| 158 |
| VYHLÁŠKA |
| Úradu na ochranu osobných údajov Slovenskej republiky |
| z 29. mája 2018 |
| o postupe pri posudzovaní vplyvu na ochranu osobných údajov |
| Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 108 ods. 2 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje: |
|
|
| § 1 |
| Táto vyhláška upravuje postup prevádzkovateľa pri posudzovaní vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (ďalej len „posúdenie vplyvu“) podľa § 42 ods. 1 a 3 zákona. |
| § 2 |
| Dokumentácia pri posúdení vplyvu obsahuje |
| a) opis plánovaného spracúvania, |
| b) posúdenie nevyhnutnosti a primeranosti v spojení s opatreniami na preukázanie súladu so zákonom, |
| c) posúdenie rizika pre práva fyzickej osoby v spojení s opatreniami na riešenie rizík, |
| d) dokumentáciu podľa § 6, |
| e) monitorovanie a preskúmanie. |
| § 3 |
| (1) Opis plánovaného spracúvania je systematickým opisom spracovateľských operácií zameraných na povahu, rozsah, kontext a účely spracúvania osobných údajov, ktorý obsahuje najmä |
| a) účely spracúvania osobných údajov, |
| b) ak sú osobné údaje spracúvané na základe § 13 ods. 1 písm. f) zákona, opis spracovateľských operácií obsahuje aj konkrétnu charakteristiku oprávneného záujmu prevádzkovateľa alebo tretej strany vrátane |
| 1. opisu posúdenia oprávnenosti záujmu prevádzkovateľa alebo tretej strany, |
| 2. opisu vzťahu prevádzkovateľa a dotknutých osôb, |
| 3. podmienok, na ktorých základe dotknutá osoba môže primerane očakávať spracovateľské operácie s osobnými údajmi, ktoré sa jej týkajú, |
| 4. posúdenia primeranosti spracovateľských operácií a odôvodnenia prevahy záujmu prevádzkovateľa alebo tretej strany nad právami fyzickej osoby, |
| c) zoznam alebo rozsah osobných údajov, ktoré sú predmetom spracúvania, |
| d) zoznam alebo okruh príjemcov, ktorým sú osobné údaje poskytnuté, |
| e) vymedzenie obdobia uchovávania osobných údajov. |
| (2) Ak sa na spracúvanie osobných údajov vzťahuje schválený kódex správania podľa § 85 zákona, súčasťou opisu spracovateľských operácií sú odkazy na tie časti kódexu správania, ktoré prevádzkovateľ pri posudzovaní vplyvu na ochranu osobných údajov zohľadnil. |
| (3) Ak sa na spracúvanie osobných údajov vzťahuje platný certifikát vydaný podľa § 86 zákona, súčasťou opisu spracovateľských operácií sú odkazy na tie časti žiadosti o vydanie certifikátu a jej príloh, ktoré preukazujú súlad spracúvania osobných údajov so zákonom a existenciu primeraných záruk ochrany osobných údajov. |
| § 4 |
| (1) Na zabezpečenie súladu so zákonom musí byť spracovateľská operácia vo vzťahu k účelu spracúvania osobných údajov nevyhnutná a primeraná. Nevyhnutnosť spracovateľskej operácie sa preukazuje jej posúdením vo vzťahu k požadovanému účelu spracúvania osobných údajov. Primeranosť spracovateľskej operácie sa preukazuje posúdením jej povahy, rozsahu a kontextu, ktorý musí zodpovedať účelu spracúvania osobných údajov. |
| (2) Pri posúdení nevyhnutnosti a primeranosti spracovateľskej operácie sa zohľadní a odôvodní každé opatrenie prijaté na dosiahnutie súladu so zákonom, najmä |
| a) uplatnenie zásady zákonnosti podľa § 6 zákona, |
| b) uplatnenie zásady obmedzenia účelu podľa § 7 zákona, |
| c) uplatnenie zásady minimalizácie osobných údajov podľa § 8 zákona, |
| d) uplatnenie zásady správnosti podľa § 9 zákona, |
| e) uplatnenie zásady minimalizácie uchovávania podľa § 10 zákona, |
| f) uplatnenie zásady integrity a dôvernosti podľa § 11 zákona, |
| g) dodržiavanie postupov na uplatňovanie práv dotknutých osôb podľa § 19 až 28 zákona, |
| h) dodržiavanie postupov na zabezpečenie zákonného spracúvania osobných údajov sprostredkovateľom podľa § 34 zákona, |
