a nemohla by si mi ho prosim ta poslat na mail julia.n@centrum.sk,aby som videla aspon vzor ako to ma vyzerat,diky moc

<o:p> </o:p>
<o:p> </o:p>V tomto príspevku sa pokúsime ozrejmiť problematiku ochrany osobných údajov.<o:p></o:p>
<o:p> </o:p>
Ochrana osobných údajov.<o:p></o:p>
Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe (Ústava Slovenskej republiky, čl. 19 ods. 3).<o:p></o:p>
<o:p> </o:p>
Legislatívny rámec. <o:p></o:p>
Ochrana osobných údajov patrí do oblasti základných ľudských práv a slobôd. Je garantovaná Ústavou SR v čl. 22. Od 1. septembra 2002 platí v Slovenskej republike zákon č. 428 o ochrane osobných údajov v platnom znení. Vydanie novej právnej úpravy vychádza aj z potreby zosúladiť náš právny poriadok s právnym poriadkom štátov Európskej únie, ako aj s platnými dokumentmi vydanými v rámci Rady Európy. Sú to najmä dohovor Rady Európy o ochrane jednotlivca pri automatizovanom spracovaní osobných údajov č. 108 z 21. januára 1981, odporúčania Rady Európy č. R/83/0 o ochrane osobnosti pri štatistickom spracovávaní dát, usmernenie Európskeho spoločenstva pre európske parlamenty k ochrane osobnosti pri spracovávaní osobných dát a výmene dát č. 95/C 93 z 20. februára 1995. <o:p></o:p>
<o:p> </o:p>
Zmyslom zákona č. 428/2002 Z. z. je chrániť práva a slobodu každého, koho osobné údaje sa na našom území spracovávajú, alebo sa majú spracúvať v zahraničí. Účelom tohto zákona je predovšetkým ochrana osobnosti všetkých fyzických osôb a tiež zavedenie právneho poriadku do oblasti používania informačných systémov. Kladie si za cieľ predovšetkým chrániť osoby poskytujúce údaje do informačných systémov v Slovenskej republike tak, aby sa ich osobné údaje využívali len na tie účely, na ktoré ich osoba poskytla, a to či už na základe zákona, alebo dobrovoľne. Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu (§ 3 zákona).<o:p></o:p>
<o:p> </o:p>
Tento zákon umožňuje občanom Slovenskej republiky slobodne sa rozhodnúť o poskytnutí svojich osobných údajov prevádzkovateľom informačných systémov na isté konkrétne účely, ktorým má informačný systém slúžiť, v záujme predpokladaného okruhu používateľov informačného systému. Na zabezpečenie ochrany osobných údajov v informačných systémoch sa vyžaduje centrálna a zároveň verejne prístupná registrácia. Cieľom takejto registrácie nie je snaha zamedziť rozvoj alebo využívanie informačných systémov, ale naopak, získať prehľad tak verejnosti, ako aj, a to najmä, dotknutej osoby o tom, kto prevádzkuje takéto informačné systémy a ako sa zabezpečuje ich ochrana. Zákon č. 428/2002 stanovuje, že za bezpečnosť osobných údajov zodpovedá prevádzkovateľ informačného systému. <o:p></o:p>
Tento zákon prikazuje prevádzkovateľom informačných systémov prijať také technické, organizačné a personálne opatrenia, aby sa predišlo ich strate, poškodeniu alebo odcudzeniu. Opatrenia, ktoré je prevádzkovateľ informačného systému povinný prijať na základe platnosti zákona o ochrane osobných údajov, je zároveň tiež povinný zdokumentovať v bezpečnostnom projekte, ktorý musí byť k dispozícii k nahliadnutiu na požiadanie Úradu na ochranu osobných údajov vo forme a štruktúre predpísanej zákonom o ochrane osobných údajov.<o:p></o:p>
<o:p> </o:p>
Povinnosti prevádzkovateľov informačných systémov.Za bezpečnosť osobných údajov, ktoré sú zvyčajne spracúvané na pamäťových médiách vrátane technických nosičov údajov, zodpovedá prevádzkovateľ a sprostredkovateľ, ktorý spracováva alebo poskytuje osobné údaje (personalistika, mzdy, evidencia návštev, recepcia…) tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. <o:p></o:p>
