Vyhláška č. 164/2013 Z. z.Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení

(v znení č. 117/2014 Z. z.)

Čiastka 40/2013
Platnosť od 26.06.2013
Účinnosť od 01.05.2014
01.07.2013

164

01.07.2013

VYHLÁŠKA

01.07.2013

Úradu na ochranu osobných údajov Slovenskej republiky

01.07.2013

z 13. júna 2013

01.07.2013

o rozsahu a dokumentácii bezpečnostných opatrení

01.07.2013

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 20 ods. 3 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:


01.07.2013

§ 1

01.07.2013

(1) Rozsah primeraných technických, organizačných a personálnych opatrení (ďalej len „bezpečnostné opatrenia“) musí zodpovedať konkrétnym podmienkam spracúvania osobných údajov v informačnom systéme osobných údajov (ďalej len „informačný systém“) a bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.

01.05.2014

(2) Pri prijímaní bezpečnostných opatrení prevádzkovateľ rozlišuje medzi použitím automatizovaných a iných ako automatizovaných prostriedkov spracúvania osobných údajov. Pri automatizovaných prostriedkoch spracúvania osobných údajov prevádzkovateľ prostredníctvom bezpečnostných opatrení zabezpečí odolnosť automatizovanej časti informačného systému proti škodlivým kódom (napríklad počítačový vírus) a nežiaducim modifikáciám informačného systému, ako aj pravidelné a bezpečné zálohovanie spracúvaných osobných údajov.

01.07.2013

(3) Prijatím bezpečnostných opatrení prevádzkovateľ neoprávneným osobám znemožní akýkoľvek nedovolený prístup k spracúvaným osobným údajom, manipuláciu s technickými zariadeniami určenými na spracúvanie osobných údajov alebo na ich ochranu a manipuláciu s nosičmi osobných údajov a oprávneným osobám zabezpečí prístup k osobným údajom v rozsahu potrebnom na plnenie ich povinností alebo úloh obsiahnutých v poučení podľa § 21 zákona.

01.07.2013

§ 2

01.07.2013

(1) Dokumentácia prijatých bezpečnostných opatrení (ďalej len „dokumentácia“) popisuje celý proces spracúvania osobných údajov od ich získavania po ich likvidáciu; obsah dokumentácie sa zhoduje so skutočným stavom pri spracúvaní osobných údajov.

01.05.2014

(2) Bezpečnostné opatrenia musia byť zdokumentované prehľadne a jednoznačne. Dokumentácia podľa § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované;1) v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5.

01.05.2014

§ 3

01.05.2014

Pri prijímaní a dokumentovaní bezpečnostných opatrení sa primerane použijú najmä bezpečnostné opatrenia uvedené v prílohe. Pri určovaní rozsahu bezpečnostných opatrení prevádzkovateľ postupuje pred začatím spracúvania osobných údajov, ako aj v priebehu ich spracúvania podľa § 1.

01.05.2014

§ 4

01.05.2014

Obsah bezpečnostných opatrení podľa § 19 ods. 1 zákona, ak prevádzkovateľ nepostupuje podľa § 19 ods. 2 zákona, zodpovedá rozsahu prijatých bezpečnostných opatrení podľa § 3 a preukazuje sa napríklad popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch.

01.07.2013

§ 5

01.05.2014

(1) Bezpečnostný projekt informačného systému (ďalej len „bezpečnostný projekt“) podľa § 19 ods. 2 zákona obsahuje

01.07.2013

a) názov informačného systému, na ktorý sa vzťahuje,

01.07.2013

b) bezpečnostný zámer,

01.07.2013

c) analýzu bezpečnosti informačného systému,

01.05.2014

d) závery vyplývajúce z písmen b) a c).

