Grzka1
08.07.14,08:17
Dobrý deň
Stala som sa ZO ako nový zamestnanec, takže mam malo skusenosti s praxou ohl.Ochrany os.udajov, tak chcem poprosit o radu.
Sme nemocnica, ktorá ma vypracovaný bezpečnostný projekt, IS v zmysle zakona č. 122/2013.
Moja otazka: každy IS potrebuje mať vypracovanu aj bezpečnostnu smernicu? a s tym suvisi aj dalsia otazka...zo zakona vypadol nazov "bezpečnostna smernica" a nahradili ho "zavery vyplyvajuce z bezpečnostneho zameru a analyzy bezpečnosti IS"...podla mna hrozny nazov...treba uvadzat tento nazov?
dakujem za odpoved
Stala som sa ZO ako nový zamestnanec, takže mam malo skusenosti s praxou ohl.Ochrany os.udajov, tak chcem poprosit o radu.
Sme nemocnica, ktorá ma vypracovaný bezpečnostný projekt, IS v zmysle zakona č. 122/2013.
Moja otazka: každy IS potrebuje mať vypracovanu aj bezpečnostnu smernicu? a s tym suvisi aj dalsia otazka...zo zakona vypadol nazov "bezpečnostna smernica" a nahradili ho "zavery vyplyvajuce z bezpečnostneho zameru a analyzy bezpečnosti IS"...podla mna hrozny nazov...treba uvadzat tento nazov?
dakujem za odpoved
avalik
08.07.14,07:07
164/2013 Z. z.Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení
(5) Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov.
Áno, pojem bezpečnostná smernica sa už nepoužíva, používaš pojmy uvedené v zákone, resp. vyhláške.
PS: Máš absolvovanú skúšku na Úrade na ochranu osobných údajov?
(5) Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov.
Áno, pojem bezpečnostná smernica sa už nepoužíva, používaš pojmy uvedené v zákone, resp. vyhláške.
PS: Máš absolvovanú skúšku na Úrade na ochranu osobných údajov?
Ing. Ľubomír Janoška
08.07.14,07:36
Dobrý deň,
vo Vašich podmienkach je vhodné postupovať podľa ust. § 5 ods. 5 novelizovanej vykonávacej vyhlášky
" Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov"
o to viac, že vo viacerých informačných systémoch spracúvate osobné údaje osobitnej kategórie - nielen bežný PaM, ale hlavne IS pre zdravotnú dokumentáciu podľa zákona o zdravotnej starostlivosti.
Ako nemocnica potrebujete smernicu alebo internú normu na ochranu osobných údajov tak či tak, aj keď Vám zákon neprikazuje, aby bola súčasťou projektu. Čo sa týka "záverov", odporúčam využiť ustanovenie § 2 ods. 2 vykonávacej vyhlášky
"Dokumentácia podľa § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované; v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5."
a "závery" formulovať ako skutočné závery (=rekapituláciu dôežitých faktov a ich dôsledkov) s odkazmi na dokumenty s podrobnými informáciami.
PS - Valika, ospravedlňujem sa za "vykradnutie" príspevku :)
vo Vašich podmienkach je vhodné postupovať podľa ust. § 5 ods. 5 novelizovanej vykonávacej vyhlášky
" Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov"
o to viac, že vo viacerých informačných systémoch spracúvate osobné údaje osobitnej kategórie - nielen bežný PaM, ale hlavne IS pre zdravotnú dokumentáciu podľa zákona o zdravotnej starostlivosti.
Ako nemocnica potrebujete smernicu alebo internú normu na ochranu osobných údajov tak či tak, aj keď Vám zákon neprikazuje, aby bola súčasťou projektu. Čo sa týka "záverov", odporúčam využiť ustanovenie § 2 ods. 2 vykonávacej vyhlášky
"Dokumentácia podľa § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované; v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5."
a "závery" formulovať ako skutočné závery (=rekapituláciu dôežitých faktov a ich dôsledkov) s odkazmi na dokumenty s podrobnými informáciami.