<o:p> </o:p>
Na tento účel prijme primerané <o:p></o:p>
a) technické,<o:p></o:p>
b) organizačné,<o:p></o:p>
c) personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.<o:p></o:p>
<o:p> </o:p>
Ide najmä o tieto opatrenia:<o:p></o:p>
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti spracúvajú;<o:p></o:p>
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti zhromaždené;<o:p></o:p>
c) evidencia a najmä registrácia informačných systémov;<o:p></o:p>
d) určenie okruhu osôb, ktorým sa povolí spracúvať osobné údaje;<o:p></o:p>
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú spracúvať osobné údaje v zmysle zákona;<o:p></o:p>
f) určenie priestorov, kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;<o:p></o:p>
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti;<o:p></o:p>
h) prijatie adekvátnych opatrení na ochranu osobných údajov formou „Bezpečnostného projektu informačného systému“ na ochranu osobných údajov (ďalej len "bezpečnostný projekt"). <o:p></o:p>
<o:p> </o:p>
V zmysle § 55 ods. 8 zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej ako „zákon č. 428/2002 Z.z.“) prevádzkovatelia už fungujúcich informačných systémov, sú povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005. Táto prechodná lehota sa týka zmien, ktoré priniesla novela č. 90/2005 Z.z., účinná od 01.05.2005. Zmeny sa týkajú aj povinnosti vypracúvať bezpečnostný projekt, registrácie informačných systémov, osobitnej registrácie informačných systémov ako aj povinnosti poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov.<o:p></o:p>
<o:p> </o:p>
Treba predovšetkým zdôrazniť, že:<o:p></o:p>
- bezpečnostný projekt, <o:p></o:p>
- registrácia informačných systémov, resp. osobitná registrácia informačných systémov ako aj <o:p></o:p>
- zodpovedná osoba <o:p></o:p>
sú tri odlišné, takmer nesúvisiace inštitúty, upravené samostatne vždy na inom mieste zákona č. 428/2002 Z.z.<o:p></o:p>
<o:p> </o:p>
V zmysle § 15 ods. 1 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný chrániť osobné údaje pred ich náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Iba v prípadoch podľa § 15 ods. 2 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný prijať tieto opatrenia (a vypracovať alebo zabezpečiť vypracovanie) vo forme bezpečnostného projektu informačného systému (ďalej len "bezpečnostný projekt") ak:<o:p></o:p>
<o:p> </o:p>
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-comffice:smarttags" /><st1:metricconverter w:st="on" ProductID="8 a">8 a</st1:metricconverter> informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,<o:p></o:p>
<o:p> </o:p>
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ vypracuje (alebo zabezpečí vypracovanie) len bezpečnostné smernice,<o:p></o:p>
<o:p> </o:p>
c) informačný systém slúži na zabezpečenie verejného záujmu.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>Z uvedeného je zrejmé, že bezpečnostný projekt, prípadne bezpečnostné smernice nemusí vypracúvať každý prevádzkovateľ, ale iba ten, kto spĺňa podmienky uvedené aspoň pod jedným písmenom.<o:p></o:p>
<o:p> </o:p>Vypracovaný bezpečnostný projekt, resp. bezpečnostná smernica sa nezasiela na Úrad na ochranu osobných údajov SR; zostáva u prevádzkovateľa. Úrad si ich vyžiada pri kontrole, tzn. ich predloženie prichádza do úvahy až na základe jeho vyžiadania.<o:p></o:p>

