Ako na bezpečnostný projekt ochrany osobných údajov

Z našich skúseností vyplýva, že ochrana osobných údajov je v podnikateľskej sfére vnímaná pomerne negatívne. Väčšina firiem, ktoré pri svojom podnikaní nevyhnutne spracúvajú aj osobné údaje sa nám spravidla sťažuje na neprehľadné pravidlá, ale ešte viac na administratívnu náročnosť procesov či dokonca šikanu zákonodarcu, ktorý od nich požaduje akúsi bezpečnostnú dokumentáciu, rôzne evidencie, projekty a ktovie čo ešte. V Súkromie.digital sme sa rozhodli, že vám to všetkým pokúsime zjednodušiť tak ako to len bude možné.

Dali sme teda dve hlavy dokopy a vďaka tomu nájdete na našom webe viacero návrhov pracovných dokumentov, pomocou ktorých si pri troche snahy dokážete vyriešiť väčšinu, ak nie aj všetky formálne povinnosti vyplývajúce zo zákona na ochranu osobných údajov, ako aj povinnosti voči Úradu na ochranu osobných údajov SR ako  dozornému orgánu pre túto oblasť. Áno, nové pravidlá ochrany osobných údajov známe pod skratkou GDPR sú už nejaký čas známe, ale máme ešte takmer celý jeden rok, počas ktorého platí náš „domáci“ zákon o ochrane osobných údajov. A s ním aj všetko to čo viacerých rozčuľuje a tiež to, s čím vám chceme pomôcť.

Asi najväčšou bolesťou, o ktorej počúvame, je Bezpečnostný projekt. Pravdou je, že neexistuje žiadny univerzálny dokument, ktorý by bol automaticky použiteľný u každého. Keď si otvoríte ten náš, tak veľmi pravdepodobne zistíte, že si vo vašich podmienkach vyžiada prinajmenšom drobné modifikácie, aby presne odzrkadlil podmienky spracúvania osobných údajov vo vašej firme či organizácii. Nevidíme vám do kancelárií ani do výroby. Nepoznáme ani vaše zvyklosti pri nakladaní s písomnosťami či elektronickými dokumentami. Nevieme čo robíte ani to, čo nerobíte. Skúsime vám však poradiť, čo by ste robiť mali.

Bezpečnostný projekt je povinný pre každého prevádzkovateľa informačného systému s osobnými údajmi, ktorý spracúva osobitné kategórie osobných údajov (tzv. citlivé údaje) a jeho informačný systém je prepojený na internet. V zásade je to každý subjekt, ktorý má zamestnancov, lebo citlivým údajov je aj rodné číslo a bez neho nie je možné nikoho zamestnávať. Potom už stačí len, aby mali mzdári alebo personalisti pripojený počítač k internetu a máme splnené podmienky pre povinný bezpečnostný projekt.

Zákon o ochrane osobných údajov je v otázke bezpečnostného projektu pomerne strohý:

(1) Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.

Úrad však vydal vyhlášku (všeobecne záväzný právny predpis avizovaný v odseku 3) a z tej už vydolujeme viac informácií. Napríklad aj to, že bezpečnostný projekt sa skladá z:

  • Bezpečnostného zámeru
  • Analýzy bezpečnosti a
  • Záverov vyplývajúcich zo zámeru a z analýzy (bývalé bezpečnostné smernice)

Stiahnite si: Podklady pre Zámer a analýzu bezpečnosti

Zámer a analýzu vám prikladáme v jednom dokumente. Prečo? Tak to vyšlo v procese tvorby. Licencia, ktorú používame, dáva každému pomerne široké pole pôsobnosti čo sa týka úpravy dokumentov a ich ďalšieho použitia. Kto bude chcieť samostatné dokumenty, môže si ich rozdeliť.

Ako požaduje vyhláška, v pracovnej verzii nášho zámeru nájdete:

a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti informačného systému,
d) vymedzenie hraníc určujúcich množinu zostatkových rizík; zostatkovým rizikom sa rozumie bezpečnostné riziko, ktoré zostane úplne alebo čiastočne nepokryté bezpečnostnými opatreniami z dôvodu, že jeho miera je pre prevádzkovateľa akceptovateľná alebo ju nie je možné eliminovať vhodnými a efektívnymi bezpečnostnými opatreniami.

