Bezpečnostný projekt – potreba alebo prežitok?

Pri vypracovaní dokumentácie dostávame často otázky, či bude dokumentácia obsahovať aj bezpečnostný projekt. Ten boli povinní prevádzkovatelia v niektorých prípadoch vypracovať v zmysle zákona č. 122/2013 Z. z. o ochrane osobných údajov (ďalej ako „z. č. 122/2013„). Nariadenie GDPR, ako ani súčasný zákon č. 18/2018 Z. z. o ochrane osobných údajov (ďalej ako „Zákon„), nepomenúvajú „bezpečnostný projekt“.

V článku sa dozviete, či projekt potrebujete a aký je pohľad na bezpečnosť v súvislosti s GDPR

Čo bol bezpečnostný projekt?

Bezpečnostný projekt vymedzoval (obdobne ako pri bezpečnostných opatreniach definovaných v Nariadení GDPR) „rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.1 Aj bezpečnostný projekt mal obsahovať bezpečnostné opatrenia a zabezpečiť ochranu osobných údajov pred poškodením, zničením, stratou, … a zároveň:

  • zaväzoval prevádzkovateľa chrániť osobné údaje (zodpovednosť prevádzkovateľa),
  • prijať bezpečnostné opatrenia na technickej, organizačnej a personálnej úrovni.

Bezpečnostný projekt mal plniť povinnosti vyplývajúce z „bezpečnostných štandardov, právnych predpisov a medzinárodných zmlúv.“ Bezpečnostný projekt bol dokumentom zohľadňujúcim bezpečnostné opatrenia. Venovali sa mu prevažne bezpečnostní „technici“, ktorí sa zameriavali na technickú bezpečnosť. O ochrane osobných údajov bolo oveľa menšie povedomie v právnickej obci. Ochrana osobných údajov tak nebola často riešená komplexne (napríklad v HR / mzdách a personalistike firiem, v zmluvách a pod.).

Z toho vyplývali základné chyby prevádzkovateľov – súhlas so spracúvaním osobných údajov pri plnení povinností z pracovnej zmluvy, v e-shopoch,2 registrácia nepotrebných evidenčných listov, … A niektoré chyby sa preniesli aj do súčasných „GDPR dokumentov“. Napríklad, stretávame sa s:

  • „informačnými systémami“, ktoré zmenili svoju povahu, sle sú stále ťažiskom interných dokumentov a absentujú definované účely spracúvania,
  • posúdeniami vplyvu na ochranu osobných údajov, ktoré sú svojou povahou „bezpečnostné projekty“, resp. opatrenia,
  • internými dokumentami, ktoré riešia len bezpečnosť a nie postupy a procesy prevádzkovateľa.

Bezpečnosť a GDPR

Ako sme uviedli, osobné údaje a ich ochrana boli v praxi (prevažne) považované za disciplíny, ktoré mali byť riešené bezpečnosťou. S GDPR však ochrana osobných údajov zaznamenala veľký nástup, vznik právnych otázok a posudzovaní individuálnych situácií.

Dôraz sa prikladá na primeranosť bezpečnostných opatrení vo vzťahu k spracovateľskej operácii. Stanovenie bezpečnostných opatrení má byť riešené „so zreteľom na najnovšie poznatky, náklady, povahu, rozsah, kontext a účely spracúvania, ako aj na riziká.“3 Rozlišujeme teda medzi privacy by design a privacy by default, teda špecificky navrhnutou ochranou a štandardnou ochranou osobných údajov.

Štandardom má byť, aby boli spracúvané:

  • len skutočne potrebné osobné údaje pre konkrétny účel spracúvania (zásada obmedzenia účelu),
  • v minimalizovanom množstve a rozsahu spracúvania (zásada mimimalizácie),
  • v dobe nevyhnutnej (zásada minimalizácie uchovávania),

Osobné údaje majú byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.4

Ďalej je bezpečnosť definovaná v čl. 32 Nariadenia GDPR. Nariadenie uvádza príklady, aké bezepčnostné opatrenia môžu byť vykonané – od šifrovania a pseudonymizácie, cez schopnosť obnoviť dostupnosť osobných údajov a testovanie systémov až po zabezpečenie integrity a odolnosti systémov. Tieto však nie sú nevyhnutné, ale voliteľné.5

Stretli sme sa s názorom, že je nevyhnutné šifrovať e-mailovú komunikáciu, čo nepovažujeme za správne. Je dôležité zohľadniť opatrenia individuálne k spracovateľskej operácii (by default). 

Je zrejmé, že GDPR prinieslo „bezpečnostné opatrenia„, ktoré vymedzujú základné povinnosti pri nastavení bezpečnosti. Tie však v princípe mohli zohľadňovať aj bezpečnostné projekty. Ak spĺňal podnik bezepčnostné normy v zmysle zákona č. 122/2013 a súvisiacich predpisov, jednoduchšie ich (s)plnil aj pri účinnosti Nariadenia GDPR.

GDPR definuje aj DPIA (posúdenie vplyvu na ochranu osobných údajov) alebo test proporcionality pri určitých spracovateľských operáciách. To však považujeme pre účely tohto článku za samostatnú tému.

Článok pokračuje pod videom.

Pozrite si naše videoškolenie, čo má obsahovať dokumentácia k GDPR:

Bezpečnostný projekt – je potrebný?

Možno konštatovať, že dokument, ktorý je formálne označený ako „bezpečnostný projekt“ v súčasnosti nie je potrebný. To potvrdzuje aj Úrad vo svojich FAQ (najčastejšie otázky): „Vstúpením GDPR do uplatňovania 5/2018 už nebude povinnosť vypracovať bezpečnostný projekt, ale prevádzkovateľ bude povinný v osobitných spracovateľských operáciách posúdiť vplyv ochrany údajov; prípadne požiadať úrad o konzultácie podľa čl. 35 a čl. 36 GDPR.

Ak bol (je) bezpečnostný projekt správne aktualizovaný, môže byť funkčným článkom bezpečnostnej politiky. Treba si však uvedomiť, že bezpečnostný dokument a bezpečnostné opatrenia sú len jedným z „článkov“ k úplnému plneniu povinností vyplývajúcich z požiadaviek GDPR. Bezpečnosť nemá byť založená v „šanóne“, ale má byť mechanizmom k ochrane dát – nielen osobných údajov.

U každého prevádzkovateľa alebo sprostredkovateľa, prípadne iného príjemcu osobných údajov je nevyhnutné stanoviť bezpečnostné opatrenia v súlade s princípmi a zásadami Nariadenia GDPR. A o tých sa dočítate v ďalších článkoch.

gdpr-vypracovanie-securion


  1. § 20 ods. 1 Zákona č. 122/2013 Z.z. 

  2. Pozn.: Určovanie zlých právnych základov bolo jedným z najčastejších chýb v praxi. 

  3. Čl. 25 Nariadenia GDPR. 

  4. Čl. 5 ods. 1 písm. f) Nariadenia GDPR. 

  5. Napríklad v recitály 83 Nariadenia GDPR je uvedené: <em>S cieľom zachovať bezpečnosť a predchádzať spracúvaniu v rozpore s týmto nariadením by prevádzkovateľ alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie.</em>„ 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.