| i) primerané záruky súvisiace s prenosom osobných údajov do tretej krajiny alebo medzinárodnej organizácii podľa § 47 až 51 zákona, |
| j) primerané technické a organizačné opatrenia podľa § 32 zákona, |
| k) názory dotknutých osôb alebo organizácií zastupujúcich záujmy dotknutých osôb na spracúvanie osobných údajov získané podľa § 42 ods. 6 zákona. |
| § 5 |
| (1) Prevádzkovateľ pri posúdení rizika pre práva fyzickej osoby zohľadní najmä |
| a) opis plánovaného spracúvania podľa § 3, |
| b) nevyhnutnosť a primeranosť spracovateľskej operácie podľa § 4, |
| c) opis podmienok spracúvania osobných údajov podľa § 39 ods. 1 zákona vrátane existujúcich bezpečnostných opatrení prijatých podľa § 39 zákona. |
| (2) Posúdenie rizika pre práva fyzickej osoby prevádzkovateľ vykonáva z pohľadu dopadov na fyzickú osobu, pričom zohľadňuje najmä riziko súvisiace s náhodným alebo nezákonným poškodením, zničením, stratou, zmenou, neoprávneným prístupom a poskytnutím alebo zverejnením osobných údajov, ako aj s akýmkoľvek iným neprípustným spôsobom spracúvania, pričom identifikuje |
| a) hrozby a pravdepodobnosť ich výskytu, |
| b) zraniteľnosti zneužiteľné hrozbami, |
| c) riziká a pravdepodobnosť ich výskytu a závažnosť, |
| d) a zhodnotí mieru dopadu na práva fyzickej osoby v dôsledku straty integrity, dôvernosti a dostupnosti údajov, |
| e) vysoké riziko pre práva fyzickej osoby, ak neprijme opatrenia na zmiernenie rizika. |
| (3) Prevádzkovateľ pri posúdení rizík spracovateľských operácií môže postupovať aj podľa medzinárodných noriem.1) |
| (4) Prevádzkovateľ prijme primerané opatrenia na zmiernenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom. |
| (5) Prevádzkovateľ prijme primerané opatrenia na zabezpečenie pravidelného monitorovania všetkých podmienok spracúvania osobných údajov, ktoré zohľadnil pri posudzovaní rizika pre práva fyzickej osoby podľa § 2 písm. a) až d), vrátane kontroly zavedených postupov. Prevádzkovateľ môže postupovať aj podľa medzinárodných noriem.2) |
| (6) Prevádzkovateľ pri prijímaní opatrení na zmiernenie rizík pre práva fyzickej osoby postupuje v primeranom rozsahu podľa prílohy. |
| § 6 |
| (1) Na preukazovanie súladu so zákonom podľa § 31 ods. 1 zákona, prevádzkovateľ zdokumentuje posúdenie vplyvu v rozsahu podľa § 2 písm. a) až c) a e). |
| (2) Dokumentáciou pri posúdení vplyvu podľa § 2 sa rozumie aj dokumentácia podľa osobitného predpisu,3) ak sa v nej preukazuje účel podľa odseku 1 spôsobom podľa tejto vyhlášky. |
|
|
| § 7 |
| Táto vyhláška nadobúda účinnosť 15. júna 2018. |
|
|
| Soňa Pőtheová v. r. |
|
|
| |
| Príloha k vyhláške č. 158/2018 Z. z. |
| OPATRENIE NA ELIMINÁCIU RIZÍK PRE PRÁVA FYZICKEJ OSOBY |
| 1. Technické opatrenia |
| 1.1 Technické opatrenie realizované prostriedkami fyzickej povahy |
| 1.1.1 Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia). |
| 1.1.2 Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, mreže alebo presklenia). |
| 1.1.3 Umiestnenie dôležitých prostriedkov informačných technológií v chránenom priestore a ochrana informačnej infraštruktúry pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia. |
| 1.1.4 Bezpečné uloženie fyzických nosičov osobných údajov vrátane bezpečného uloženia listinných dokumentov. |
| 1.1.5 Opatrenie na zamedzenie náhodného prečítania osobných údajov zo zobrazovacích jednotiek (napr. vhodné umiestnenie zobrazovacích jednotiek). |
| 1.2 Ochrana pred neoprávneným prístupom |
| 1.2.1 Šifrová ochrana uložených a prenášaných údajov, pravidlá pre kryptografické opatrenia. |
| 1.2.2 Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza. |
| 1.3 Riadenie prístupu poverených osôb |
| 1.3.1 Riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov (napr. identifikácia, autentizácia a autorizácia osôb v informačnom systéme). |