Bezpečnostná politika IT a bezpečnostný projekt<o:p></o:p>

<o:p> </o:p>

Bezpečnostná politika informačných systémov a informačných technológií je dokumentom, ktorý obecne určuje základné pravidlá bezpečnosti informačného systému, upresňuje obecnú bezpečnostnú politiku celej organizácie pre oblasť automatizovaného spracovania informácií. Návrh bezpečnostnej politiky IT je súčasťou Bezpečnostného projektu ochrany osobných údajov.<o:p></o:p>
<o:p> </o:p>
Za bezpečnosť osobných údajov v spoločnosti) zmysle zákona [1] zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.<o:p></o:p>
<o:p> </o:p>
Ide najmä o tieto opatrenia:<o:p></o:p>
<o:p> </o:p>
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti (organizácii) spracúvajú;<o:p></o:p>
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti (organizácii) zhromaždené;<o:p></o:p>
c) evidencia a najmä registrácia informačných systémov v spoločnosti (organizácii);<o:p></o:p>
d) určenie okruhu osôb, ktorým sa povolí v spoločnosti (organizácii) spracúvať osobné údaje;<o:p></o:p>
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú v spoločnosti (organizácii) spracúvať osobné údaje v zmysle zákona;<o:p></o:p>
f) určenie priestorov v spoločnosti (organizácii), kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;<o:p></o:p>
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti (organizácii).<o:p></o:p>
h) Spracovanie bezpečnostného projektu na ochranu osobných údajov informačných systémov.<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>Bezpečnostný projekt na ochranu osobných údajov informačných systémov sa vypracovava v zmysle platnej legislatívy[2]<SUP></SUP>(ďalej len zákon), v súlade so základnými pravidlami bezpečnosti informačných systémov, vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.<o:p></o:p>
<o:p> </o:p>
Bezpečnostný projekt na ochranu osobných údajov informačných systémov je dokumentom, ktorý obecne určuje :<o:p></o:p>
a) základné pravidlá bezpečnosti, <o:p></o:p>
b) upresňuje obecnú bezpečnostnú politiku pre oblasť automatizovaného a neautomatizovaného spracovania informácií,<o:p></o:p>
c) na základe analýzy rizík hodnoteného systému rieši optimálny spôsob zabezpečenia ochrany s ohľadom tak na každý jednotlivý prvok systému, ako aj na systém ako celok. <o:p></o:p>
<o:p> </o:p>
Bezpečnostný projekt na ochranu osobných údajov informačných systémov zohľadňuje špecifické vlastnosti, poslanie a druh chránených informačných systémov a vymedzuje [3] rozsah a spôsob opatrení či už technických, organizačných a personálnych na elimináciu, alebo minimalizovanie prípadných hrozieb a rizík na informačné systémy zavedené v spoločnosti (organizácii) a (ne)registrované na úrade pre ochranu osobných údajov (ďalej len úrad). <o:p></o:p>
<o:p> </o:p>
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačných systémov v spoločnosti (organizácii), pred ohrozením jeho bezpečnosti. <o:p></o:p>
<o:p> </o:p>
Spoločnosť (organizácia) vo svojom zadaní stanovuje základné ciele bezpečnosti osobných údajov, ktoré sú spracúvané v automatizovaných i neautomatizovaných informačných systémoch v spoločnosti (organizácii).<o:p></o:p>
