Zavrieť
Upraviť
Hlavné
- Auto Moto [x]
- Cestovanie [x]
- Deti [x]
- Domácnosť [x]
- Elektronika [x]
- Foto [x]
- Hoby [x]
- Hudba [x]
- Iné [x]
- Kaviareň Porady [x]
- Kultúra [x]
- Mobily a Tablety [x]
- Móda [x]
- Mzdy a personalistika [x]
- Neziskové organizácie [x]
- Počítače [x]
- Podnikanie [x]
- Porada (o stránke Porada) [x]
- Právo [x]
- Recenzie [x]
- Recepty [x]
- Software [x]
- Stavba [x]
- Šport [x]
- Účtovníctvo a dane [x]
- Vzdelávanie [x]
- Záhrada [x]
- Zdravie [x]
- Zvieratá [x]
Otázku
Pravidlá
Položte novú otázku, ak:
- Potrebujete odpoveď (na diskusiu slúžia Debaty).
- Ste nenašli odpoveď cez vyhľadávanie
Tip
Pravidlá a tipy
Vaše rady, tipy a vedomosti!
Tip môžete napísať stručne ale môže ísť aj o dlhší článok.
Ak chcete zdieľať cudzí článok, zdieľajte link.
Tip môžete napísať stručne ale môže ísť aj o dlhší článok.
Ak chcete zdieľať cudzí článok, zdieľajte link.
Zdieľaj link
Pravidlá a tipy
Zdieľajte s nami link na články z iných webov.
Komentáre k linku budú zoradené podľa počtu hlasov,
môžete využiť aj filter komentárov a zobraziť
len komentáre od členov ktorých na Porade sledujete.
Komentáre k linku budú zoradené podľa počtu hlasov,
môžete využiť aj filter komentárov a zobraziť
len komentáre od členov ktorých na Porade sledujete.
Sledovať
Ochrana údajov - Bezpečnostný projekt
Dobrý deň,
viem, že o ochrane osobných údajov sa tu už popísalo mnoho užitočných informácií, len sa mi žiaľ
nepodarilo násť nejakú skúsenosť s vypracovaním bezpečnostného projektu.
My sme v podstate malá firma (10 zamestnancov), ale údaje sú spracovávané v sieti, ktorá je pripojená na internet. Vyplynula nám teda povinnosť vypracovať bezp. projetk.
Máte niekto skúsenosť s nejakou firmou, ktorá takúto službu zabezpečuje? Alebo dokonca nejakú štruktúru ako projekt vypracovať? Obávam sa, že bez návodu sa ani nehnem, čisto podľa § 16 to nezvládnem...
UPRAVA RICHARD:
Dovolím si zasiahnuť do tohoto príspevku a dať na začiatok rešerš o ochrane os. údajov od VLADAN:
OCHRANA OSOBNÝCH ÚDAJOV – MALÉ ZHRNUTIE
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com
fficeffice" /><o:p></o:p>
Dávam do pléna materiál, ktorý som spracovala na základe absolvovaného školenia dňa 10.6.2005, kde školiteľkou bola JUDr. Drabišinová – kontrolórka na Úrade na ochranu osobných údajov SR.<o:p></o:p>
<o:p> </o:p>
K tomuto materiálu vám ako pomôcka poslúži aj samotný Zákon o ochrane osobných údajov (ďalej „zákon“) č. 90/2005, ktorý nadobudol účinnosť dňa 1.5.2005.<o:p></o:p>
<o:p> </o:p>
1. Zákon upravuje ochranu osobných údajov fyzických osôb pri ich spracúvaní (údajmi fyzických osôb sa rozumejú údaje občanov).<o:p></o:p>
2. Zákon sa vzťahuje, okrem iných, aj na právnické a fyzické osoby, ktoré spracúvajú osobné údaje.<o:p></o:p>
<o:p> </o:p>
§ 3 - Osobný údaj<o:p></o:p>
Údaj týkajúci sa určenej alebo určiteľnej FO, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora (u nás je to RODNÉ ČÍSLO) alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.<o:p></o:p>