| 1.3.2 Riadenie privilegovaných prístupov v informačnom systéme. |
| 1.3.3 Zaznamenávanie prístupu a aktivít poverených osôb v informačnom systéme. |
| 1.4 Riadenie zraniteľností |
| 1.4.1 Opatrenia na detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu. |
| 1.4.2 Ochrana pred nevyžiadanou elektronickou poštou. |
| 1.4.3 Používanie legálneho a prevádzkovateľom schváleného softvéru. |
| 1.4.4 Opatrenia na zaručenie pravidelnej aktualizácie operačných systémov a programového aplikačného vybavenia. |
| 1.4.5 Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete a spôsob ich overovania. Filtrovanie sieťovej komunikácie. |
| 1.4.6 Zhromažďovanie informácií o technických zraniteľnostiach informačných systémov, vyhodnocovanie úrovne rizík a implementácia opatrení na potlačenie týchto rizík. |
| 1.5 Sieťová bezpečnosť |
| 1.5.1 Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou. |
| 1.5.2 Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástrojov sieťovej bezpečnosti (napr. firewall), segmentácia počítačovej siete. |
| 1.5.3 Pravidlá prístupu do verejne prístupnej počítačovej siete, opatrenia na zamedzenie pripojenia k určitým adresám, pravidlá používania sieťových protokolov. |
| 1.5.4 Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok). |
| 1.5.5 Aktualizácia operačného systému a programového aplikačného vybavenia. |
| 1.6 Zálohovanie |
| 1.6.1 Test funkčnosti záložných dátových nosičov. |
| 1.6.2 Vytváranie záloh s vopred zvolenou periodicitou. |
| 1.6.3 Určenie doby uchovávania záloh a kontrola jej dodržiavania. |
| 1.6.4 Test obnovy informačného systému zo zálohy. |
| 1.6.5 Bezpečné ukladanie záloh. |
| 1.7 Likvidácia osobných údajov a dátových nosičov |
| 1.7.1 Technické opatrenia na bezpečné vymazanie osobných údajov z dátových nosičov. |
| 1.7.2 Zariadenie na mechanické zničenie dátových nosičov osobných údajov (napr. zariadenie na skartovanie listín a dátových médií). |
| 2. Organizačné opatrenia |
| 2.1 Personálne opatrenia |
| 2.1.1 Poverenie osoby prevádzkovateľom alebo sprostredkovateľom, ktorá má prístup k osobným údajom. |
| 2.1.2 Pokyny prevádzkovateľa na spracúvanie osobných údajov, najmä |
| 2.1.2.1 vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností alebo úloh, |
| 2.1.2.2 určenie postupov, ktoré je poverená osoba povinná uplatňovať pri spracúvaní osobných údajov, |
| 2.1.2.3 vymedzenie základných postupov alebo operácií s osobnými údajmi, |
| 2.1.2.4 vymedzenie zodpovednosti za porušenie zákona. |
| 2.1.3 Poučenie poverených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov). |
| 2.1.4 Určenie zodpovednej osoby podľa § 44 zákona. |
| 2.1.5 Vzdelávanie poverených osôb (napr. právna oblasť, oblasť informačných technológií). |
| 2.1.6 Postup pri ukončení pracovného alebo obdobného pracovného vzťahu alebo obdobného pomeru poverenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti). |
| 2.1.7 Práca na diaľku a pravidlá mobilného spracovania dát. |
| 2.2 Riadenie aktív |
| 2.2.1 Vedenie inventárneho zoznamu aktív a jeho pravidelná aktualizácia. |
| 2.2.2 Evidencia všetkých miest prepojenia sietí vrátane prepojení s verejne prístupnou počítačovou sieťou. |
| 2.2.3 Určenie vlastníctva aktív a zodpovednosti za riziká. |
| 2.2.4 Pravidlá a postupy klasifikácie informácií. |
| 2.2.5 Pravidlá a postupy na označovanie informácií a zaobchádzanie s nimi v súlade s platnou klasifikačnou schémou. |
| 2.2.6 Pravidlá na prijateľné používanie informácií a aktív spojených s prostriedkami na spracúvanie informácií. |
| 2.2.7 Opatrenia na vrátenie aktív (napr. prostriedkov spracúvania osobných údajov) patriacich prevádzkovateľovi po ukončení pracovného pomeru, po vypršaní uzatvorenej dohody alebo zmluvy, pri zmene pracovného miesta alebo pracovného zaradenia a pod. |