<o:p> </o:p>
Bezpečnostný projekt obsahuje:<o:p></o:p>
a) základné bezpečnostné ciele potrebné dosiahnuť na ochranu informačných systémov (ďalej len IS) pred ohrozením jeho bezpečnosti,<o:p></o:p>
b) určenie počiatočného skutkového stavu bezpečnosti IS,<o:p></o:p>
c) špecifikáciu opatrení na ochranu IS a zabezpečenie osobných údajov,<o:p></o:p>
d) vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti,<o:p></o:p>
e) možné zvyškové riziká, odhad, vymedzenie hraníc určujúcich množinu zvyškových rizík,<o:p></o:p>
f) vyhodnotenie podkladov pre bezpečnostný projekt.<o:p></o:p>
<o:p> </o:p>
<o:p></o:p>
ŠTRUKTúRA BezpečnostnéHO projektU:<o:p></o:p>
I. Účel a cieľ <o:p></o:p>
II. Definícia pojmov <o:p></o:p>
III. Bezpečnostný zámer <o:p></o:p>
III.1 Hlavné strategické ciele spoločnosti <o:p></o:p>
III.2 Bezpečnosť spracúvania osobných údajov <o:p></o:p>
IV. Analýza bezpečnosti informačného systému <o:p></o:p>
IV.1 Popis informačného systému <o:p></o:p>
IV.2 Vymedzenie okolia informačného systému <o:p></o:p>
IV.3. Bezpečnostné štandardy <o:p></o:p>
IV.4 Analýza rizík <o:p></o:p>
IV.5 Vymedzenie zvyškových rizík <o:p></o:p>
IV.6 Návrh opatrení <o:p></o:p>
IV.7 Nepokryté riziká <o:p></o:p>
V. Bezpečnostné smernice <o:p></o:p>
VI. Záver <o:p></o:p>
<o:p> </o:p>
bezpečnostný zámer vymedzuje:<o:p></o:p>
analýzu bezpečnosti informačného systémuako podrobný rozbor stavu bezpečnosti informačných systémov obsahujúci kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva IS spôsobilé narušiť jeho bezpečnosť, alebo funkčnosť, pričom výsledkom kvalitatívnej analýzy rizík je :<o:p> </o:p>
a) zoznam aktív IS, <o:p></o:p>
b) analýza a kvantifikácia možných ohrození a rizík, <o:p></o:p>
c) zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, <o:p></o:p>
d) rozsah možného rizika, návrhov opatrení, ktoré eliminujú, alebo minimalizujú vplyv rizík s vymedzením súpisu nepokrytých rizík, <o:p></o:p>
e) návrhy na minimalizáciu a elimináciu nežiaducich vplyvov a rizík, <o:p></o:p>
f) použitie bezpečnostných štandardov na ochranu,<o:p></o:p>
g) posúdenie zhody použitých bezpečnostných opatrení s bezpečnostnými štandardmi,<o:p></o:p>
h) systém hodnotenia zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami,<o:p></o:p>
i) vyhodnotenie zhody navrhnutých bezpečnostných opatrení podľa jednotlivých opatrení.<o:p></o:p>
<o:p> </o:p>
bezpečnostné smernice upresňujúce a aplikujúce závery vyplývajúce z bezpečnostného projektu na podmienky prevádzkovaných informačných systémov hotela pričom obsahujú :<o:p> </o:p>
a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,<o:p></o:p>
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k IS,<o:p></o:p>
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov [4],<o:p></o:p>
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti IS,<o:p></o:p>
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách, vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.<o:p></o:p>
<o:p> </o:p>
<o:p></o:p>

