ebene342
28.12.16,10:42
Zdravim kolegovia, prepracovavam "agendu ochrany osobnych udajov", neviete mi nahodou poradit, akym sposobom identifikujem informacny system? na skoleni nam skolitelka hovorila o tom, ze ak pride urad na kontrolu a nahodou zisti, ze sme neidentifikovali (teda nemame jeden z informacnych systemov) IS udelia nam pokutu... Neviete nahodou ako na to? ako ho spravne identifikovat? napriklad: IS mzdy a personalistika, IS cestovne kancelarie, IS eshop a pod.... ako ale urcim, ze existuju aj dalsie v nasej spoločnosti? aby som neico neprehliadla? davame si vypracovat bezpecnostny projekt firmou, ale neviem, ci som az tak uplne nadsena ich vysledkom po skoleni, ktore som absolvovala.... vdaka..
Ing. Ľubomír Janoška
12.01.17,12:11
Informačný systém (automatizovaného alebo aj manuálneho spracúvania) osobných údajov je určený:
1) okruhom dotknutých osôb - zamestnanci, uchádzači o zamestnanie, zmluvní partneri fyzické osoby, oznamovatelia protispoločenskej činnosti, deti a žiaci, ich zákonní zástupcovia, vlastníci bytových a nebytových priestorov, klienti banky, urbárnici...
2) právnym základom pre spracúvanie osobných údajov, to môže byť
- osobitné ustanovenie zákona o ochrane osobných údajov (kamerové systémy, evidencia jednorazových vstupov čiže návštev, zmluvy,... )
- ustanovenie osobitného zákona (zákonník práce, zákon o sociálnom poistení, zákon o policajnom zbore, zákon o matrikách, školský zákon, katastrálny zákon... je ich - pokiaľ viem - okolo 80)
- pokiaľ neexistuje zákonné ustanovenie, na základe ktorého by sa mohli spracúvať osobné údaje, je potrebný súhlas dotknutej osoby.
Súhlas dotknutej osoby je potrebný takisto pre spracovanie nad rámec príslušného zákonného ustanovenia (napríklad spracúvanie fotografie zamestnanca, zverejňovanie fotiek školákov... a podobne),
3) (spoločnými) činnosťami spracúvania - napríklad rozlišujeme IS pre PaM a nerozlišujeme osobitne IS pre personalistiku pre potrebu zamestnávateľa, IS pre správu a platenie poistného, IS pre správu a platenie daňových preddavkov, IS pre správu doplnkového poistenia zamestnanca, IS pre zrážky zo mzdy a podobne.
Bezpečnostný projekt je len jeden z viacerých dokumentov, ktoré musíte mať vypracované:
- oznámenie IS na Úrad, pokiaľ podliehajú oznamovacej povinnosti,
- interná evidencia ostatných IS,
- zmluvy s dodávateľmi, ktorí vo vašom mene spracúvajú osobné údaje,
- poučenia pre zamestnancov a dohodárov podľa pracovných náplní,
- bezpečnostný projekt.
Keď ste si už objednali iba projekt, teda čiastkové riešenie, môžete trvať na tom, aby analýza rizík, ktorá je povinnou súčasťou bezpečnostného projektu, obsahovala aj analýzu legislatívnych rizík, osobitne analýzu rizík z porušenia povinností určených zákonom o ochrane osobných údajov. Inak vám nebude na nič a neobstojí ani pred inšpektormi z Úradu.
1) okruhom dotknutých osôb - zamestnanci, uchádzači o zamestnanie, zmluvní partneri fyzické osoby, oznamovatelia protispoločenskej činnosti, deti a žiaci, ich zákonní zástupcovia, vlastníci bytových a nebytových priestorov, klienti banky, urbárnici...
2) právnym základom pre spracúvanie osobných údajov, to môže byť
- osobitné ustanovenie zákona o ochrane osobných údajov (kamerové systémy, evidencia jednorazových vstupov čiže návštev, zmluvy,... )
- ustanovenie osobitného zákona (zákonník práce, zákon o sociálnom poistení, zákon o policajnom zbore, zákon o matrikách, školský zákon, katastrálny zákon... je ich - pokiaľ viem - okolo 80)
- pokiaľ neexistuje zákonné ustanovenie, na základe ktorého by sa mohli spracúvať osobné údaje, je potrebný súhlas dotknutej osoby.
Súhlas dotknutej osoby je potrebný takisto pre spracovanie nad rámec príslušného zákonného ustanovenia (napríklad spracúvanie fotografie zamestnanca, zverejňovanie fotiek školákov... a podobne),
3) (spoločnými) činnosťami spracúvania - napríklad rozlišujeme IS pre PaM a nerozlišujeme osobitne IS pre personalistiku pre potrebu zamestnávateľa, IS pre správu a platenie poistného, IS pre správu a platenie daňových preddavkov, IS pre správu doplnkového poistenia zamestnanca, IS pre zrážky zo mzdy a podobne.
Bezpečnostný projekt je len jeden z viacerých dokumentov, ktoré musíte mať vypracované:
- oznámenie IS na Úrad, pokiaľ podliehajú oznamovacej povinnosti,
- interná evidencia ostatných IS,
- zmluvy s dodávateľmi, ktorí vo vašom mene spracúvajú osobné údaje,
- poučenia pre zamestnancov a dohodárov podľa pracovných náplní,
- bezpečnostný projekt.
Keď ste si už objednali iba projekt, teda čiastkové riešenie, môžete trvať na tom, aby analýza rizík, ktorá je povinnou súčasťou bezpečnostného projektu, obsahovala aj analýzu legislatívnych rizík, osobitne analýzu rizík z porušenia povinností určených zákonom o ochrane osobných údajov. Inak vám nebude na nič a neobstojí ani pred inšpektormi z Úradu.