Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov 158/2018 účinný od 15.06.2018

Platnosť od: 07.06.2018
Účinnosť od: 15.06.2018
Autor: Úrad na ochranu osobných údajov Slovenskej republiky
Oblasť: Osobné práva

Informácie ku všetkým historickým zneniam predpisu
HIST1JUDDSEUPPČL0

Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov 158/2018 účinný od 15.06.2018
Prejsť na §    
Informácie ku konkrétnemu zneniu predpisu
Vyhláška 158/2018 s účinnosťou od 15.06.2018
Zobraziť iba vybrané paragrafy:
Zobraziť

UPOZORNENIE: Znenia §-ov sú skrátené. Na zobrazenie celého znenia musíte byť zaregistrovaní. ZAREGISTRUJTE SA NA 14 DNÍ BEZPLATNE! 

Úradu na ochranu osobných údajov Slovenskej republiky

o postupe pri posudzovaní vplyvu na ochranu osobných údajov

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) podľa § 108 ods. ...

§ 1

Táto vyhláška upravuje postup prevádzkovateľa pri posudzovaní vplyvu plánovaných spracovateľských ...

§ 2

Dokumentácia pri posúdení vplyvu obsahuje

a)
opis plánovaného spracúvania,
b)
posúdenie nevyhnutnosti a primeranosti v spojení s opatreniami na preukázanie súladu so zákonom, ...
c)
posúdenie rizika pre práva fyzickej osoby v spojení s opatreniami na riešenie rizík,
d)
dokumentáciu podľa § 6,
e)
monitorovanie a preskúmanie.
§ 3
(1)

Opis plánovaného spracúvania je systematickým opisom spracovateľských operácií zameraných na ...

a)
účely spracúvania osobných údajov,
b)
ak sú osobné údaje spracúvané na základe § 13 ods. 1 písm. f) zákona, opis spracovateľských ...
1.
opisu posúdenia oprávnenosti záujmu prevádzkovateľa alebo tretej strany,
2.
opisu vzťahu prevádzkovateľa a dotknutých osôb,
3.
podmienok, na ktorých základe dotknutá osoba môže primerane očakávať spracovateľské operácie ...
4.
posúdenia primeranosti spracovateľských operácií a odôvodnenia prevahy záujmu prevádzkovateľa ...
c)
zoznam alebo rozsah osobných údajov, ktoré sú predmetom spracúvania,
d)
zoznam alebo okruh príjemcov, ktorým sú osobné údaje poskytnuté,
e)
vymedzenie obdobia uchovávania osobných údajov.
(2)

Ak sa na spracúvanie osobných údajov vzťahuje schválený kódex správania podľa § 85 zákona, ...

(3)

Ak sa na spracúvanie osobných údajov vzťahuje platný certifikát vydaný podľa § 86 zákona, ...

§ 4
(1)

Na zabezpečenie súladu so zákonom musí byť spracovateľská operácia vo vzťahu k účelu spracúvania ...

(2)

Pri posúdení nevyhnutnosti a primeranosti spracovateľskej operácie sa zohľadní a odôvodní každé ...

a)
uplatnenie zásady zákonnosti podľa § 6 zákona,
b)
uplatnenie zásady obmedzenia účelu podľa § 7 zákona,
c)
uplatnenie zásady minimalizácie osobných údajov podľa § 8 zákona,
d)
uplatnenie zásady správnosti podľa § 9 zákona,
e)
uplatnenie zásady minimalizácie uchovávania podľa § 10 zákona,
f)
uplatnenie zásady integrity a dôvernosti podľa § 11 zákona,
g)
dodržiavanie postupov na uplatňovanie práv dotknutých osôb podľa § 19 až 28 zákona,
h)
dodržiavanie postupov na zabezpečenie zákonného spracúvania osobných údajov sprostredkovateľom ...
i)
primerané záruky súvisiace s prenosom osobných údajov do tretej krajiny alebo medzinárodnej organizácii ...
j)
primerané technické a organizačné opatrenia podľa § 32 zákona,
k)
názory dotknutých osôb alebo organizácií zastupujúcich záujmy dotknutých osôb na spracúvanie ...
§ 5
(1)

Prevádzkovateľ pri posúdení rizika pre práva fyzickej osoby zohľadní najmä

a)
opis plánovaného spracúvania podľa § 3,
b)
nevyhnutnosť a primeranosť spracovateľskej operácie podľa § 4,
c)
opis podmienok spracúvania osobných údajov podľa § 39 ods. 1 zákona vrátane existujúcich bezpečnostných ...
(2)

Posúdenie rizika pre práva fyzickej osoby prevádzkovateľ vykonáva z pohľadu dopadov na fyzickú ...

a)
hrozby a pravdepodobnosť ich výskytu,
b)
zraniteľnosti zneužiteľné hrozbami,
c)
riziká a pravdepodobnosť ich výskytu a závažnosť,
d)
a zhodnotí mieru dopadu na práva fyzickej osoby v dôsledku straty integrity, dôvernosti a dostupnosti ...
e)
vysoké riziko pre práva fyzickej osoby, ak neprijme opatrenia na zmiernenie rizika.
(3)

Prevádzkovateľ pri posúdení rizík spracovateľských operácií môže postupovať aj podľa medzinárodných ...