Približný rámcový rozsah bezpečnostného projektu ochrany osobných údajov v informačných systémoch <o:p></o:p>

<o:p> </o:p>

<o:p> </o:p>

<o:p></o:p>

• Smernica konateľa (RIADITEľA)<o:p></o:p>
• Bezpečnostný projekt
• Prílohy k projektu<o:p></o:p>
• Doložky k projektu<o:p></o:p>

<o:p> </o:p><o:p> </o:p>
1. Úvodné ustanovenia<o:p></o:p>

ÚČEL DOKUMENTU BEZPEČNOSTNÉHO PROJEKTU<o:p></o:p>

Rozsah a účel spracúvania osobných údajov<o:p></o:p>

Zodpovednosť za bezpečnosť osobných údajov<o:p></o:p>

<o:p> </o:p>

2. DEFINÍCIA POJMOV <o:p></o:p>

Základná terminológia obsiahnutá v zákone<o:p></o:p>

Základná terminológia obsiahnutá v STN<o:p></o:p>

<o:p></o:p>

3. BEZPEČNOSTNÝ ZÁMER <o:p></o:p>

Identifikácia subjektu <o:p></o:p>

Základné identifikačné údaje spoločnosti<o:p></o:p>

Opis budovy (sídla spoločnosti)<o:p></o:p>

Rozmiestnenie kancelárií<o:p></o:p>

ZÁKLADNÉ BEZPEČNOSTNÉ CIELE a BEZPEČ. opatrenia SPOLOČNOSTI<o:p></o:p>

Stanovenie základných bezpečnostných cieľov spoločnosti <o:p></o:p>

Stanovenie minimálnych bezpečnostných opatrení<o:p></o:p>

Určenie POČIATOČNého SKUTKOVého STAVu BEZPEČNOSTI IS<o:p></o:p>

Manipulácia s údajmi v spoločnosti<o:p></o:p>

Špecifikácia informačných systémov <o:p></o:p>

Špecifikácia technických prostriedkov <o:p></o:p>

Určenie technických prostriedkov pre spracúvanie osobných údajov <o:p></o:p>

Určenie užívateľov ako oprávnených osôb<o:p></o:p>

Využitie technických prostriedkov a úroveň oprávnenia užívateľov<o:p></o:p>

Implementácia povinností vyplývajúcich zo zákona pre spoločnosť <o:p></o:p>

Špecifikácia OPATRENÍ NA OCHRANU IS A ZABEZPečenie Os. ÚDAJOV<o:p></o:p>

Špecifikácia technických opatrení<o:p></o:p>

Špecifikácia personálnych opatrení<o:p></o:p>

Špecifikácia organizačných opatrení<o:p></o:p>

VYMEDZENIE OKOLIA IS a jeho vzťah k možnému narušeniu bezpečnosti<o:p></o:p>

Okolie IS tvorené ľuďmi a možnosti narušenia bezpečnosti<o:p></o:p>

Okolie IS tvorené prostredím a možnosti narušenia bezpečnosti<o:p></o:p>

Okolie IS tvorené inými faktormi a možnosti narušenia bezpečnosti<o:p></o:p>

MOŽNÉ ZVYŠKOVÉ RIZIKÁ – ODHAD, VYMEDZENIE hraníc určujúcich množinu zvyškových rizík<o:p></o:p>