Ak je zverejnené iba meno a priezvisko – nie je to osobný údaj, lebo v našom geografickom priestore (Slovensko) je viacero osôb, ktoré môžu mať rovnaké meno a priezvisko. Ani rodné číslo samo o sebe nie je osobný údaj – z rodného čísla vieme určiť dátum narodenia a pohlavie, nevieme konkrétne určiť, že je to presne osoba XY. Napr. rodné číslo+adresa už možno považovať za osobný údaj, lebo podľa týchto dvoch charakteristík sa dá jednoznačne určiť, identifikovať osobu.<o:p></o:p>
Osobnými údajmi nie sú, ak sú samostatne napr.tieto údaje o fyzickej osobe:<o:p></o:p>
- číslo občianskeho preukazu,<o:p></o:p>
- číslo pasu,<o:p></o:p>
- číslo vodičského preukazu,<o:p></o:p>
- telefónne číslo,<o:p></o:p>
- emailová adresa,<o:p></o:p>
- číslo bankového účtu.<o:p></o:p>
<o:p> </o:p>
§ 4 - Prevádzkovateľ<o:p></o:p>
Právnická a fyzická osoba, ktorá sama alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov.<o:p></o:p>
<o:p> </o:p>
§ 4 - Sprostredkovateľ<o:p></o:p>
Právnická a fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa – tu by mala existovať určitá forma zmluvy alebo písomné poverenie medzi prevádzkovateľom a sprostredkovateľom, ktoré určuje rozsah a podmienky spracúvania osobných údajov. Väčšinou sú to už uzavreté zmluvy na účtovnícke služby, alebo na výpočet miezd, stačí doplniť dodatkom k tejto zmluve, ktorý hovorí o ochrane osobných údajov.<o:p></o:p>
Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa (tu nám školiteľka nevedela jednoznačne povedať, či musím zvlášť upozorniť aj manželku, dieťa, ak mi zamestnanec poskytol ich osobné údaje na spracovanie mzdovej a personálnej agendy).<o:p></o:p>
<o:p> </o:p>
§ 4 - Oprávnená osoba<o:p></o:p>
Každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, na základe poverenia, zvolenia alebo vymenovania a ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa.<o:p></o:p>
<o:p></o:p>
§ 4 - Dotknutá osoba<o:p></o:p>
Každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.<o:p></o:p>
<o:p> </o:p>
§ 7 - Súhlas dotknutej osoby<o:p></o:p>
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje inak!!! Pre nás mzdárov je dôležitý § 7 ods. 3, ktorý hovorí o tom, že ak sa osobné údaje spracúvajú na základe osobitného zákona (napr. sociálne poistenie, zdravotné poistenie, daň z príjmov a pod.), súhlas dotknutej osoby sa NEVYŽADUJE!!!<o:p></o:p>
V tomto § sme sa bavili o tom, že čo ak mi príde zamestnanec s tlačivom pre banku (potvrdenie o príjme) na účely poskytnutia pôžičky alebo úveru – keďže tlačivo dáva vyplniť zamestnanec je si vedomý, že tam budú jeho osobné údaje, tak súhlas k tomuto poskytnutiu netreba.
Určite ste sa stretli s tým, že vyplnené tlačivá a údaje z nich, si banky, resp. spoločnosti, ktoré požičiavajú peniaze, overujú telefonicky. Tento postup však neupravuje žiadny osobitný predpis, preto odporúčanie školiteľky bolo v tom, že na otázky treba odpovedať iba áno/nie, teda potvrdiť iba pravdivosť/nepravdivosť uvedených údajov. Lebo ak by sme do telefónu „chceli“ poskytnúť nejaké osobné údaje, nemohli by sme tak učiniť, lebo na toto už potrebujeme súhlas dotknutej osoby.<o:p></o:p>
Ďalšou témou k tomuto § boli životopisy a žiadosti o prijatie do pracovného pomeru – zaradili sme to do § 7 ods. 4b) – je to istá forma predzmluvného vzťahu, čiže tu sa súhlas dotknutej osoby taktiež nevyžaduje. Týmto uchádzačom by sa mala oznámiť likvidácia ich osobných údajov po splnení účelu, ale je tu možnosť od tejto činnosti upustiť a to podľa § 14 ods. 2.
