domka258
01.04.14,11:07
Zdravím vás,
naša spoločnosť už niekoľkokrát publikovala pracovný inzerát. CV chodia e-mailom, sú uchovávané v PC (http://www.porada.sk/pc#__AUTOKW), ktorý používam iba ja, ale má prístup na net. Čo musíme spĺňať, aby toto všetko bolo v súlade s právom? Predpokladám, že sa tu bude (okrem iného) spomínať bezpečnostný projekt. Môže byť jeden bezpečnostný projekt, v ktorom bude zahrnutá OOÚ zamestnancov (účtovník používa iný PC (http://www.porada.sk/pc#__AUTOKW)) a aj uchádzačov (môj PC (http://www.porada.sk/pc#__AUTOKW))?
Mám prečítaný celý zákon o OOÚ, ale je pre mňa neskutočne abstraktný a bohužiaľ, neporozumela som mu. Potrebujem to polopatisticky.
Ďakujem vám za odpovede.
naša spoločnosť už niekoľkokrát publikovala pracovný inzerát. CV chodia e-mailom, sú uchovávané v PC (http://www.porada.sk/pc#__AUTOKW), ktorý používam iba ja, ale má prístup na net. Čo musíme spĺňať, aby toto všetko bolo v súlade s právom? Predpokladám, že sa tu bude (okrem iného) spomínať bezpečnostný projekt. Môže byť jeden bezpečnostný projekt, v ktorom bude zahrnutá OOÚ zamestnancov (účtovník používa iný PC (http://www.porada.sk/pc#__AUTOKW)) a aj uchádzačov (môj PC (http://www.porada.sk/pc#__AUTOKW))?
Mám prečítaný celý zákon o OOÚ, ale je pre mňa neskutočne abstraktný a bohužiaľ, neporozumela som mu. Potrebujem to polopatisticky.
Ďakujem vám za odpovede.
Ing. Ľubomír Janoška
01.04.14,12:29
Dobrý deň,
to, že CV Vám chodia mailom, znamená, že IS uchádzačov o zamestnanie je prepojený s verejnou sieťou. Druhou podmienkou pre projekt je spracúvanie osobných údajov osobitnej kategórie, napríklad rodné číslo uchádzača alebo údaje o jeho zdravotnom stave. Uchádzači bežne tieto údaje uvádzajú a niektoré portály ich priamo vyžadujú. Ak teda spracúvate osobné údaje osobitnej kategórie uchádzačov, musíte mať projekt kvôli nim.
Iný dôvod, prečo by ste museli mať projekt, môže byť mzdová agenda. Ak máte zamestnancov a komunikujete o nich so SP, ZP a DÚ cez webové aplikácie (http://www.porada.sk/aplikacie#__AUTOKW), aj to je dôvod na bezpečnostný projekt.
Ak nie sú splnené tieto podmienky, tak by ste mali mať bezpečnostnú smernicu. Toto platí dnes, nemusí to platiť 15.4., podľa toho, či prezident podpíše novelu, ktorú pred pár dňami schválila NRSR. To je nepredvídateľné. Takže musíme pár dní počkať a potom sa k tomu vrátiť.
to, že CV Vám chodia mailom, znamená, že IS uchádzačov o zamestnanie je prepojený s verejnou sieťou. Druhou podmienkou pre projekt je spracúvanie osobných údajov osobitnej kategórie, napríklad rodné číslo uchádzača alebo údaje o jeho zdravotnom stave. Uchádzači bežne tieto údaje uvádzajú a niektoré portály ich priamo vyžadujú. Ak teda spracúvate osobné údaje osobitnej kategórie uchádzačov, musíte mať projekt kvôli nim.
Iný dôvod, prečo by ste museli mať projekt, môže byť mzdová agenda. Ak máte zamestnancov a komunikujete o nich so SP, ZP a DÚ cez webové aplikácie (http://www.porada.sk/aplikacie#__AUTOKW), aj to je dôvod na bezpečnostný projekt.
Ak nie sú splnené tieto podmienky, tak by ste mali mať bezpečnostnú smernicu. Toto platí dnes, nemusí to platiť 15.4., podľa toho, či prezident podpíše novelu, ktorú pred pár dňami schválila NRSR. To je nepredvídateľné. Takže musíme pár dní počkať a potom sa k tomu vrátiť.
