Uplatnili sa dve novely. Novela zákona 122/2013 - zákon 84/2014 a novela vyhlášky 164/2013 - vyhláška 117/2014. Bezpečnostná smernica od 15.4.2014 neexistuje pre tých prevádzkovateľov, ktorí nemusia mať Bezpečnostný projekt a od 1.5.2014 neexistuje ani pre tých, ktorí ho musia mať a bola jeho súčasťou. Pokiaľ používate elektronickú komunikáciu so SP, ZP alebo DÚ, máte tak ako pred novelami povinnosť vypracovať bezpečnostný projekt (obaja - prevádzkovateľ aj sprostredkovateľ oprava - viď diskusia nižšie). Už ale nebude obsahovať Bezpečnostnú smernicu, ale namiesto nej budú Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému. Ich obsah je stanovený skoro rovnako ako predtým obsah smernice: a) popis bezpečnostných opatrení a spôsob ich uplatňovania v konkrétnych podmienkach, b) rozsah oprávnení, popis povolených činností a spôsob identifikácie a autentizácie jednotlivých oprávnených osôb... c) spôsob, formu a periodicitu výkonu kontrolných činností d) postupy pri haváriách, poruchách a iných mimoriadnych udalostiach vrátane preventívnych opatrení na zníženie rizika vzniku mimoriadnych udalostí... Vynechaný je (oproti stavu spred novely) rozsah zodpovednosti oprávnených osôb a zodpovednej osoby, ale bez nich sa aj tak nedá riadiť bezpečnosť osobných údajov.

Ďakujem, no ešte predsa. Elektronickú komunikáciu so SP, ZP a DÚ používam ja, ako sprostredkovateľ. Prevádzkovateľ nie. Aj napriek tomu má prevádzkovateľ povinnosť vypracovať si bezpečnostný projekt?

Pôvodne som to pochopil tak, že aj prevádzkovateľ komunikuje s tretími stranami o osobných údajov, takže nie. Potom je nutné vedieť, či prevádzkovateľ spracúva osobitné katogórie osobných údajov (rodné číslo, zdravie) v elektronickej forme, takže skúsim namodelovať 2 základné prípady:
1) prevádzkovateľ Vám odovzdáva podklady v listinnej forme a sám nespracúva rodné čísla a údaje o zdraví elektronicky, ani ich nemá v počítači. Personalistiku si vedie "na papieri". Od Vás dostane zostavu s platobnými príkazmi a vykoná platby. Alebo Vám posiela podklady e-mailom. V tomto prípade prevádzkovateľ nemusí mať bezpečnostný projekt.
2) prevádzkovateľ má aspoň nejaké citlivé údaje (rodné číslo, zdravie) v počítači, ktorý je v sieti, ktorá má pripojenie na Internet. Stačí, aby mal personálne údaje (aj bez mzdových) v nejakom personalistickom programe alebo v exceli. Alebo Vám posiela podklady e-mailom. Vtedy musí mať bezpečnostný projekt.

Ďakujem, už začínam byť konečne v obraze. Teda v mojom prípade je 1. prípad správny. Takže prevádzkovateľ v tom 1. prípade nemá z hľadiska zákona o ochr. os. údajov žiadne povinnosti? (Teda okrem zmluvy medzi prevádkovateľom a sprostredkovateľom podľa § 8).

V prvom prípade, teda ak prevádzkovateľ nie je povinný vypracovať bezpečnostný projekt, má povinnosť preukázať obsah bezpečnostných opatrení (cit.)
napríklad
* popisom bezpečnostných opatrení a spôsobom ich uplatňovania v konkrétnych podmienkach,
* záznamami o poučení oprávnených osôb podľa § 21 zákona,
* záznamami o zistených bezpečnostných incidentoch...
* záznamami o opatreniach, ktoré prevádzkovateľ prijal ... po bezpečnostných incidentoch...
Tu je drobný problém s tým, ako v sa praxi vysporiadať s čarovným slovíčkom "napríklad". Osobne odporúčam určite prijatie smernice (= internej normy), ktorá záväzne určí podmienky spracovania (napríklad, že o osobných údajoch sa so sprostredkovateľ komunikuje iba v písomnej forme, či bude ZO alebo kto bude kontrolovať), povinné bezpečnostné opatrenia (napríklad zásada čistého stola, zamykanie zásuviek a podobne... viď príloha vyhlášky 164/2013). Koniec-koncov aj kompetencie musia byť niekde určené, poučenia OO musia z niečoho vychádzať, takže kompetencie tiež do smernice. Plus - ak treba - vzory úkonov. Toľko k prvej odrážke.
Záznamy o poučení ostávajú, len sú stručnejšie.
Všetko, čo sa týka incidentov, by som riešil iba v prípade, že nastanú.

Okrem toho samozrejme evidencia informačných systémov + zmluvy so sprostredkovateľmi.