Ochrana osobných údajov a bezpečnostný projekt. Čo od toho očakávať?

Dôležitý zákon

Za najdôležitejšie východisko v súvislosti s ochranou osobných údajov možno považovať aktuálne platný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, v znení zákona č. 84/2014 Z. z. (ďalej len „zákon“). Úplné znenie zákona je v rámci zbierky zákonov možné nájsť aj ako zákon č. 136/2014 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. K najdôležitejším základným pojmom používaným v rámci problematiky ochrany osobných údajov (ďalej len „OÚ“), aj v súvislosti s bezpečnostným projektom (ďalej len „BP“), môžeme zaradiť predovšetkým nasledujúcu najfrekventovanejšiu terminológiu, ktorú si vysvetlíme bližšie:

Bezpečnostný projekt

Možno ho charakterizovať ako súbor dokumentov, ktorých obsah a časti vymedzuje zákon. Pozostáva najmä z troch navzájom previazaných častí, medzi ktoré patria: Bezpečnostný zámer, Analýza bezpečnosti informačných systémov a Závery vyplývajúce zo zámeru a analýzy.
Súčasťou BP sú aj evidenčné listy, poučenia oprávnených osôb, zmluvy o spracúvaní osobných údajov so sprostredkovateľom, záznamy o incidentoch a kontrolnej činnosti, respektíve prípadné poverenie zodpovednej osoby.

Informačný systém

Presná definícia tohto pojmu je uvedená v zákone, no zjednodušene môžeme povedať, že ide o určitý súbor (zbierku) osobných údajov, pričom nemusí ísť nevyhnutne o počítačový informačný systém.
Druhou charakteristickou črtou je fakt, že s takto zoskupenými osobnými údajmi pracujeme v rámci jedného účelu. Využívame ich teda na dosiahnutie jedného cieľa, ako napríklad na účely spracovania miezd zamestnancov, alebo na marketingové účely. Osobné údaje, ktoré využívame na dva rôzne účely, z pohľadu zákona predstavujú dva samostatné informačné systémy, aj keď ich máme uchovávané v rámci našej jednej aplikácie.

Osobné údaje

Podľa zákona ide o údaje týkajúce sa konkrétnej fyzickej osoby, na základe ktorých je možné priamo alebo nepriamo túto osobu určiť. Napríklad na základe priameho identifikátora – rodného čísla, alebo pomocou súboru charakteristík a údajov, ktoré ju opisujú, a tým aj určujú.
Medzi osobné údaje však nespadajú údaje o živnostníkoch (FO-PO), ani údaje o právnických osobách (PO).
Či dané údaje o fyzickej osobe sú, alebo nie sú osobnými údajmi, môžeme vyčítať len z kontextu ich použitia. Napríklad, ak máme k dispozícii iba meno a priezvisko a vieme o osobe, že je mužského pohlavia, máme len súbor údajov, ktoré nemožno považovať za osobné, lebo z nich v tomto všeobecnom kontexte nevieme priamo ani nepriamo určiť fyzickú osobu. V zásade je to málo na to, aby sme mohli takpovediac ukázať na niekoho a povedať, že to je ON.

Osobitné kategórie osobných údajov

Osobitnú kategóriu osobných údajov tvoria špeciálne, zákonom vymedzené údaje, ktoré môžeme označiť ako citlivé. V rámci bežného života sa stretávame predovšetkým s rodným číslom, prípadne so zdravotnými údajmi, respektíve v poslednom čase čoraz častejšie aj s odtlačkami prstov.
Ku všetkým týmto citlivým osobným údajom zákon pristupuje osobitne, a preto s nimi treba zaobchádzať mimoriadne rozvážne. Rodné číslo napríklad môžeme spracúvať iba vtedy, keď je to nevyhnutné na dosiahnutie účelu spracúvania, pričom zverejňovanie rodného čísla je zakázané.

Spracúvanie osobných údajov

Rozumieme pod tým vykonávanie takmer akýchkoľvek činností s osobnými údajmi. Medzi najčastejšie spracovateľské operácie patrí okrem iného najmä ich získavanie, vyhľadávanie, využívanie, prípadne zmena a úprava údajov, ich zverejňovanie, a v neposlednom rade aj ich likvidácia po skončení účelu, na ktorý sme ich pôvodne spracúvali.

Prevádzkovateľ

Prevádzkovateľom je každý, kto určuje účel a cieľ spracúvania osobných údajov, definuje podmienky takéhoto spracúvania a spracúva tieto údaje vo vlastnom mene, teda nie v mene niekoho iného.
Ak účel, prípadne aj podmienky spracúvania osobných údajov, ustanovuje napríklad zákon, prevádzkovateľom je ten, kto je takýmto zákonom za prevádzkovateľa ustanovený.

Sprostredkovateľ

Sprostredkovateľom je každý, kto spracúva osobné údaje v mene nejakého prevádzkovateľa, teda pod jeho menom, hlavičkou a podobne. Pritom sprostredkovateľ neurčuje účel ani podmienky takéhoto spracúvania, pretože tie určuje samotný prevádzkovateľ.

Dotknutá osoba

Dotknutou osobou je každá fyzická osoba, ktorej sa spracúvané osobné údaje týkajú. Medzi dotknuté osoby však nespadajú živnostníci ani právnické osoby, pretože údaje o nich zákon o osobných údajoch neklasifikuje ako osobné údaje.

Likvidácia osobných údajov

Zákon pod týmto pojmom definuje činnosť, ktorej výsledkom je znehodnotenie, respektíve zničenie osobných údajov do takej miery, aby sa nedali znovu použiť. Asi najčastejším spôsobom zlikvidovania je vymazanie, prípadne fyzické zničenie, ak ide napríklad o údaje nahraté na diskoch.

Súhlas dotknutej osoby

Súhlas dotknutej osoby je akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov na vopred určený účel spracúvania. 

Autor je odborník na problematiku Bezpečnostných projektov a ochrany OÚ.

www.gdprsmernica.sk

www.bezpecnostnyprojekt.sk