164/2013 Z.z., Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 20 ods. 3 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:

(1) Rozsah primeraných technických, organizačných a personálnych opatrení (ďalej len „bezpečnostné opatrenia“) musí zodpovedať konkrétnym podmienkam spracúvania osobných údajov v informačnom systéme osobných údajov (ďalej len „informačný systém“) a bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.

(2) Pri prijímaní bezpečnostných opatrení prevádzkovateľ aplikuje najmä bezpečnostné opatrenia uvedené v prílohe, pričom rozlišuje medzi použitím automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Pri automatizovaných prostriedkoch spracúvania osobných údajov prevádzkovateľ prostredníctvom bezpečnostných opatrení zabezpečí odolnosť automatizovanej časti informačného systému proti škodlivým kódom (napríklad počítačový vírus) a nežiaducim modifikáciám informačného systému, ako aj pravidelné a bezpečné zálohovanie spracúvaných osobných údajov.

(3) Prijatím bezpečnostných opatrení prevádzkovateľ neoprávneným osobám znemožní akýkoľvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami určenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosičmi osobných údajov a oprávneným osobám zabezpečí prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poučení podľa § 21 zákona.

(1) Dokumentácia prijatých bezpečnostných opatrení (ďalej len „dokumentácia“) popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu; obsah dokumentácie sa zhoduje so skutočným stavom pri spracúvaní osobných údajov.

(2) Bezpečnostné opatrenia musia byť zdokumentované prehľadne a jednoznačne. Dokumentácia uvedená v § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované;¹⁾ v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5.

Ak sú osobné údaje spracúvané v informačnom systéme, ktorý nie je prepojený s verejne prístupnou počítačovou sieťou, pričom nejde o spracúvanie osobitných kategórií osobných údajov podľa § 13 zákona, dokumentácia podľa § 19 ods. 1 zákona obsahuje