<o:p> </o:p>
§ 15 – Zodpovednosť za bezpečnosť osobných údajov<o:p></o:p>
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ a na tento účel prijme primerané technické, organizačné a personálne opatrenia (tu zaznela otázka aké sú tie primerané opatrenia – tak napríklad: spisy zamestnancov majú byť uložené tak, aby sa „nepovaľovali“ – školiteľka uviedla, že netreba sejf alebo trezor ale primerané opatrenia). Opatrenie vo forme BEZPEČNOSTNÉHO PROJEKTU IS (súčasťou bezpečnostného projektu sú aj bezpečnostné smernice) prijme prevádzkovateľ a sprostredkovateľ, ak sú v IS spracúvané osobitné kategórie osobných údajov (u nás RODNÉ ČÍSLO) a IS je prepojený na verejne prístupnú počítačovú sieť (u nás INTERNET) alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť.<o:p></o:p>
Ostatní, ktorý je nemajú IS prepojený na internet sú povinní vypracovať BEZPEČNOSTNÉ SMERNICE.<o:p></o:p>
V prípade, ak dávate spracovávať mzdy externe a nevlastníte vo firme IS, ktorý obsahuje osobné údaje ale iba kartotéku (teda osobné údaje v listinnej podobe), stačí vám, ako prevádzkovateľovi, vypracovať bezpečnostné smernice a bezpečnostný projekt vypracuje sprostredkovateľ, ak on vlastní IS prepojený na verejne prístupnú počítačovú sieť.<o:p></o:p>
Audit-hodnotiacu správu treba predložiť až na požiadanie úradu, a to vtedy, ak má úrad pochybnosti o bezpečnosti vášho IS.<o:p></o:p>
<o:p> </o:p>
§ 16 – Bezpečnostný projekt<o:p></o:p>
Bezpečnostný projekt by mal obsahovať všetko podľa ods. 3, 4, 5 a bezpečnostné smernice podľa ods. 6.<o:p></o:p>
Vypracovaný bezpečnostný projekt ostáva vo firme, nikde sa neposiela, nikomu sa nepredkladá, podľa neho by sa mala riadiť zodpovedná osoba.<o:p></o:p>
Ešte som sa pýtala školiteľky, kto podpisuje vypracovanie bezpečnostného projektu – odpoveď: bezpečnostný projekt netreba podpisovať, je to záväzný predpis pre oprávnené osoby. Podpisuje sa iba jeho schválenie.<o:p></o:p>
<o:p> </o:p>
§ 17 – Poučenie<o:p></o:p>
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a povinnostiach ustanovených týmto zákonom.<o:p></o:p>
<o:p> </o:p>
§ 19 – Dohľad nad ochranou osobných údajov<o:p></o:p>
Ak prevádzkovateľ zamestnáva viac ako 5 osôb, výkonom dohľadu písomne poverí zodpovednú osobu.<o:p></o:p>
Odborné vyškolenie zabezpečí prevádzkovateľ, odborným vyškolením sa chápe buď absolvované školenie alebo aj ovládanie zákona a úloh z neho vyplývajúcich. Vtedy stačí Vyhlásenie prevádzkovateľa, že daný človek ovláda tento zákon.<o:p></o:p>
Ak prevádzkovateľ písomne poveril zodpovednú osobu, je povinný o tom písomne informovať úrad, najneskôr do 30 dní odo dňa poverenia a to doporučenou zásielkou. Tlačivo oznámenia sa dá nájsť na www.pdp.gov.sk - v časti registrácia.<o:p></o:p>
Zodpovednou osobu môže byť FO, ktorá má spôsobilosť na právne úkony (t.j. dosiahla vek 18 rokov) a je bezúhonná (nemá zápis v registri trestov). Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý ostáva u prevádzkovateľa, resp. sprostredkovateľa. Zodpovednou osobou môže byť zamestnanec, sprostredkovateľ alebo aj iná fyzická osoba ale aj živnostník. Živnostník nie je považovaný za štatutárny orgán, preto môže byť zodpovednou osobou.<o:p></o:p>
<o:p> </o:p>
§ 24 – Povinnosť registrácie a evidencie<o:p></o:p>
Prevádzkovateľ registruje IS alebo vedie o nich evidenciu. <o:p></o:p>
<o:p> </o:p>
§ 25 – Podmienky registrácie<o:p></o:p>
Povinnosť registrácie sa vzťahuje na všetky IS, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých IS, ktoré:<o:p></o:p>
- podliehajú osobitnej registrácii podľa § 27 ods. 2,<o:p></o:p>
- podliehajú dohľadu zodpovednej osoby,<o:p></o:p>
- obsahujú osobné údaje FO na účely vedenia mzdovej a personálnej agendy – tu spadajú mzdové softy firiem, ktoré nemajú zodpovednú osobu, čiže nemusia registrovať IS (ale musia viesť evidenciu o nich!!!)<o:p></o:p>
<o:p> </o:p>
§ 29 – Podmienky evidencie<o:p></o:p>
O IS, ktoré nepodliehajú registrácii (naše mzdové programy), prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov o týchto IS. Rozsah tejto evidencie je totožný s údajmi, ktoré sú uvedené v § 26 ods. 3 – tu je pomôckou Registračný formulár na www.pdp.gov.sk , stačí si ho vytlačiť a urobiť evidenciu podľa bodov tam uvedených. <o:p></o:p>
<o:p> </o:p>
§ 55 – Prechodné ustanovenia<o:p></o:p>
Písomné poverenie zodpovednej osoby prevádzkovateľ oznámi úradu najneksôr do 30. 6. 2005. Vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená je jednou vetou obsiahnuté už v oznámení prevádzkovateľa, takže nie je potrebné posielať potvrdenie o vyškolení.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
Úrad na ochranu osobných údajov SR pripravuje FAQ (často kladené otázky), neviem kedy sa to zrealizuje, treba sledovať ich stránku.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
viem, že o ochrane osobných údajov sa tu už popísalo mnoho užitočných informácií, len sa mi žiaľ
nepodarilo násť nejakú skúsenosť s vypracovaním bezpečnostného projektu.My sme v podstate malá firma (10 zamestnancov), ale údaje sú spracovávané v sieti, ktorá je pripojená na internet. Vyplynula nám teda povinnosť vypracovať bezp. projetk.