VYHODNOTENIE PODKLADOV PRE SPRACOVANIE BEZPeč. PROJEKTU<o:p></o:p>

<o:p> </o:p><o:p></o:p>

4. Analýza bezpečnosti informačného systému <o:p></o:p>

RIZIKÁ NARUŠENIA FUNKČNOSTI A BEZPečnosti AKTÍV IS<o:p></o:p>

ZOZNAM AKTÍV INFORMAČNÝCH SYSTÉMOV<o:p></o:p>

ANALÝZA A KVANTIFIKÁCIA MOŽNÝCH OHROZENÍ A RIZÍK<o:p></o:p>

NÁVRHY NA MINIMALIZÁCIU A ELIMINÁCIU NEŽIADUCICH VPLYVOV RIZÍK<o:p></o:p>

Návrhy na elimináciu nežiadúcich rizík v automatizovaných IS<o:p></o:p>

Návrhy na elimináciu nežiadúcich rizík v neautomatizovaných IS <o:p></o:p>

Zoznam nepokrytých rizík <o:p></o:p>

POUŽITIE BEZPEČNOSTNÝCH ŠTANDARDOV NA OCHRANU IS <o:p></o:p>

Posúdenie ZHODy POUŽITÝCH BEZP. OPATRENÍ S BEZP. ŠTANDARDMI<o:p></o:p>

SYSTÉM HODNOTENIA ZHODY <o:p></o:p>

VYHODNOTENIE ZHODY PODĽA JEDNOTLIVÝCH OPATRENÍ <o:p></o:p>

SUMÁRNE ZHODNOTENIE <o:p></o:p>

<o:p> </o:p>

5. BEZPEČNOSTNÉ SMERNICE BEZPEČNOSTNÉho PROJEKTU<o:p></o:p>

POPIS OPATRENÍ PRE KONKRÉTNE PODMIENKY<o:p></o:p>

Technické opatrenia, manipulácia s technickými prostriedkami<o:p></o:p>

Organizačné opatrenia<o:p></o:p>

Personálne opatrenia<o:p></o:p>

ROZSAH OPRÁVNENÍ A POPIS POVOLENÝCH ČINNOSTÍ<o:p></o:p>

Rozsah oprávnení<o:p></o:p>

Povolené činnosti<o:p></o:p>

Spôsob identifikácie a autentizácie pri prístupe k IS<o:p></o:p>

ROZSAH ZODPOVEDNOSTI<o:p></o:p>

Oprávnené osoby <o:p></o:p>

Osoba zodpovedná za dohľad nad ochranou osobných údajov<o:p></o:p>

KONTROLNÁ ČINNOSŤ <o:p></o:p>

Spôsob vykonávania kontrolnej činnosti<o:p></o:p>

Forma vykonávania kontrolnej činnosti<o:p></o:p>

POSTUPY PRI MIMORIADNYCH SITUÁCIÁCH <o:p></o:p>

<o:p> </o:p>

6. prílohy a doložky k bezp. projektu, POUŽITÁ LITERATÚRA<o:p></o:p>

<o:p></o:p>
7. PRÍLOHY ( špecifikované podľa konkrétneho subjektu) napr.:<o:p></o:p>

Smernica pre zodpovednú osobu pri používaní technických prostriedkov informačného systému určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti.<o:p></o:p>

Smernica pre administrátora automatizovaných informačných systémov určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti. <o:p></o:p>

Smernica prevádzka a informačná bezpečnosť informačného systému.<o:p></o:p>

Smernica o fyzickej bezpečnosti a bezpečnosti prostredia.<o:p></o:p>

Smernica určujúca postup pri zistení bezpečnostného incidentu.<o:p></o:p>

Smernica o bezpečnom používaní externých služieb(outsourcing).<o:p></o:p>

Smernica zásady určujúce riadenie prístupu tretích strán k prostriedkom a zdrojom IS a iné...<o:p></o:p>

<o:p></o:p>
8. doložky napríklad:<o:p></o:p>

Doložka o oboznámení s bezpečnostným projektom.<o:p></o:p>

Zoznam PC a ich konfigurácia - Určenie technických prostriedkov pre spracúvanie osobných údajov. <o:p></o:p>

Návod, odporúčania a vzor vyplnenia registračného formulára informačného systému podľa § 25, § 26, § <st1:metricconverter w:st="on" ProductID="27 A">27 a</st1:metricconverter> § 28 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.<o:p></o:p>

Opis technický prostriedkov (Zoznam osobných počítačov a ich konfigurácia pre spracúvanie osobných údajov).<o:p></o:p>

Poverenie zodpovednej osoby v zmysle § 19 ods. 2 zákona č.428/2002.<o:p></o:p>

Určenie oprávnených osôb.<o:p></o:p>

Poučenie o povinnostiach pracovníkov - oprávnených osôb spoločnosti, oboznámenie s Bezpečnostným projektom a Smernicou o ochrane osobných údajov v zmysle § 17 ods. 2 zákona č. 428/2002.<o:p></o:p>

Mlčanlivosť.<o:p></o:p>

Zákonné ustanovenia týkajúce sa mlčanlivosti.<o:p></o:p>

Evidenčný list informačného systému podľa § 26 zákona č. 428/2002 Z.z. v znení neskorších predpisov.<o:p></o:p>

Mandátna zmluva podľa § 566 Obchodného zákonníka na spracovanie mzdovej agendy.<o:p></o:p>

Dodatok k (mandátnej) zmluve.<o:p></o:p>

Záznam o vykonaných zmenách v bezpečnostnom projekte. <o:p></o:p>

Súhlas so zaradením údajov do databázy <o:p></o:p>

Poučenie tretích strán o právach a povinnostiach ustanovených zákonom č.428/2002 Z.z. a iné<o:p></o:p>


<HR align=left width="33%" SIZE=1>[1]§ 15 ods. 1 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov.<o:p></o:p>

[2]zákon č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.<o:p></o:p>

[3]podľa ust.§16 zák. č.428/2002 Z.z. v znení neskorších predpisov<o:p></o:p>

[4]§ 19 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.<o:p></o:p>
<o:p></o:p>


</o:p>Úrad na ochranu osobných údajov môže uložiť v zmysle zákona vysoké finančné sankcie za porušenie zákona - až do 10 miliónov korún. Vzhľadom k zložitosti odporúčame vypracovanie projektu, či smernice ponechať do rúk odborníkov.


