
d) postupy pri haváriách, poruchách a iných…