(4)

Prevádzkovateľ prijme primerané opatrenia na zmiernenie rizík vrátane záruk, bezpečnostných ...

(5)

Prevádzkovateľ prijme primerané opatrenia na zabezpečenie pravidelného monitorovania všetkých ...

(6)

Prevádzkovateľ pri prijímaní opatrení na zmiernenie rizík pre práva fyzickej osoby postupuje ...

§ 6
(1)

Na preukazovanie súladu so zákonom podľa § 31 ods. 1 zákona, prevádzkovateľ zdokumentuje posúdenie ...

(2)

Dokumentáciou pri posúdení vplyvu podľa § 2 sa rozumie aj dokumentácia podľa osobitného predpisu,3) ...

§ 7

Táto vyhláška nadobúda účinnosť 15. júna 2018.

Soňa Pőtheová v. r.

Prílohy

    Prílohak vyhláške č. 158/2018 Z. z.

    OPATRENIE NA ELIMINÁCIU RIZÍK PRE PRÁVA FYZICKEJ OSOBY

    1. Technické opatrenia

    1.1 Technické opatrenie realizované prostriedkami fyzickej povahy

    1.1.1

    Zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, ...

    1.1.2

    Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (napr. steny, mreže ...

    1.1.3

    Umiestnenie dôležitých prostriedkov informačných technológií v chránenom priestore a ochrana ...

    1.1.4

    Bezpečné uloženie fyzických nosičov osobných údajov vrátane bezpečného uloženia listinných ...

    1.1.5

    Opatrenie na zamedzenie náhodného prečítania osobných údajov zo zobrazovacích jednotiek (napr. ...

    1.2 Ochrana pred neoprávneným prístupom

    1.2.1

    Šifrová ochrana uložených a prenášaných údajov, pravidlá pre kryptografické opatrenia.

    1.2.2

    Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza.

    1.3 Riadenie prístupu poverených osôb

    1.3.1

    Riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov (napr. identifikácia, ...

    1.3.2

    Riadenie privilegovaných prístupov v informačnom systéme.

    1.3.3

    Zaznamenávanie prístupu a aktivít poverených osôb v informačnom systéme.

    1.4 Riadenie zraniteľností

    1.4.1

    Opatrenia na detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu.

    1.4.2

    Ochrana pred nevyžiadanou elektronickou poštou.

    1.4.3

    Používanie legálneho a prevádzkovateľom schváleného softvéru.

    1.4.4

    Opatrenia na zaručenie pravidelnej aktualizácie operačných systémov a programového aplikačného ...

    1.4.5

    Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete a spôsob ich overovania. ...

    1.4.6

    Zhromažďovanie informácií o technických zraniteľnostiach informačných systémov, vyhodnocovanie ...

    1.5 Sieťová bezpečnosť

    1.5.1

    Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané ...

    1.5.2

    Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástrojov sieťovej bezpečnosti (napr. ...

    1.5.3

    Pravidlá prístupu do verejne prístupnej počítačovej siete, opatrenia na zamedzenie pripojenia ...

    1.5.4

    Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský ...

    1.5.5

    Aktualizácia operačného systému a programového aplikačného vybavenia.

    1.6 Zálohovanie

    1.6.1

    Test funkčnosti záložných dátových nosičov.

    1.6.2

    Vytváranie záloh s vopred zvolenou periodicitou.

    1.6.3

    Určenie doby uchovávania záloh a kontrola jej dodržiavania.

    1.6.4

    Test obnovy informačného systému zo zálohy.

    1.6.5

    Bezpečné ukladanie záloh.

    1.7 Likvidácia osobných údajov a dátových nosičov

    1.7.1

    Technické opatrenia na bezpečné vymazanie osobných údajov z dátových nosičov.

    1.7.2

    Zariadenie na mechanické zničenie dátových nosičov osobných údajov (napr. zariadenie na skartovanie ...

    2. Organizačné opatrenia

    2.1 Personálne opatrenia

    2.1.1

    Poverenie osoby prevádzkovateľom alebo sprostredkovateľom, ktorá má prístup k osobným údajom. ...

    2.1.2

    Pokyny prevádzkovateľa na spracúvanie osobných údajov, najmä

    2.1.2.1

    vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností ...

    2.1.2.2

    určenie postupov, ktoré je poverená osoba povinná uplatňovať pri spracúvaní osobných údajov, ...

