164/2013 Z.z.
[zrušené č. 18/2018 Z.z.]
VYHLÁŠKA
Úradu na ochranu osobných údajov Slovenskej republiky
z 13. júna 2013
o rozsahu a dokumentácii bezpečnostných opatrení
V znení:
Predpis č. |
K dátumu |
Poznámka |
117/2014 Z. z.
|
1. 5. 2014 |
mení a dopĺňa 11 novelizačných bodov |
Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 20 ods. 3 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:
§ 1
(1) Rozsah primeraných technických, organizačných a personálnych opatrení (ďalej len „bezpečnostné opatrenia“) musí zodpovedať konkrétnym podmienkam spracúvania osobných údajov v informačnom systéme osobných údajov (ďalej len „informačný systém“) a bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.
(2) Pri prijímaní bezpečnostných opatrení prevádzkovateľ ► rozlišuje medzi použitím automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Pri automatizovaných prostriedkoch spracúvania osobných údajov prevádzkovateľ prostredníctvom bezpečnostných opatrení zabezpečí odolnosť automatizovanej časti informačného systému proti škodlivým kódom (napríklad počítačový vírus) a nežiaducim modifikáciám informačného systému, ako aj pravidelné a bezpečné zálohovanie spracúvaných osobných údajov.
(3) Prijatím bezpečnostných opatrení prevádzkovateľ neoprávneným osobám znemožní akýkoľvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami určenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosičmi osobných údajov a oprávneným osobám zabezpečí prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poučení podľa § 21 zákona.
§ 2
(1) Dokumentácia prijatých bezpečnostných opatrení (ďalej len „dokumentácia“) popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu; obsah dokumentácie sa zhoduje so skutočným stavom pri spracúvaní osobných údajov.
(2) Bezpečnostné opatrenia musia byť zdokumentované prehľadne a jednoznačne. Dokumentácia podľa § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované;1) v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5.
§ 3
Pri prijímaní a dokumentovaní bezpečnostných opatrení sa primerane použijú najmä bezpečnostné opatrenia uvedené v prílohe. Pri určovaní rozsahu bezpečnostných opatrení prevádzkovateľ postupuje pred začatím spracúvania osobných údajov, ako aj v priebehu ich spracúvania podľa § 1.
§ 4
Obsah bezpečnostných opatrení podľa § 19 ods. 1 zákona, ak prevádzkovateľ nepostupuje podľa § 19 ods. 2 zákona, zodpovedá rozsahu prijatých bezpečnostných opatrení podľa § 3 a preukazuje sa napríklad popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach,…
