analýza bezpečnosti informačného systému | bezpečnostné smernice a bezp. zámer
Pojmy bezpečnostného projektu
Medzi najdôležitejšie základné pojmy používané v bezpečnostnom projekte, vytvorenom podľa zákona 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov patria:
Bezpečnostný projekt
Bezpečnostný projekt je dokument, ktorého obsah je vymedzený Zákonom na ochranu osobných údajov. Pozostáva z troch navzájom previazaných častí:
- Bezpečnostný zámer a jeho súčasti: opis aktív vašej spoločnosti, opis strategických cieľov a opis predpokladaných hrozieb.
- Riziková analýza, ktorá na základe výstupov z Bezpečnostného zámeru posudzuje a najmä objektivizuje vplyv hrozieb na aktíva a strategické ciele vašej spoločnosti. Vplyv hrozby na aktívum spoločnosti sa nazýva riziko. Veľkosť jednotlivých rizík je práve výsledkom rizikovej analýzy.
- Bezpečnostné smernice, ktorých účelom je na základe rizikovej analýzy prijať také opatrenia, ktoré budú minimalizovať riziká identifikované v Rizikovej analýze.
Za bezpečnosť osobných údajov v informačnom systéme zodpovedá prevádzkovateľ a sprostredkovateľ. Chránia ich pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek neprípustnými formami spracúvania. Pre určitú skupinu prevádzkovateľov a sprostredkovateľov je stanovená povinnosť formalizovať informačnú bezpečnosť ohľadne osobných údajov do písanej podoby, ktorou je Bezpečnostný projekt.
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
[§ 15 Zodpovednosť za bezpečnosť osobných údajov; § 16 Bezpečnostný projekt]
Cezhraničný tok osobných údajov
Cezhraničný tok osobných údajov je prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektami
[§ 4, ods. 1, písm. j); § 23 Prenos osobných údajov do tretích krajín; § 23a Prenos osobných údajov v rámci členských krajín štátov Európskej únie]
Dotknutá osoba
Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
[§ 4, ods. 5; § 20 Práva dotknutej osoby; § 21 Poskytnutie informácií dotknutej osobe; § 22 Oznámenie o obmedzení práv dotknutej osoby]
Informačný systém
Informačný systémom je akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.
[§ 4, ods. 1, písm. g)]
Likvidácia osobných údajov
Likvidácia osobných údajov je zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.
[§ 4, ods. 1, písm. e); § 13 Likvidácia osobných údajov]
Oprávnená osoba
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon neustanovuje inak.
[§ 4, ods. 4]
Osobitné kategórie osobných údajov
Medzi tieto tzv. citlivé údaje zaraďujeme údaje o rase či etniku, politické názory, náboženskú vieru alebo svetonázor, členstvo v politickej strane alebo hnutí, členstvo v odboroch. Dôležitou súčasťou balíka citlivých údajov sú údaje o zdravotnom stave a údaje o pohlavnom živote.
Všetky tieto údaje je v zásade zakázané spracúvať čo vyplýva z generálneho zákazu, ale nie je to zákaz absolútny.
Dôležitým elementom v množine osobitných kategórií osobných údajov je rodné číslo alebo slovami zákona všeobecne použiteľný identifikátor. Rodné číslo možno spracúvať iba keď je to nevyhnutné na dosiahnutie účelu spracúvania, pričom nikdy nie je povolené rodné číslo zverejňovať.
Zverejňovanie rodného čísla je bez výnimky zakázané. (Pokiaľ sa rodné číslo nachádza niekde na internete alebo bolo uvedené v televízii, či inak masovokomunikačnými prostriedkami dané na známosť verejnosti, porušil sa tým zákon.)
[§ 8 Osobitné kategórie osobných údajov]
Osobné údaje
Osobné údaje sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Či dané údaje sú alebo nie sú osobnými údajmi môžeme vyčítať len z kontextu ich použitia. Napr. ak máme k dispozícii iba meno a priezvisko a vieme o osobe, že je mužského pohlavia, máme len súbor údajov, ktoré nemožno považovať za osobné, lebo z nich v tomto všeobecnom kontexte nevieme priamo ani nepriamo určiť fyzickú osobu. V zásade je to málo na to, aby sme mohli takpovediac ukázať na niekoho a povedať, že to je ON.
[§ 3 Osobné údaje]
Prevádzkovateľ
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky. To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej únie.
[§ 4, ods. 2; § 5 Prevádzkovateľ a sprostredkovateľ; § 6 Základné povinnosti prevádzkovateľa]
Spracúvanie osobných údajov
Spracúvanie osobných údajov je vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.
[§ 4, ods. 1, písm. a)]
Sprostredkovateľ
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
[§ 4, ods. 3; § 5 Prevádzkovateľ a sprostredkovateľ]
Súhlas dotknutej osoby
Súhlas dotknutej osoby je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vedome vyjadruje súhlas so spracúvaním svojich osobných údajov
[§ 4, ods. 1, písm. i); § 7 Súhlas dotknutej osoby]
Tretia krajina
Treťou krajinou je štát, ktorý nie je členským štátom Európskej únie
[§ 4, ods. 1, písm. p)]
Tretia strana
Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené osoby.
[§ 4, ods. 7]
Účel spracúvania
Účel spracúvania osobných údajov je vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť.
[§ 4, ods. 1, písm. h)]
Všeobecne použiteľný identifikátor
Všeobecne použiteľný identifikátor je trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch
[§ 4, ods. 1, písm. m)]
Zodpovedná osoba
Každý prevádzkovateľ, ktorý zamestnáva viac ako 5 osôb je povinný ustanoviť zodpovednú osobu. Táto osoba u neho vykonáva dohľad nad ochranou osobných údajov pri ich spracúvaní. Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa zákona o ochrane osobných údajov zodpovedá prevádzkovateľ.
[§ 19 Dohľad nad ochranou osobných údajov]