Máte niekto skúsenosť s nejakou firmou, ktorá takúto službu zabezpečuje? Alebo dokonca nejakú štruktúru ako projekt vypracovať? Obávam sa, že bez návodu sa ani nehnem, čisto podľa § 16 to nezvládnem...
UPRAVA RICHARD:
Dovolím si zasiahnuť do tohoto príspevku a dať na začiatok rešerš o ochrane os. údajov od VLADAN:
OCHRANA OSOBNÝCH ÚDAJOV – MALÉ ZHRNUTIE
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com
fficeffice" /><o:p></o:p>Dávam do pléna materiál, ktorý som spracovala na základe absolvovaného školenia dňa 10.6.2005, kde školiteľkou bola JUDr. Drabišinová – kontrolórka na Úrade na ochranu osobných údajov SR.<o:p></o:p>
<o:p> </o:p>
K tomuto materiálu vám ako pomôcka poslúži aj samotný Zákon o ochrane osobných údajov (ďalej „zákon“) č. 90/2005, ktorý nadobudol účinnosť dňa 1.5.2005.<o:p></o:p>
<o:p> </o:p>
1. Zákon upravuje ochranu osobných údajov fyzických osôb pri ich spracúvaní (údajmi fyzických osôb sa rozumejú údaje občanov).<o:p></o:p>
2. Zákon sa vzťahuje, okrem iných, aj na právnické a fyzické osoby, ktoré spracúvajú osobné údaje.<o:p></o:p>
<o:p> </o:p>
§ 3 - Osobný údaj<o:p></o:p>
Údaj týkajúci sa určenej alebo určiteľnej FO, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora (u nás je to RODNÉ ČÍSLO) alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.<o:p></o:p>
Ak je zverejnené iba meno a priezvisko – nie je to osobný údaj, lebo v našom geografickom priestore (Slovensko) je viacero osôb, ktoré môžu mať rovnaké meno a priezvisko. Ani rodné číslo samo o sebe nie je osobný údaj – z rodného čísla vieme určiť dátum narodenia a pohlavie, nevieme konkrétne určiť, že je to presne osoba XY. Napr. rodné číslo+adresa už možno považovať za osobný údaj, lebo podľa týchto dvoch charakteristík sa dá jednoznačne určiť, identifikovať osobu.<o:p></o:p>
Osobnými údajmi nie sú, ak sú samostatne napr.tieto údaje o fyzickej osobe:<o:p></o:p>
- číslo občianskeho preukazu,<o:p></o:p>
- číslo pasu,<o:p></o:p>
- číslo vodičského preukazu,<o:p></o:p>
- telefónne číslo,<o:p></o:p>
- emailová adresa,<o:p></o:p>
- číslo bankového účtu.<o:p></o:p>
<o:p> </o:p>
§ 4 - Prevádzkovateľ<o:p></o:p>
Právnická a fyzická osoba, ktorá sama alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov.<o:p></o:p>
<o:p> </o:p>
§ 4 - Sprostredkovateľ<o:p></o:p>
Právnická a fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa – tu by mala existovať určitá forma zmluvy alebo písomné poverenie medzi prevádzkovateľom a sprostredkovateľom, ktoré určuje rozsah a podmienky spracúvania osobných údajov. Väčšinou sú to už uzavreté zmluvy na účtovnícke služby, alebo na výpočet miezd, stačí doplniť dodatkom k tejto zmluve, ktorý hovorí o ochrane osobných údajov.<o:p></o:p>
Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa (tu nám školiteľka nevedela jednoznačne povedať, či musím zvlášť upozorniť aj manželku, dieťa, ak mi zamestnanec poskytol ich osobné údaje na spracovanie mzdovej a personálnej agendy).<o:p></o:p>
<o:p> </o:p>
§ 4 - Oprávnená osoba<o:p></o:p>
Každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, na základe poverenia, zvolenia alebo vymenovania a ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa.<o:p></o:p>
<o:p></o:p>
§ 4 - Dotknutá osoba<o:p></o:p>
Každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.<o:p></o:p>
<o:p> </o:p>
§ 7 - Súhlas dotknutej osoby<o:p></o:p>
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje inak!!! Pre nás mzdárov je dôležitý § 7 ods. 3, ktorý hovorí o tom, že ak sa osobné údaje spracúvajú na základe osobitného zákona (napr. sociálne poistenie, zdravotné poistenie, daň z príjmov a pod.), súhlas dotknutej osoby sa NEVYŽADUJE!!!<o:p></o:p>
V tomto § sme sa bavili o tom, že čo ak mi príde zamestnanec s tlačivom pre banku (potvrdenie o príjme) na účely poskytnutia pôžičky alebo úveru – keďže tlačivo dáva vyplniť zamestnanec je si vedomý, že tam budú jeho osobné údaje, tak súhlas k tomuto poskytnutiu netreba.