Kontakt:
- tel.: +421 903 94 62 47, e-mail: kolmar_group@centrum.sk
Kontakt na JURIS:
- +421-910123987, Fax: +421-337744032, e-mail: hecko-juris@stonline.sk

Autor je odborný konzultant celosvetovo pôsobiacich firiem zaoberajúcich sa manažmentom kvality, certifikáciou a.p. BUREAU VERITAS a BVQI, firmy JUDr. Hečko - JURIS a pôsobí ako expert v oblasti ochrany osobných údajov, bezpečnosti IT a TP, ochrany utajovaných skutočností, <o:p></o:p>
krízového manažmentu a správy registratúry<o:p></o:p>

agentúra tempo organizuje školenia - má široké spektrum, jedným z nich je aj o ochrane osobných údajov. absolvovala som ho

Dobry den. Prosim o radu, lebo sa nevyznam. Sme firma s poctom zamestnancov viac ako 5. Personalistiku a mzdy vedieme v elektronickej forme, aktualizacie si priebezne stahujeme cez internet. Ziadne ine zoznamy a osobne udaje nevedieme. Sme povinni mat aj bezpecnostny projekt, alebo nam staci registrovat osobu zodpovednu za ochranu os. ud.?
Citala som ze IS ktore spracuvaju mzdy ci personalistiku, su upravene osobitnym zakonom ( o zdravotnom a socialnom poisteni, alebo ZP ), preto podla zakona o ochrane os.ud. nepodliehaju povnnosi registracie, a v inom clanku som citala, ak su uvedene udaje prepojene s internetom, registracia je povinna. Vobec sa v tom nevyznam, vopred dakujem za kazdu odpoved.

rennka.. počet zamestnancov viac ako päť znamená povinnosť nahlásiť zodpovednú osobu na úrad na ochranu osobných údajov (§19 zákona).. personalistika mzdy v elektronickej forme, súčasne pripojená do siete internet znamená povinnosť bezpečnostného projetku (§15 ods. 2 písm. a).. a k povinnosti registrácie: ak nahlásite zodpovednú osobu, IS už nemusíte registrovať (§25 ods. 2 písm. b)

Milá capeva nemohla by si aj mne zaslať ten tvoj projekt, lebo ja si s ním neviem rady na olganinisova@zoznam.sk

Milá OSIMKA, ak ti môžem doporučiť zadaj tvorbu bezpečnostného projektu tomu, kto má s touto problematikou skúsenosti najmä ak si prevádzkovateľom alebo zodpovednou osobou. Ak máš bezpečnostný projekt vypracovaný iba formálne a nie je šitý presne na podmienky vašej firmy pokutu z Úradu možno nedostaneš ale čo urobíš ak niekto bude požadovať náhradu škody za únik osobných údajov resp. za ich neoprávnené používanie alebo zneužitie. Čím sa potom obhájiš na súde? Formálnym projektom? Alebo na základe čoho uplatníš postih u osoby, ktorá únik informácií zavinila? Na základe formálnej smernice alebo projektu? A čo urobíš ako zodpovedná osoba? Veď zodpovedná osoba je zodpovedná práve za to, že bezepčnostný projekt bude vypracovaný na požadovanej odbornej úrovni. Neoplatí sa šetriť na nesprávnom mieste.

Prosím Vás o radu. Hľadám firmu ktorá nám vypracuje bezpečnostný projekt. Sme malá firma ktorá má 6 zamestnancov a ich pocet v roku 2008 urcite neprekrocí 10. Prisla mi cenová ponuka na BP od firmy z PB na sumu 13000 ,-bez DPH. Zdá sa mi táto suma príliš veľká. Vie mi niekto poradit firmu ktorá BP urobí tak ako má byť a za rozumnejšiu cenu alebo je táto cena bežná? Ďakujem