| 2.3 Riadenie prístupu osôb k osobným údajom |
| 2.3.1 Pravidlá fyzického vstupu do objektu a chránených priestorov prevádzkovateľa. |
| 2.3.2 Správa prístupových prostriedkov a zariadení do objektov (individuálne prideľovanie kľúčov, elektronických kľúčov, vstupných kariet a bezpečné ukladanie ich rezerv). |
| 2.3.3 Pravidlá prideľovania prístupových práv a úrovní prístupu (rolí) povereným osobám. |
| 2.3.4 Politika hesiel a pravidlá používania autorizačných a autentizačných prostriedkov. |
| 2.3.5 Pravidlá vzájomného zastupovania poverených osôb (napr. pri nehode, dočasnej pracovnej neschopnosti, ukončení pracovného alebo obdobného pomeru). |
| 2.3.6 Pravidlá odstránenia alebo zmeny prístupových práv poverených osôb a zariadení na spracúvanie informácií pri ukončení zamestnania, zmluvy alebo dohody, alebo prispôsobenie zmenám rolí. |
| 2.4 Organizácia spracúvania osobných údajov |
| 2.4.1 Pravidlá spracúvania osobných údajov v chránenom priestore. |
| 2.4.2 Nepretržitá prítomnosť poverenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako poverené osoby. |
| 2.4.3 Režim údržby a upratovania chránených priestorov. |
| 2.4.4 Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá |
| 2.4.4.1 pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovedností, |
| 2.4.4.2 pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovedností, |
| 2.4.4.3 pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovedností. |
| 2.5 Likvidácia osobných údajov |
| 2.5.1 Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých poverených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov). |
| 2.6 Porušenia ochrany osobných údajov |
| 2.6.1 Postup pri oznamovaní porušenia ochrany osobných údajov úradu a dotknutej osobe na včasné prijatie preventívnych alebo nápravných opatrení. |
| 2.6.2 Pravidelné preskúmavanie záznamov udalostí, záznamov o aktivitách používateľov, záznamov o výnimkách. |
| 2.6.3 Evidencia porušení ochrany osobných údajov a použitých riešení. |
| 2.6.4 Postup identifikácie a riešenia jednotlivých typov porušení ochrany osobných údajov. |
| 2.6.5 Postup odstraňovania následkov porušení ochrany osobných údajov. |
| 2.6.6 Postupy zaručenia kontinuity pri havárii alebo inej mimoriadnej udalosti. |
| 2.6.7 Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania. |
| 2.7 Kontrolná činnosť |
| 2.7.1 Kontrolná činnosť zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov). |
| 2.7.2 Informovanie osôb o kontrolnom mechanizme,4) ak ho prevádzkovateľ alebo sprostredkovateľ má zavedený (rozsah kontroly a spôsoby jej uskutočňovania). |
| 2.7.3 Postupy monitorovania súladu spracúvania osobných údajov podľa § 42 ods. 7 zákona. |
| 2.8 Dodávateľské vzťahy |
| 2.8.1 Postup overenia dostatočných záruk. |
| 2.8.2 Začlenenie požiadaviek na ochranu údajov do požiadaviek nových systémov a do pravidiel vývoja a nákupu systémov. |
| 2.8.3 Začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami. |
| 2.8.4 Testovanie bezpečnostných funkcií počas vývoja systémov. |
| 2.8.5 Monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi. |
| Poznámky pod čiarou |
| 1) Napríklad ISO/IEC 29134 Information technology - Security techniques - Guidelines for privacy impact assessment (ISO/IEC 29134:2017), Medzinárodná organizácia pre normalizáciu (ISO); LINDDUN (privacy threat analysis methodology), STRIDE (Threat Model). |
| 2) Napríklad STN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti (ISO/IEC 27005:2011). |
| 3) Napríklad § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. |
| 4) Čl. 11 a § 13 Zákonníka práce; čl. 9 a § 5 zákona č. 55/2017 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. |