Určite ste sa stretli s tým, že vyplnené tlačivá a údaje z nich, si banky, resp. spoločnosti, ktoré požičiavajú peniaze, overujú telefonicky. Tento postup však neupravuje žiadny osobitný predpis, preto odporúčanie školiteľky bolo v tom, že na otázky treba odpovedať iba áno/nie, teda potvrdiť iba pravdivosť/nepravdivosť uvedených údajov. Lebo ak by sme do telefónu „chceli“ poskytnúť nejaké osobné údaje, nemohli by sme tak učiniť, lebo na toto už potrebujeme súhlas dotknutej osoby.<o:p></o:p>
Ďalšou témou k tomuto § boli životopisy a žiadosti o prijatie do pracovného pomeru – zaradili sme to do § 7 ods. 4b) – je to istá forma predzmluvného vzťahu, čiže tu sa súhlas dotknutej osoby taktiež nevyžaduje. Týmto uchádzačom by sa mala oznámiť likvidácia ich osobných údajov po splnení účelu, ale je tu možnosť od tejto činnosti upustiť a to podľa § 14 ods. 2.
<o:p> </o:p>
§ 15 – Zodpovednosť za bezpečnosť osobných údajov<o:p></o:p>
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ a na tento účel prijme primerané technické, organizačné a personálne opatrenia (tu zaznela otázka aké sú tie primerané opatrenia – tak napríklad: spisy zamestnancov majú byť uložené tak, aby sa „nepovaľovali“ – školiteľka uviedla, že netreba sejf alebo trezor ale primerané opatrenia). Opatrenie vo forme BEZPEČNOSTNÉHO PROJEKTU IS (súčasťou bezpečnostného projektu sú aj bezpečnostné smernice) prijme prevádzkovateľ a sprostredkovateľ, ak sú v IS spracúvané osobitné kategórie osobných údajov (u nás RODNÉ ČÍSLO) a IS je prepojený na verejne prístupnú počítačovú sieť (u nás INTERNET) alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť.<o:p></o:p>
Ostatní, ktorý je nemajú IS prepojený na internet sú povinní vypracovať BEZPEČNOSTNÉ SMERNICE.<o:p></o:p>
V prípade, ak dávate spracovávať mzdy externe a nevlastníte vo firme IS, ktorý obsahuje osobné údaje ale iba kartotéku (teda osobné údaje v listinnej podobe), stačí vám, ako prevádzkovateľovi, vypracovať bezpečnostné smernice a bezpečnostný projekt vypracuje sprostredkovateľ, ak on vlastní IS prepojený na verejne prístupnú počítačovú sieť.<o:p></o:p>
Audit-hodnotiacu správu treba predložiť až na požiadanie úradu, a to vtedy, ak má úrad pochybnosti o bezpečnosti vášho IS.<o:p></o:p>
<o:p> </o:p>
§ 16 – Bezpečnostný projekt<o:p></o:p>
Bezpečnostný projekt by mal obsahovať všetko podľa ods. 3, 4, 5 a bezpečnostné smernice podľa ods. 6.<o:p></o:p>
Vypracovaný bezpečnostný projekt ostáva vo firme, nikde sa neposiela, nikomu sa nepredkladá, podľa neho by sa mala riadiť zodpovedná osoba.<o:p></o:p>
Ešte som sa pýtala školiteľky, kto podpisuje vypracovanie bezpečnostného projektu – odpoveď: bezpečnostný projekt netreba podpisovať, je to záväzný predpis pre oprávnené osoby. Podpisuje sa iba jeho schválenie.<o:p></o:p>
<o:p> </o:p>
§ 17 – Poučenie<o:p></o:p>
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach a povinnostiach ustanovených týmto zákonom.<o:p></o:p>
<o:p> </o:p>
§ 19 – Dohľad nad ochranou osobných údajov<o:p></o:p>
Ak prevádzkovateľ zamestnáva viac ako 5 osôb, výkonom dohľadu písomne poverí zodpovednú osobu.<o:p></o:p>
Odborné vyškolenie zabezpečí prevádzkovateľ, odborným vyškolením sa chápe buď absolvované školenie alebo aj ovládanie zákona a úloh z neho vyplývajúcich. Vtedy stačí Vyhlásenie prevádzkovateľa, že daný človek ovláda tento zákon.<o:p></o:p>
Ak prevádzkovateľ písomne poveril zodpovednú osobu, je povinný o tom písomne informovať úrad, najneskôr do 30 dní odo dňa poverenia a to doporučenou zásielkou. Tlačivo oznámenia sa dá nájsť na www.pdp.gov.sk - v časti registrácia.<o:p></o:p>