Hľadám firmu ktorá nam vypracuje bezpecnostny projekt. Cenovu ponuku mam od spolocnosti z PB na sumu 13000,-Sk. Zdá sa mi tato suma prilis vysoka. Moze mi niekto poradit firmu ktora vypracuje BP za rozumnejsiu sumu alebo je tato suma primerana? Sme mala firma ktora ma 6 zamestnancov a v r. 2008 ich pocet neprekroci 10. Dakujem

Sme malá firma ktora ma 6 zamestnancov. Hladam firmu ktora nam vypracuje bezpecnostny projekt. Dostala som cenovu ponuku od firmy na sumu 13000,-Sk. Tato suma s mi zda prehnana. Moze mi niekto poradit firmu ktora dokaze vypracovat BP za rozumnejsiu sumu alebo je takato cena v poriadku

Prepacte, ale nejako mi zblbol net, zakazdym ma to vyhodilo zo stránky a nakoniec som svoju otazku zadala 3 krat.

Anaman, dakujem. Dostala som uz aj cenovu ponuku a je super.

Zdravim Vás,

mal by som menšiu prosbu na všetkých zúčastnených tu v tejto téme. Mám vypracovať bezpečnostbý projekt IS, no bol by som rád kebz sa najde nejaká dobrá duša a dala bz mi do neho nahliadnuť ako to má vyzerať a tak...
Je to možné??
Dik...

Ja som si jeden našla v Dokumentoch - Ochrana osobných údajov. Skús, možno nájdeš aj ty taký, ktorý ti bude vyhovovať.

No tam som pozeral,ale ani jeden nie je velmi vyhovujuci. Su tam len urcite casti,ale potreboval by som ho ako celok..takze ak by sa nieco naslo,staci len k nahliadnutiu,aby som vedel co a ako mam robit..bol by som vdacny

Dobrý deň! Chcela by som Vás poprosiť o kontakt na nejakú firmu, ktorá vypracuje bezpečnostný projekt. Najlepšie z okolia Zvolena a Banskej Bystrice. Ďakujem

Posúvam.

Dobrý deň,vie mi niekto poradit,idem byť v pozici SZČO-sprostretkovateľ(mzdova učtovnička-externa), na spracovánie miezd pre prevadzkovateľov -FO,ktorí majú do 5 zamestnancov,alebo iný aj nad 5 zamestnancov. Aké sú moje povinnosti ,čo sa týka OOÚ voči úradu z mojej srany a prípadne z ich strany? Pracujem s IS v PC a pre socialnú poistovnu nad 10zamestnancov musim podavat elektronicky výkazy, takže mám napojenie na internet. Na školeni bolo povedané ,že sprostretkovaťel nemože byť zodpovedná osoba!Ja to tak?

Ja mozem odporucit spolocnost proinside. Inak sa mi pacia prispevky sme mala spolocnost, vypracujte nam bezp. projekt za facku... mozno sa aj najde firma, co Vam vam posle dotaznik na zaklade coho Vam posle "projekt" . Ale skuste si ten projekt obhajit pred uradom... alebo je firma, ktora vam da projekt povedzme za 200 eur ale v nom vam ako opatrenie da kupu HW ktory vyraba len tato spolocnost za 1000 eur... dobre vypracovanie projktu si ziadna podstatne hlbsiu analyzu. Velakrat sa nam stalo, ze klient ziadal len malicky projekt, vsak on nema takmer nikde osobne udaje... po analyze zistil, ze toho, kde sa mu tie udaje nachadzaju je ovela viac... a velky zavod, napr. vyrobmi moze mat podstatne menej narocny projekt ako zivnostnik, ktory vykonava napr. poistneho agenta...

Viete mi, prosím, zodpovedať moje otázky?
1. Spoločnosť má zamestnaného len jediného dohodára, ktorý vykonáva práce doma na svojom PC. Musíme vypracovať bezp. projekt?
2. Bude postačovať, keď bude preškolený iba samoštúdiom konateľ spoločnosti a oboznámi s bezp. projektom uvedeného dohodára?
3. Čo všetko je potrebné nahlásiť na Úrad?
Ďakujem veľmi pekne!