PS - Valika, ospravedlňujem sa za "vykradnutie" príspevku :)
Grzka1
08.07.14,08:07
avalik, hej,mam absolvovanu skusku
prebrala som vypracovaný projekt, ale myslim, že ho treba prerobit, tak zistujem detaily...vdaka za odpoved
prebrala som vypracovaný projekt, ale myslim, že ho treba prerobit, tak zistujem detaily...vdaka za odpoved
avalik
08.07.14,08:15
Ľubko, v pohode - aj inokedy ... ja dávam surové info, ty k nim pridávaš dušu :)
Grzka1
08.07.14,08:18
Ing. Ľubomír Janoška
dakujem za pomoc.
takto: my máme vypracovaný bezpečnostný projekt,ktorý som prebrala pri nastupe do zamestnania,ale to chcem dotiahnut.
máme 9 IS, ale len 2 maju vypracovanu bezpečnostnu smernicu...ľudské zdroje a Nemocničný inf.system..dalsie (ako napr. účtovnictvo, sprava registratury,sudne spory...atď.)nemaju smernicu. chcela by som teda vedieť či to presne určuje niejaka vyhlaska...a či treba aj ostatne smernice...po novom zavery...:)
dakujem za pomoc.
takto: my máme vypracovaný bezpečnostný projekt,ktorý som prebrala pri nastupe do zamestnania,ale to chcem dotiahnut.
máme 9 IS, ale len 2 maju vypracovanu bezpečnostnu smernicu...ľudské zdroje a Nemocničný inf.system..dalsie (ako napr. účtovnictvo, sprava registratury,sudne spory...atď.)nemaju smernicu. chcela by som teda vedieť či to presne určuje niejaka vyhlaska...a či treba aj ostatne smernice...po novom zavery...:)
Ing. Ľubomír Janoška
08.07.14,09:59
:Grzka1
Bolo by jednoduchšie celú dokumentáciu vytvoriť od začiatku, aby Vás nepomýlilo, čo je už urobené. Napríklad by ma veľmi zaujímalo, aké právne základy sú uvedené u IS "účtovníctvo" a "správa registratúry"... pretože buď ich názvy nezodpovedajú právnym základom alebo ich právne základy - osobitné zákony - nespĺňajú požiadavku danú ustanovením § 10 ods. zákona o ochrane osobných údajov (citujem)
Prevádzkovateľ ďalej spracúva osobné údaje bez
súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.
Zákon o účtovníctve a zákon o archíve a registratúre nespĺňajú túto požiadavku.
PS: Neexistuje žiadna vyhláška, treba zmapovať konkrétne účely spracovania a ich právne základy a takisto treba zmapovať konkrétne podmienky spracovania. Ak BP nevychádza z takto konkrétne zistených faktov, tak je veľmi vážne spochybnený.
Bolo by jednoduchšie celú dokumentáciu vytvoriť od začiatku, aby Vás nepomýlilo, čo je už urobené. Napríklad by ma veľmi zaujímalo, aké právne základy sú uvedené u IS "účtovníctvo" a "správa registratúry"... pretože buď ich názvy nezodpovedajú právnym základom alebo ich právne základy - osobitné zákony - nespĺňajú požiadavku danú ustanovením § 10 ods. zákona o ochrane osobných údajov (citujem)
Prevádzkovateľ ďalej spracúva osobné údaje bez
súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon.
Zákon o účtovníctve a zákon o archíve a registratúre nespĺňajú túto požiadavku.
PS: Neexistuje žiadna vyhláška, treba zmapovať konkrétne účely spracovania a ich právne základy a takisto treba zmapovať konkrétne podmienky spracovania. Ak BP nevychádza z takto konkrétne zistených faktov, tak je veľmi vážne spochybnený.
Grzka1
08.07.14,11:30
myslite to tak,že napr. IS účtovníctvo a sprava reg. nepotrebuju mat evidenčný list a tým padom ani netreba taketo informačné systemy? či som to zle pochopila.:o
rozumiem tomu,že sa spracuvaju podla prislusnych zakonov,ale
po školeniach u JUDr.Macovej som usudila,že treba. Na stranke Uradu na OOU si možete pozrieť účel aj právny zaklad takýchto informačných systemov. Vychádzala som z tohoto:
http://www.dataprotection.gov.sk/uoou/sk/content/evidencne-listy-uradu
P.S.:a este raz dakujem Vam za rady
Jana :)
rozumiem tomu,že sa spracuvaju podla prislusnych zakonov,ale
po školeniach u JUDr.Macovej som usudila,že treba. Na stranke Uradu na OOU si možete pozrieť účel aj právny zaklad takýchto informačných systemov. Vychádzala som z tohoto:
http://www.dataprotection.gov.sk/uoou/sk/content/evidencne-listy-uradu
P.S.:a este raz dakujem Vam za rady
Jana :)
Ing. Ľubomír Janoška
08.07.14,12:11
Nebudem to verejne rozoberať, ozvem sa Vám so súkromnou správou.
Ľ.
Ľ.