Zodpovednou osobu môže byť FO, ktorá má spôsobilosť na právne úkony (t.j. dosiahla vek 18 rokov) a je bezúhonná (nemá zápis v registri trestov). Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý ostáva u prevádzkovateľa, resp. sprostredkovateľa. Zodpovednou osobou môže byť zamestnanec, sprostredkovateľ alebo aj iná fyzická osoba ale aj živnostník. Živnostník nie je považovaný za štatutárny orgán, preto môže byť zodpovednou osobou.<o:p></o:p>
<o:p> </o:p>
§ 24 – Povinnosť registrácie a evidencie<o:p></o:p>
Prevádzkovateľ registruje IS alebo vedie o nich evidenciu. <o:p></o:p>
<o:p> </o:p>
§ 25 – Podmienky registrácie<o:p></o:p>
Povinnosť registrácie sa vzťahuje na všetky IS, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou tých IS, ktoré:<o:p></o:p>
- podliehajú osobitnej registrácii podľa § 27 ods. 2,<o:p></o:p>
- podliehajú dohľadu zodpovednej osoby,<o:p></o:p>
- obsahujú osobné údaje FO na účely vedenia mzdovej a personálnej agendy – tu spadajú mzdové softy firiem, ktoré nemajú zodpovednú osobu, čiže nemusia registrovať IS (ale musia viesť evidenciu o nich!!!)<o:p></o:p>
<o:p> </o:p>
§ 29 – Podmienky evidencie<o:p></o:p>
O IS, ktoré nepodliehajú registrácii (naše mzdové programy), prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov o týchto IS. Rozsah tejto evidencie je totožný s údajmi, ktoré sú uvedené v § 26 ods. 3 – tu je pomôckou Registračný formulár na www.pdp.gov.sk , stačí si ho vytlačiť a urobiť evidenciu podľa bodov tam uvedených. <o:p></o:p>
<o:p> </o:p>
§ 55 – Prechodné ustanovenia<o:p></o:p>
Písomné poverenie zodpovednej osoby prevádzkovateľ oznámi úradu najneksôr do 30. 6. 2005. Vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená je jednou vetou obsiahnuté už v oznámení prevádzkovateľa, takže nie je potrebné posielať potvrdenie o vyškolení.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
Úrad na ochranu osobných údajov SR pripravuje FAQ (často kladené otázky), neviem kedy sa to zrealizuje, treba sledovať ich stránku.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
Naposledy upravil Richard : 23.06.05 at 07:51
Hľadať v debate
Vladimír Ozimý
ja viem ze sa tu rozobera bezpecnostny projekt ale podla toho co citam mame ocividne problemy co kedy a ako treba registrovat(neberte to ako urazku ale ja sa tam radim a preto si to musim ujasnit). takze ake registracie treba poslat
- ak je firma ktora ma menej ako 5 zamestnancov, ale ma IS(ci uz forma kartoteky alebo tabuliek alebo programu) tak registruje IS a firmu?
- ak je firma ktora ma viac ako 5 registruje len poverenu osobu?
- a ak nema IS ale pracuje s osobnymi udajmi ako napr. som spominal CK, ze ma udaje od klientov na prihlaskach, zoznamy k poistnym zmluvam ale neviedla by si napr. zoznam klientov registruje sa vobec?
Ja mam pocit ze sa odstahujem asi na mars
, lebo cim dlhsie robim v tejto oblasti tym menej jej rozumiem
- ak je firma ktora ma menej ako 5 zamestnancov, ale ma IS(ci uz forma kartoteky alebo tabuliek alebo programu) tak registruje IS a firmu?
- ak je firma ktora ma viac ako 5 registruje len poverenu osobu?
- a ak nema IS ale pracuje s osobnymi udajmi ako napr. som spominal CK, ze ma udaje od klientov na prihlaskach, zoznamy k poistnym zmluvam ale neviedla by si napr. zoznam klientov registruje sa vobec?
Ja mam pocit ze sa odstahujem asi na mars
, lebo cim dlhsie robim v tejto oblasti tym menej jej rozumiem§ 19 ods9: Prevádzkovateľ, ktorý zamestnáva menej ako 6 osôb a nepoveril ZO, je povinný prihlásiť na registráciu tie IS, ktoré podľa § 25 podliehajú registrácii.
§ 25 o.i. hovorí, že povinnosť registrácie sa vzťahuje na všetky IS, v ktorých sa spracúvajú OÚ ÚPLNE alebo ČIASTOČNE automatizovane. Lektorka nám povedala, že ak teda robím všetko iba ručne - na papieri, povinnosť registrácie nemám.