Vo časti analýza bezpečnosti je zase podľa vyhlášky najmä kvalitatívna analýza rizík tvorená:

a) identifikáciou rizík založenou na identifikácii aktív a ich vlastníkov, identifikácii hrozieb pre tieto aktíva, identifikácii zraniteľností zneužiteľných hrozbami a na identifikácii dopadov na aktíva v dôsledku straty dôvernosti, integrity a dostupnosti,
b) analýzou a ohodnotením rizík založených na určení dopadov, ktoré môžu vyplynúť zo zlyhania bezpečnosti,
c) určením reálnej pravdepodobnosti výskytu zlyhania bezpečnosti a odhadom úrovne rizík vymedzujúcim, či je riziko akceptovateľné alebo vyžaduje prijatie ďalších opatrení za využitia vopred určených kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní rizika,
d) identifikáciou a ohodnotením možností minimalizácie rizík, napríklad aplikovaním vhodných bezpečnostných opatrení, vedomým a objektívnym akceptovaním rizík, vyhnutím sa rizikám alebo prenesením súvisiacich rizík na tretie strany,
e) výberom cieľov a opatrení na ošetrenie rizík a vymedzením súpisu nepokrytých rizík, použitím technických noriem2) a určením iných metód a prostriedkov ochrany osobných údajov.

Viacero dôležitých dokumentov sme ponechali v prílohách. Nájdete v nich podklady pre dokumenty ako Analýza rizík, Záznam o vykonaných bezpečnostných auditoch, Evidencia bezpečnostných incidentov, Evidencia miest pripojenia sietí a Rozsahy oprávnení a popisy povolených činností. Ako sme však písali vyššie, kreativite sa v prípade týchto pracovných dokumentov medze nekladú. A tak formálne usporiadanie, zmena či doplnenie obsahu je úplne na vašej ľubovôli. Odporúčame však držať sa vyhlášky Úradu, aby v prípade kontroly bolo čo najľahšie možné identifikovať jednotlivé obsahové a formálne náležitosti bezpečnostného projektu.

Stiahnite si: Podklady pre priložené dokumenty

Poslednou súčasťou bezpečnostného projektu sú Závery z bezpečnostného zámeru a analýzy bezpečnosti. Našu predstavu podkladov pre ich vypracovanie vám tiež dávame k dispozícii. Pri našej práci sme vypracovávali rôzne formáty záverov, ale najzrozumiteľnejším pre zákazníkov bol suverénne ten, ktorý nájdete na tejto stránke. Zameriava sa na jednotlivé skupiny pracovníkov prevádzkovateľa a zrozumiteľným spôsobom im prideľuje úlohy v procese spracúvania a ochrany spracúvaných osobných údajov.

Stiahnite si: Podklady pre Závery z bezpečnostného zámeru a analýzy bezpečnosti

Celkom praktickým sa nám pre prípad kontroly, ale aj pre účely vlastného prehľadu, javí kontrolný zoznam požiadaviek vyhlášky s odkazmi na jednotlivé ustanovenia bezpečnostného projektu. Pre inšpiráciu prikladáme ten náš. Nielenže uľahčí inšpektorom Úradu orientáciu vo vašej dokumentácii čím skráti čas kontroly a zníži stres na oboch stranách stola, ale sprehľadní zameranie jednotlivých častí dokumentácie každému, kto sa s ňou bude oboznamovať či aktualizovať ju.

Stiahnite si: Podklady pre Kontrolný zoznam

Máme pre vás pripravené aj ďalšie pomôcky. Budú pribúdať na tejto stránke postupne, v závislosti od nášho voľného času. Nezabudnite pozrieť na naše Podmienky používania, určite príjemne prekvapia.

Pevné nervy pri čítaní a trpezlivosť pri vlastných úpravách.