    2.1.2.3

    vymedzenie základných postupov alebo operácií s osobnými údajmi,

    2.1.2.4

    vymedzenie zodpovednosti za porušenie zákona.

    2.1.3

    Poučenie poverených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a ...

    2.1.4

    Určenie zodpovednej osoby podľa § 44 zákona.

    2.1.5

    Vzdelávanie poverených osôb (napr. právna oblasť, oblasť informačných technológií).

    2.1.6

    Postup pri ukončení pracovného alebo obdobného pracovného vzťahu alebo obdobného pomeru poverenej ...

    2.1.7

    Práca na diaľku a pravidlá mobilného spracovania dát.

    2.2 Riadenie aktív

    2.2.1

    Vedenie inventárneho zoznamu aktív a jeho pravidelná aktualizácia.

    2.2.2

    Evidencia všetkých miest prepojenia sietí vrátane prepojení s verejne prístupnou počítačovou ...

    2.2.3

    Určenie vlastníctva aktív a zodpovednosti za riziká.

    2.2.4

    Pravidlá a postupy klasifikácie informácií.

    2.2.5

    Pravidlá a postupy na označovanie informácií a zaobchádzanie s nimi v súlade s platnou klasifikačnou ...

    2.2.6

    Pravidlá na prijateľné používanie informácií a aktív spojených s prostriedkami na spracúvanie ...

    2.2.7

    Opatrenia na vrátenie aktív (napr. prostriedkov spracúvania osobných údajov) patriacich prevádzkovateľovi ...

    2.3 Riadenie prístupu osôb k osobným údajom

    2.3.1

    Pravidlá fyzického vstupu do objektu a chránených priestorov prevádzkovateľa.

    2.3.2

    Správa prístupových prostriedkov a zariadení do objektov (individuálne prideľovanie kľúčov, ...

    2.3.3

    Pravidlá prideľovania prístupových práv a úrovní prístupu (rolí) povereným osobám.

    2.3.4

    Politika hesiel a pravidlá používania autorizačných a autentizačných prostriedkov.

    2.3.5

    Pravidlá vzájomného zastupovania poverených osôb (napr. pri nehode, dočasnej pracovnej neschopnosti, ...

    2.3.6

    Pravidlá odstránenia alebo zmeny prístupových práv poverených osôb a zariadení na spracúvanie ...

    2.4 Organizácia spracúvania osobných údajov

    2.4.1

    Pravidlá spracúvania osobných údajov v chránenom priestore.

    2.4.2

    Nepretržitá prítomnosť poverenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ...

    2.4.3

    Režim údržby a upratovania chránených priestorov.

    2.4.4

    Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá ...

    2.4.4.1

    pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených ...

    2.4.4.2

    pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených ...

    2.4.4.3

    pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovedností. ...

    2.5 Likvidácia osobných údajov

    2.5.1

    Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých ...

    2.6 Porušenia ochrany osobných údajov

    2.6.1

    Postup pri oznamovaní porušenia ochrany osobných údajov úradu a dotknutej osobe na včasné prijatie ...

    2.6.2

    Pravidelné preskúmavanie záznamov udalostí, záznamov o aktivitách používateľov, záznamov o ...

    2.6.3

    Evidencia porušení ochrany osobných údajov a použitých riešení.

    2.6.4

    Postup identifikácie a riešenia jednotlivých typov porušení ochrany osobných údajov.

    2.6.5

    Postup odstraňovania následkov porušení ochrany osobných údajov.

    2.6.6

    Postupy zaručenia kontinuity pri havárii alebo inej mimoriadnej udalosti.

    2.6.7

    Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania.

    2.7 Kontrolná činnosť

    2.7.1

    Kontrolná činnosť zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, ...

    2.7.2

    Informovanie osôb o kontrolnom mechanizme,4) ak ho prevádzkovateľ alebo sprostredkovateľ má zavedený ...

    2.7.3

    Postupy monitorovania súladu spracúvania osobných údajov podľa § 42 ods. 7 zákona.

    2.8 Dodávateľské vzťahy

    2.8.1

    Postup overenia dostatočných záruk.

    2.8.2

    Začlenenie požiadaviek na ochranu údajov do požiadaviek nových systémov a do pravidiel vývoja ...

    2.8.3

    Začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami. ...

    2.8.4

    Testovanie bezpečnostných funkcií počas vývoja systémov.

    2.8.5

    Monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi. ...

Poznámky

  • 1)  Napríklad ISO/IEC 29134 Information technology - Security techniques - Guidelines for privacy impact ...
  • 2)  Napríklad STN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej ...
  • 3)  Napríklad § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých ...
  • 4)  Čl. 11 a § 13 Zákonníka práce; čl. 9 a § 5 zákona č. 55/2017 Z. z. o štátnej službe a o ...
Načítavam znenie...
MENU
Videonávod k používaniu systému
Hore