Máš menej ako 5 zamestnancov (rátajú sa iba v TPP), preto nemáš povinnosť registrácie, ale máš povinnosť EVIDENCIE IS!!!
Ak máš viac ako 5 zamestnancov, poveruješ PÍSOMNE zodpovednú osobu alebo zodpovedné osoby, pričom nahlasuješ iba jednu. § 19 ods. 5
Nahlasuješ ju do 30 dní DOPORUČENE na adresu:
Úrad na ochranu osobných údajov SR
Odborárske námestie 3
817 60 Bratislava 15
a to na formulári stiahnutom zo stránky: www pdp.gov.sk
Toto platí, ak si poveril osobu po 01.05.2005.
Ak bola poverená skôr, posielaš iba oznámenie o preškolení ZO (môže byť aj samoštúdium) § 55 ods. 2.
Ty si odkladáš výpis z RT ZO nie starší ako tri mesiace, t.j. február a máš ho po dobu výkonu ZO.
A tá tretia otázka: v závislosti od toho, aké údaje spracúvaš. Napr. tam boli ľudia, ktorí majú hotel, ale od klientov pýtajú iba meno, priezvisko, titul, adresu a ČOP (teda nie RČ), potom nemusia robiť nič. Ak by evidovali aj RČ - čo je "osobitná kategória osobných údajov" (§8), potom je to o inom....
Trochu
som sa rozpísala, ale snáď to niekomu pomôže....
Taaak práve sa tým pomaly prelúskavam... Je to len veľmi stručný bezpečnostný projekt (ale mohol by stačiť ), celé to má len nejakých 12 strán a o bezpečnostných smerniciach je tam reč tak na 2-3 strany. Nie sú nijako osobitne spracované, vlastne len táto časť je rozdelená na:
- všeobecné bezpečnostné ustanovenia
- heslová politika
- zálohovanie osobných údajov
- rozsah zodpovednosti oprávnených osôb, poverenie zodpovednej osoby,
- rozsah oprávnení a popis povolených činností oprávnených osôb, spôsob ich identifikácie a autentifikácie pri prístupe k IS
- používanie antivírusových prostriedkov,
- plán obnovenia funkčnosti počítačového informačného systému
- bezpečnostné pravidlá používania internetu
to je všetko.... Potom som našla ešte spracovanú samostatnú smernicu o antivírusovej ochrane, tá by zrejme mala byť súčasťou bezpečnostného projektu...
Čo si o tom myslíte?
), celé to má len nejakých 12 strán a o bezpečnostných smerniciach je tam reč tak na 2-3 strany. Nie sú nijako osobitne spracované, vlastne len táto časť je rozdelená na:- všeobecné bezpečnostné ustanovenia
- heslová politika
- zálohovanie osobných údajov
- rozsah zodpovednosti oprávnených osôb, poverenie zodpovednej osoby,
- rozsah oprávnení a popis povolených činností oprávnených osôb, spôsob ich identifikácie a autentifikácie pri prístupe k IS
- používanie antivírusových prostriedkov,
- plán obnovenia funkčnosti počítačového informačného systému
- bezpečnostné pravidlá používania internetu
to je všetko.... Potom som našla ešte spracovanú samostatnú smernicu o antivírusovej ochrane, tá by zrejme mala byť súčasťou bezpečnostného projektu...
Čo si o tom myslíte?
nooo ja sa s tým ešte trochu pohrám a samozrejme to tu prilepím (snáď sa mi to podarí ) Čo ale hovoríte na ten zoznam? Vyzerá to byť celkom aj kompletné.. a nevadí, že to nemá každý bod formu samostatnej smernice? Resp. že antivírusová ochrana je spracovaná ako smernica a to ostatné nie?
) Čo ale hovoríte na ten zoznam? Vyzerá to byť celkom aj kompletné.. a nevadí, že to nemá každý bod formu samostatnej smernice? Resp. že antivírusová ochrana je spracovaná ako smernica a to ostatné nie?
Našla som niečo ďalšie ohľadom bezpečnostných smerníc.... toto sa mi vidí viac než len ten prvý zoznam, aj keď je to rozhodne viacej práce...
Na základe popisu možných rizík sa vypracujú bezpečnostné smernice, ktoré budú obsahovať opatrenia na elimináciu rizík. Príklady opatrení, ktoré môže prevádzkovateľ, ktorý prevádzkuje napr. len personálny a mzdový informačný systém, na základe skutkového stavu vypracovať:
Technické smernice určia napr. typy technických zariadení, ktoré je potrebné nakúpiť s určením lehoty, do ktorej sa technické zariadenie má zaobstarať a nainštalovať (zámky, kovový rozraďovač, mreže, guľa, poplašný systém ap.)