OOU.sk
03.04.14,08:14
Doplnil by som snáď len toľko, že osobné údaje uchádzačov sa spravidla spracúvajú ako súčasť Personálneho a mzdového informačného systému. Vyplýva to aj z aktuálneho evidenčného listu IS PaM (http://www.porada.sk/pam#__AUTOKW) Úradu na ochranu osobných údajov SR, kde vo výpočte dotknutých osôb nájdete aj uchádzačov o zamestnanie.
LINK: Evidenčný list IS PaM Úradu na ochranu osobných údajov SR (http://www.dataprotection.gov.sk/buxus/docs/Evidencny_list_personalistika_a_mzdy.pdf)
LINK: Evidenčný list IS PaM Úradu na ochranu osobných údajov SR (http://www.dataprotection.gov.sk/buxus/docs/Evidencny_list_personalistika_a_mzdy.pdf)
domka258
19.05.14,06:35
Dobrý deň,
viete mi teraz, po 15.4. povedať, či a ak áno, ako sa to zmenilo?
Ďakujem.
viete mi teraz, po 15.4. povedať, či a ak áno, ako sa to zmenilo?
Ďakujem.
Ing. Ľubomír Janoška
19.05.14,07:24
:domka258
Dobrý deň,
tých zmien bolo viac, takže vyberiem tie, ktoré sa bezprostredne týkajú otázky.
Od 15.4 je novelou zákona o ochrane osobných údajov zrušená bezpečnostná smernica ako samostatný dokument a od 1.5. je novelou vykonávacej vyhlášky premenovaná bezpečnostná smernica ako súčasť BP na "závery" s drobnou úpravou obsahu, jeden bod je vypustený.
Ak máte povinnosť vypracovať bezpečnostný projekt (viď pôvodná odpoveď), tak jeho povinný obsah zostane takmer nezmenený.
Ak nemáte povinnosť vypracovať bezpečnostný projekt, tak máte povinnosť viesť dokumentáciu o bezpečnostných opatreniach podľa novelizovanej vyhlášky, tak že "zodpovedá rozsahu prijatých bezpečnostných opatrení podľa § 3 a preukazuje sa napríklad popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch"... Čiže určite treba mať záznamy o poučení oprávnených osôb, zmluvy so sprostredkovateľmi, treba mať zdokumentované vlastné podmienky spracovania osobných údajov a ich zabezpečenie; ak dôjde k prevádzkovému incidentu, treba ho tiež zdokumentovať aj s opatreniami, ktoré zabránia jeho zopakovaniu.
Dobrý deň,
tých zmien bolo viac, takže vyberiem tie, ktoré sa bezprostredne týkajú otázky.
Od 15.4 je novelou zákona o ochrane osobných údajov zrušená bezpečnostná smernica ako samostatný dokument a od 1.5. je novelou vykonávacej vyhlášky premenovaná bezpečnostná smernica ako súčasť BP na "závery" s drobnou úpravou obsahu, jeden bod je vypustený.
Ak máte povinnosť vypracovať bezpečnostný projekt (viď pôvodná odpoveď), tak jeho povinný obsah zostane takmer nezmenený.
Ak nemáte povinnosť vypracovať bezpečnostný projekt, tak máte povinnosť viesť dokumentáciu o bezpečnostných opatreniach podľa novelizovanej vyhlášky, tak že "zodpovedá rozsahu prijatých bezpečnostných opatrení podľa § 3 a preukazuje sa napríklad popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach, záznamami o poučení oprávnených osôb podľa § 21 zákona, záznamami o zistených bezpečnostných incidentoch s vplyvom na bezpečnosť osobných údajov a záznamami o opatreniach, ktoré prevádzkovateľ prijal na zaistenie bezpečnosti informačného systému po bezpečnostných incidentoch"... Čiže určite treba mať záznamy o poučení oprávnených osôb, zmluvy so sprostredkovateľmi, treba mať zdokumentované vlastné podmienky spracovania osobných údajov a ich zabezpečenie; ak dôjde k prevádzkovému incidentu, treba ho tiež zdokumentovať aj s opatreniami, ktoré zabránia jeho zopakovaniu.