01.07.2013

(2) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu osobných údajov pred ohrozením ich bezpečnosti. Bezpečnostný zámer obsahuje

01.07.2013

a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,

01.07.2013

b) špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ochrany osobných údajov v infomačnom systéme a spôsob ich využitia,

01.07.2013

c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti informačného systému,

01.07.2013

d) vymedzenie hraníc určujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpečnostné riziko, ktoré zostane úplne alebo čiastočne nepokryté bezpečnostnými opatreniami z dôvodu, že jeho miera je pre prevádzkovateľa akceptovateľná alebo ju nie je možné eliminovať vhodnými a efektívnymi bezpečnostnými opatreniami.

01.07.2013

(3) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému s vymedzením rozsahu jeho odolnosti a zraniteľnosti. Analýza bezpečnosti obsahuje najmä kvalitatívnu analýzu rizík tvorenú

01.07.2013

a) identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto aktíva, identifikácii zraniteľností zneužiteľných hrozbami a na identifikácii dopadov na aktíva v dôsledku straty dôvernosti, integrity a dostupnosti,

01.07.2013

b) analýzou a ohodnotením rizík založených na určení dopadov, ktoré môžu vyplynúť zo zlyhania bezpečnosti,

01.07.2013

c) určením reálnej pravdepodobnosti výskytu zlyhania bezpečnosti a odhadom úrovne rizík vymedzujúcim, či je riziko akceptovateľné alebo vyžaduje prijatie ďalších opatrení za využitia vopred určených kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní rizika,

01.07.2013

d) identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpečnostných opatrení, vedomým a objektívnym akceptovaním rizík, vyhnutím sa rizikám alebo prenesením súvisiacich rizík na tretie strany,

01.07.2013

e) výberom cieľov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických noriem2) a určením iných metód a prostriedkov ochrany osobných údajov.

01.05.2014

(4) Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému na konkrétne podmienky prevádzkovaného informačného systému obsahujú

01.05.2014

a) popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach,

01.05.2014

b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb; ak to automatizované prostriedky spracúvania osobných údajov umožňujú, prevádzkovateľ na účel spätnej identifikácie osoby, miesta a času zabezpečí zaznamenanie každého vstupu oprávnenej osoby do informačného systému,

01.05.2014

c) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení,

01.05.2014

d) postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych udalostí a možností efektívnej obnovy stavu pred haváriou, poruchou alebo inou mimoriadnou udalosťou.

01.05.2014

(5) Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov.


01.07.2013

§ 6

01.07.2013

Táto vyhláška nadobúda účinnosť 1. júla 2013.


01.07.2013

Eleonóra Kročianová v. r.


01.07.2013

Príloha k vyhláške č. 164/2013 Z. z.

01.07.2013

BEZPEČNOSTNÉ OPATRENIA

01.07.2013

1. Technické opatrenia

01.07.2013

1.1 Technické opatrenia realizované prostriedkami fyzickej povahy

01.07.2013

1.1.1 Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia)

01.07.2013

1.1.2 Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, zábrany v podobe prepážok, mreží alebo presklenia)

01.07.2013

1.1.3 Umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)

01.07.2013

1.1.4 Bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)

01.07.2013

1.1.5 Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)

01.07.2013

1.1.6 Zariadenie na ničenie fyzických nosičov osobných údajov (napr. zariadenie na skartovanie listín)

01.07.2013

1.2 Ochrana pred neoprávneným prístupom

01.07.2013

1.2.1 Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí

01.07.2013

1.2.2 Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza

01.07.2013

1.3 Riadenie prístupu oprávnených osôb

01.07.2013

1.3.1 Identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme

01.07.2013

1.3.2 Zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému

01.07.2013

1.4 Ochrana proti škodlivému kódu

01.07.2013

1.4.1 Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov

01.07.2013

1.4.2 Ochrana pred nevyžiadanou elektronickou poštou

01.07.2013

1.4.3 Používanie legálneho a prevádzkovateľom schváleného softvéru

01.07.2013

1.4.4 Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete

01.07.2013

1.5 Sieťová bezpečnosť

01.07.2013

1.5.1 Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou

01.07.2013

1.5.2 Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej počítačovej siete

01.07.2013

1.5.3 Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (napr. firewall)