Organizačné a personálne smernice, ktorými môžu byť:
- archívny poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov),
- škartačný poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a doplniť o povinnosť okamžitej likvidácie všetkých nepotrebných kópií, ak obsahujú osobné údaje ap.),
- pravidlá na vnútorný obeh dokumentov obsahujúcich osobné údaje (poskytovanie kópií z častí osobného spisu napr. riadiacim pracovníkom),
- pravidlá evidencie dokumentov, ktoré podliehajú ochrane pri ich poskytovaní formou výpisov, kopírovaním, poskytnutím originálu,
- požiarny a havarijný plán,
- vnútorné smernice o manipulácii s kľúčmi,
- vnútorné smernice o práci v automatizovanej časti informačného systému (realizácia záložných kópií s určením lehôt, tvorba hesiel, ukladanie strojom čitateľných médií – záloh, poskytovania kópií záznamov na strojom čitateľnom médiu ap.),
- poučenie oprávnených osôb o povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov v nadväznosti, a pod. .
Na základe popisu možných rizík sa vypracujú bezpečnostné smernice, ktoré budú obsahovať opatrenia na elimináciu rizík. Príklady opatrení, ktoré môže prevádzkovateľ, ktorý prevádzkuje napr. len personálny a mzdový informačný systém, na základe skutkového stavu vypracovať:
Technické smernice určia napr. typy technických zariadení, ktoré je potrebné nakúpiť s určením lehoty, do ktorej sa technické zariadenie má zaobstarať a nainštalovať (zámky, kovový rozraďovač, mreže, guľa, poplašný systém ap.)
Organizačné a personálne smernice, ktorými môžu byť:
- archívny poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov),
- škartačný poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a doplniť o povinnosť okamžitej likvidácie všetkých nepotrebných kópií, ak obsahujú osobné údaje ap.),
- pravidlá na vnútorný obeh dokumentov obsahujúcich osobné údaje (poskytovanie kópií z častí osobného spisu napr. riadiacim pracovníkom),
- pravidlá evidencie dokumentov, ktoré podliehajú ochrane pri ich poskytovaní formou výpisov, kopírovaním, poskytnutím originálu,
- požiarny a havarijný plán,
- vnútorné smernice o manipulácii s kľúčmi,
- vnútorné smernice o práci v automatizovanej časti informačného systému (realizácia záložných kópií s určením lehôt, tvorba hesiel, ukladanie strojom čitateľných médií – záloh, poskytovania kópií záznamov na strojom čitateľnom médiu ap.),
- poučenie oprávnených osôb o povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov v nadväznosti, a pod. .
Roman.S
Bendži, ja tu mám nejaký dokument so zoznamom smerníc, ktoré by mal obsahovať personálny a mzdový systém :
* technické smernice - (?)
* organizačné a personálne smernice - archívny poriadok, škartačný poriadok, pravidlá na vnútorný obeh dokumentov, požiarny a havarijný plán, vnútorné smernice o manipulácií s kľúčmi, vnútorné smernice o práci v automatiz.časti IS (PC IS), smernica o poučení opráv.osôb
* technické smernice - (?)
* organizačné a personálne smernice - archívny poriadok, škartačný poriadok, pravidlá na vnútorný obeh dokumentov, požiarny a havarijný plán, vnútorné smernice o manipulácií s kľúčmi, vnútorné smernice o práci v automatiz.časti IS (PC IS), smernica o poučení opráv.osôb
marta27
immonaut
Bezpečnostné smernice a samozrejme aj samotny projekt by sa mali riadiť slovenskými technickými normami z oblasti informačnej bezpečnosti, a to: STN ISO/IEC 17799 Kódex praxe riadenia informačnej bezpečnosti a STN ISO/IEC TR 13335-1 Informačné technológie - Návod na manažérstvo bezpečnosti IT. Tieto normy nie sú povinné, sú odporúčaním, ale sú jediné, ktoré sú u nás prebraté z ISO noriem a platné pre oblasť ochrany údajov a informačnej bezpečnosti.
Sleduj porady, ktoré by vás mohli zaujímať
Podobné témy
- Príspevkov: 49, Posledný príspevok: 27.09.12
- Príspevkov: 1219, Posledný príspevok: 08.11.11
- Príspevkov: 12, Posledný príspevok: 10.01.07
- Príspevkov: 11, Posledný príspevok: 12.11.05
- Príspevkov: 18, Posledný príspevok: 08.04.05
Ako prispievať do debát
Zoznámte sa s novými pravidlami.Otázky nezadávajte do debát.
- sú v rámci debaty stratené
- nedajú sa dostatočne ľahko dohľadať
- majú menej odpovedí
- odpovede sa miešajú s debatou
Debaty slúžia na voľnú diskusiu.
Pokračovať v diskusii
Copyright © PORADA.sk, s.r.o. - žiadna časť stránky nemôže byť rozširovaná, alebo reprodukovaná bez predchádzajúceho súhlasu