01.07.2013

1.5.4 Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam)

01.07.2013

1.5.5 Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok)

01.07.2013

1.6 Zálohovanie

01.07.2013

1.6.1 Test funkcionality dátového nosiča zálohy

01.07.2013

1.6.2 Vytváranie záloh s vopred zvolenou periodicitou

01.07.2013

1.6.3 Test obnovy informačného systému zo zálohy

01.07.2013

1.6.4 Bezpečné ukladanie záloh

01.07.2013

1.7 Likvidácia osobných údajov a dátových nosičov

01.07.2013

1.7.1 Bezpečné vymazanie osobných údajov z dátových nosičov

01.07.2013

1.7.2 Zariadenie na likvidáciu dátových nosičov osobných údajov

01.07.2013

1.8 Aktualizácia operačného systému a programového aplikačného vybavenia

01.07.2013

2. Organizačné opatrenia

01.07.2013

2.1 Personálne opatrenia

01.05.2014

2.1.1 Poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi

01.07.2013

2.1.1.1 Poučenie o právach a povinnostiach vyplývajúcich zo zákona a zodpovednosti za ich porušenie

01.07.2013

2.1.1.2 Vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh

01.07.2013

2.1.1.3 Určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov

01.07.2013

2.1.1.4 Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi

01.07.2013

2.1.1.5 Vymedzenie zodpovednosti za porušenie zákona

01.07.2013

2.1.2 Poučenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov)

01.05.2014

2.1.3 Písomné poverenie zodpovednej osoby podľa § 23 zákona

01.05.2014

2.1.4 Vzdelávanie oprávnených osôb (napr. právna oblasť, oblasť informačných technológií)

01.05.2014

2.1.5 Postup pri ukončení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti)

01.07.2013

2.2 Vedenie zoznamu aktív a jeho aktualizácia

01.07.2013

2.3 Riadenie prístupu oprávnených osôb k osobným údajom

01.07.2013

2.3.1 Kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)

01.07.2013

2.3.2 Správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)

01.07.2013

2.3.3 Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb

01.07.2013

2.3.4 Správa hesiel

01.07.2013

2.3.5 Vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru)

01.07.2013

2.4 Organizácia spracúvania osobných údajov

01.07.2013

2.4.1 Pravidlá spracúvania osobných údajov v chránenom priestore

01.07.2013

2.4.2 Nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby

01.07.2013

2.4.3 Režim údržby a upratovania chránených priestorov

01.07.2013

2.4.4 Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá

01.07.2013

2.4.4.1 Pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti

01.07.2013

2.4.4.2 Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti

01.07.2013

2.4.4.3 Pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovednosti

01.07.2013

2.5 Likvidácia osobných údajov

01.07.2013

2.5.1 Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)

01.07.2013

2.6 Bezpečnostné incidenty

01.07.2013

2.6.1 Postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení

01.07.2013

2.6.2 Evidencia bezpečnostných incidentov a použitých riešení

01.07.2013

2.6.3 Postup pri riešení jednotlivých typov bezpečnostných incidentov

01.07.2013

2.6.4 Identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov

01.07.2013

2.6.5 Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)

01.07.2013

2.6.6 Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)

01.07.2013

2.7 Kontrolná činnosť

01.07.2013

2.7.1 Kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informačnému systému)

01.07.2013

2.7.2 Informovanie oprávnených osôb o kontrolnom mechanizme,3) ak je u prevádzkovateľa zavedený (rozsah kontroly a spôsoby jej uskutočňovania)

Poznámky pod čiarou

01.05.2014

1) Napríklad § 29 výnosu Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy.

01.05.2014

2) Napríklad STN ISO/IEC 27001, STN ISO/IEC 27002, výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z. z.

01.07.2013

3) Čl. 11 a § 13 zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov.