vladan
24.06.05,08:30
No tak ako s tými našími projektami ? Asi to vypadá tak, že sa zhodneme na tom, že konkrétny popis IS /tak ako funguje vo firme/ budeme robiť v časti Analýza bezpečnosti IS. Hej ?
áno, ja to dám do Analýzy bezpečnosti IS ... zatiaľ to mám všetko v hlave ... možno motyka vystrelí a cez víkend to hodím na nejaký zdrap papiera :D
áno, ja to dám do Analýzy bezpečnosti IS ... zatiaľ to mám všetko v hlave ... možno motyka vystrelí a cez víkend to hodím na nejaký zdrap papiera :D
Vladimír Ozimý
24.06.05,06:33
no nikto mi nevie povedat co z tou ck-treba ju registrovat alebo nie ak robi z udajmi ale len na zmluvach a zoznamoch pre poistovnu.
a co financny poradca? ak robi na zivnost a ma zmluvu podpisanu z poradenskou firmou
a co financny poradca? ak robi na zivnost a ma zmluvu podpisanu z poradenskou firmou
dusanke
24.06.05,06:47
áno, ja to dám do Analýzy bezpečnosti IS ... zatiaľ to mám všetko v hlave ... možno motyka vystrelí a cez víkend to hodím na nejaký zdrap papiera :D
ja dam zvlast kapitolu Popis IS, kde bude architektura IS + funkcie
a v analyze bude ako je zabezpeceny proti hrozbam.
co davate ako zoznam chranenych udajov a ich klasifikacia?
ja dam zvlast kapitolu Popis IS, kde bude architektura IS + funkcie
a v analyze bude ako je zabezpeceny proti hrozbam.
co davate ako zoznam chranenych udajov a ich klasifikacia?
KatkaK
24.06.05,06:47
No tak ako s tými našími projektami ? Asi to vypadá tak, že sa zhodneme na tom, že konkrétny popis IS /tak ako funguje vo firme/ budeme robiť v časti Analýza bezpečnosti IS. Hej ?
No a kam inam by si to chcel dať?? Však to patrí presne do tej časti :)
No a kam inam by si to chcel dať?? Však to patrí presne do tej časti :)
JanaF
24.06.05,06:56
Ahojte. Pokusim sa aj ja cez vikend nieco pozliepat, prilepim, vymenime nazory, okomentujete... Do analyzy predsa treba rozpisat IS, nato sluzi:D
JanaF
24.06.05,07:02
no nikto mi nevie povedat co z tou ck-treba ju registrovat alebo nie ak robi z udajmi ale len na zmluvach a zoznamoch pre poistovnu.
a co financny poradca? ak robi na zivnost a ma zmluvu podpisanu z poradenskou firmouPokial mas na zmluve odvolavku na zakon na OOU a klient si to precita a suhlasi, aby si pouzil jeho RC, datum narodenia a este k tomu dodatok, ktory sa tyka sporstredkovatela. Nevidim potom dovod na registraciu. Mozno sa vyjadri aj niekto iny, toto je iba moja dedukcia;) Precitaj si zmluvu ako je stanovena. Mozno sa vyjadri este niekto iny, alebo skus pohladat TU (http://www.porada.sk/showthread.php?t=2165)
a co financny poradca? ak robi na zivnost a ma zmluvu podpisanu z poradenskou firmouPokial mas na zmluve odvolavku na zakon na OOU a klient si to precita a suhlasi, aby si pouzil jeho RC, datum narodenia a este k tomu dodatok, ktory sa tyka sporstredkovatela. Nevidim potom dovod na registraciu. Mozno sa vyjadri aj niekto iny, toto je iba moja dedukcia;) Precitaj si zmluvu ako je stanovena. Mozno sa vyjadri este niekto iny, alebo skus pohladat TU (http://www.porada.sk/showthread.php?t=2165)
Roman.S
24.06.05,07:54
Ľudkovia, dajme si cez víkend pauzu aj celým BP. Alebo nás až tak dobre platia ? :) Budúci týždeň to dorazíme. Ja od pondelka pridám, od rána, sľubujem :)
Ozaj, súhlasíte ?
Ozaj, súhlasíte ?
Roman.S
29.06.05,04:44
No vidím, že už asi máme všetci BP hotový. :)
Nikto ani nemukne ... :(
Nikto ani nemukne ... :(
bendži
29.06.05,04:52
Ja na nom konecne zacinam naplno makat, takze zrejme sa tu zacnem aj pomaly ale isto ozyvat :)
JanaF
29.06.05,04:57
Bendži a ako daleko si s BP? Bezpecnostne smernice uz mas vypracovane?
bendži
29.06.05,05:00
Bendži a ako daleko si s BP? Bezpecnostne smernice uz mas vypracovane?
Kdeže, veď píšem že začínam :) No mám už nazbierané nejaké podklady, aj na školení sme dostali celé CD-čko, vraj to stačí len upravovať, tak uvidíme, ako sa mi s tým bude dariť
Kdeže, veď píšem že začínam :) No mám už nazbierané nejaké podklady, aj na školení sme dostali celé CD-čko, vraj to stačí len upravovať, tak uvidíme, ako sa mi s tým bude dariť
Roman.S
29.06.05,05:05
Ahojte všetci bezpečáci :) Aké všetky smernice idete vyrábať do BP ? Pochváľte sa nejakým zoznamom ...
M0NIKA
29.06.05,06:25
ja viem ze sa tu rozobera bezpecnostny projekt ale podla toho co citam mame ocividne problemy co kedy a ako treba registrovat(neberte to ako urazku ale ja sa tam radim a preto si to musim ujasnit). takze ake registracie treba poslat
- ak je firma ktora ma menej ako 5 zamestnancov, ale ma IS(ci uz forma kartoteky alebo tabuliek alebo programu) tak registruje IS a firmu?
- ak je firma ktora ma viac ako 5 registruje len poverenu osobu?
- a ak nema IS ale pracuje s osobnymi udajmi ako napr. som spominal CK, ze ma udaje od klientov na prihlaskach, zoznamy k poistnym zmluvam ale neviedla by si napr. zoznam klientov registruje sa vobec?
Ja mam pocit ze sa odstahujem asi na mars :), lebo cim dlhsie robim v tejto oblasti tym menej jej rozumiem
Zo včerajšieho školenia k Tvojim otázkam:
§ 19 ods9: Prevádzkovateľ, ktorý zamestnáva menej ako 6 osôb a nepoveril ZO, je povinný prihlásiť na registráciu tie IS, ktoré podľa § 25 podliehajú registrácii.
§ 25 o.i. hovorí, že povinnosť registrácie sa vzťahuje na všetky IS, v ktorých sa spracúvajú OÚ ÚPLNE alebo ČIASTOČNE automatizovane. Lektorka nám povedala, že ak teda robím všetko iba ručne - na papieri, povinnosť registrácie nemám.
Máš menej ako 5 zamestnancov (rátajú sa iba v TPP), preto nemáš povinnosť registrácie, ale máš povinnosť EVIDENCIE IS!!!
Ak máš viac ako 5 zamestnancov, poveruješ PÍSOMNE zodpovednú osobu alebo zodpovedné osoby, pričom nahlasuješ iba jednu. § 19 ods. 5
Nahlasuješ ju do 30 dní DOPORUČENE na adresu:
Úrad na ochranu osobných údajov SR
Odborárske námestie 3
817 60 Bratislava 15
a to na formulári stiahnutom zo stránky: www pdp.gov.sk
Toto platí, ak si poveril osobu po 01.05.2005.
Ak bola poverená skôr, posielaš iba oznámenie o preškolení ZO (môže byť aj samoštúdium) § 55 ods. 2.
Ty si odkladáš výpis z RT ZO nie starší ako tri mesiace, t.j. február a máš ho po dobu výkonu ZO.
A tá tretia otázka: v závislosti od toho, aké údaje spracúvaš. Napr. tam boli ľudia, ktorí majú hotel, ale od klientov pýtajú iba meno, priezvisko, titul, adresu a ČOP (teda nie RČ), potom nemusia robiť nič. Ak by evidovali aj RČ - čo je "osobitná kategória osobných údajov" (§8), potom je to o inom....
Trochu ;) som sa rozpísala, ale snáď to niekomu pomôže....
- ak je firma ktora ma menej ako 5 zamestnancov, ale ma IS(ci uz forma kartoteky alebo tabuliek alebo programu) tak registruje IS a firmu?
- ak je firma ktora ma viac ako 5 registruje len poverenu osobu?
- a ak nema IS ale pracuje s osobnymi udajmi ako napr. som spominal CK, ze ma udaje od klientov na prihlaskach, zoznamy k poistnym zmluvam ale neviedla by si napr. zoznam klientov registruje sa vobec?
Ja mam pocit ze sa odstahujem asi na mars :), lebo cim dlhsie robim v tejto oblasti tym menej jej rozumiem
Zo včerajšieho školenia k Tvojim otázkam:
§ 19 ods9: Prevádzkovateľ, ktorý zamestnáva menej ako 6 osôb a nepoveril ZO, je povinný prihlásiť na registráciu tie IS, ktoré podľa § 25 podliehajú registrácii.
§ 25 o.i. hovorí, že povinnosť registrácie sa vzťahuje na všetky IS, v ktorých sa spracúvajú OÚ ÚPLNE alebo ČIASTOČNE automatizovane. Lektorka nám povedala, že ak teda robím všetko iba ručne - na papieri, povinnosť registrácie nemám.
Máš menej ako 5 zamestnancov (rátajú sa iba v TPP), preto nemáš povinnosť registrácie, ale máš povinnosť EVIDENCIE IS!!!
Ak máš viac ako 5 zamestnancov, poveruješ PÍSOMNE zodpovednú osobu alebo zodpovedné osoby, pričom nahlasuješ iba jednu. § 19 ods. 5
Nahlasuješ ju do 30 dní DOPORUČENE na adresu:
Úrad na ochranu osobných údajov SR
Odborárske námestie 3
817 60 Bratislava 15
a to na formulári stiahnutom zo stránky: www pdp.gov.sk
Toto platí, ak si poveril osobu po 01.05.2005.
Ak bola poverená skôr, posielaš iba oznámenie o preškolení ZO (môže byť aj samoštúdium) § 55 ods. 2.
Ty si odkladáš výpis z RT ZO nie starší ako tri mesiace, t.j. február a máš ho po dobu výkonu ZO.
A tá tretia otázka: v závislosti od toho, aké údaje spracúvaš. Napr. tam boli ľudia, ktorí majú hotel, ale od klientov pýtajú iba meno, priezvisko, titul, adresu a ČOP (teda nie RČ), potom nemusia robiť nič. Ak by evidovali aj RČ - čo je "osobitná kategória osobných údajov" (§8), potom je to o inom....
Trochu ;) som sa rozpísala, ale snáď to niekomu pomôže....
Roman.S
29.06.05,08:41
na školení sme dostali celé CD-čko, vraj to stačí len upravovať, tak uvidíme, ako sa mi s tým bude dariť
Bendži, aké smernice boli rozpracované v tom vzorovom BP ?
Bendži, aké smernice boli rozpracované v tom vzorovom BP ?
bendži
29.06.05,08:56
Taaak práve sa tým pomaly prelúskavam... Je to len veľmi stručný bezpečnostný projekt (ale mohol by stačiť :) ), celé to má len nejakých 12 strán a o bezpečnostných smerniciach je tam reč tak na 2-3 strany. Nie sú nijako osobitne spracované, vlastne len táto časť je rozdelená na:
- všeobecné bezpečnostné ustanovenia
- heslová politika
- zálohovanie osobných údajov
- rozsah zodpovednosti oprávnených osôb, poverenie zodpovednej osoby,
- rozsah oprávnení a popis povolených činností oprávnených osôb, spôsob ich identifikácie a autentifikácie pri prístupe k IS
- používanie antivírusových prostriedkov,
- plán obnovenia funkčnosti počítačového informačného systému
- bezpečnostné pravidlá používania internetu
to je všetko.... Potom som našla ešte spracovanú samostatnú smernicu o antivírusovej ochrane, tá by zrejme mala byť súčasťou bezpečnostného projektu...
Čo si o tom myslíte?
- všeobecné bezpečnostné ustanovenia
- heslová politika
- zálohovanie osobných údajov
- rozsah zodpovednosti oprávnených osôb, poverenie zodpovednej osoby,
- rozsah oprávnení a popis povolených činností oprávnených osôb, spôsob ich identifikácie a autentifikácie pri prístupe k IS
- používanie antivírusových prostriedkov,
- plán obnovenia funkčnosti počítačového informačného systému
- bezpečnostné pravidlá používania internetu
to je všetko.... Potom som našla ešte spracovanú samostatnú smernicu o antivírusovej ochrane, tá by zrejme mala byť súčasťou bezpečnostného projektu...
Čo si o tom myslíte?
Roman.S
29.06.05,09:02
Bendži, čo si o tom myslíme ? že by si to sem mohla kľudne dať :)
Kto súhlasí ? :D
Kto súhlasí ? :D
bendži
29.06.05,09:10
nooo ja sa s tým ešte trochu pohrám a samozrejme to tu prilepím (snáď sa mi to podarí :) ) Čo ale hovoríte na ten zoznam? Vyzerá to byť celkom aj kompletné.. a nevadí, že to nemá každý bod formu samostatnej smernice? Resp. že antivírusová ochrana je spracovaná ako smernica a to ostatné nie?
bendži
29.06.05,09:28
Našla som niečo ďalšie ohľadom bezpečnostných smerníc.... toto sa mi vidí viac než len ten prvý zoznam, aj keď je to rozhodne viacej práce...
Na základe popisu možných rizík sa vypracujú bezpečnostné smernice, ktoré budú obsahovať opatrenia na elimináciu rizík. Príklady opatrení, ktoré môže prevádzkovateľ, ktorý prevádzkuje napr. len personálny a mzdový informačný systém, na základe skutkového stavu vypracovať:
Technické smernice určia napr. typy technických zariadení, ktoré je potrebné nakúpiť s určením lehoty, do ktorej sa technické zariadenie má zaobstarať a nainštalovať (zámky, kovový rozraďovač, mreže, guľa, poplašný systém ap.)
Organizačné a personálne smernice, ktorými môžu byť:
- archívny poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov),
- škartačný poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a doplniť o povinnosť okamžitej likvidácie všetkých nepotrebných kópií, ak obsahujú osobné údaje ap.),
- pravidlá na vnútorný obeh dokumentov obsahujúcich osobné údaje (poskytovanie kópií z častí osobného spisu napr. riadiacim pracovníkom),
- pravidlá evidencie dokumentov, ktoré podliehajú ochrane pri ich poskytovaní formou výpisov, kopírovaním, poskytnutím originálu,
- požiarny a havarijný plán,
- vnútorné smernice o manipulácii s kľúčmi,
- vnútorné smernice o práci v automatizovanej časti informačného systému (realizácia záložných kópií s určením lehôt, tvorba hesiel, ukladanie strojom čitateľných médií – záloh, poskytovania kópií záznamov na strojom čitateľnom médiu ap.),
- poučenie oprávnených osôb o povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov v nadväznosti, a pod. .
Na základe popisu možných rizík sa vypracujú bezpečnostné smernice, ktoré budú obsahovať opatrenia na elimináciu rizík. Príklady opatrení, ktoré môže prevádzkovateľ, ktorý prevádzkuje napr. len personálny a mzdový informačný systém, na základe skutkového stavu vypracovať:
Technické smernice určia napr. typy technických zariadení, ktoré je potrebné nakúpiť s určením lehoty, do ktorej sa technické zariadenie má zaobstarať a nainštalovať (zámky, kovový rozraďovač, mreže, guľa, poplašný systém ap.)
Organizačné a personálne smernice, ktorými môžu byť:
- archívny poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov),
- škartačný poriadok (vychádzať zo zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov a doplniť o povinnosť okamžitej likvidácie všetkých nepotrebných kópií, ak obsahujú osobné údaje ap.),
- pravidlá na vnútorný obeh dokumentov obsahujúcich osobné údaje (poskytovanie kópií z častí osobného spisu napr. riadiacim pracovníkom),
- pravidlá evidencie dokumentov, ktoré podliehajú ochrane pri ich poskytovaní formou výpisov, kopírovaním, poskytnutím originálu,
- požiarny a havarijný plán,
- vnútorné smernice o manipulácii s kľúčmi,
- vnútorné smernice o práci v automatizovanej časti informačného systému (realizácia záložných kópií s určením lehôt, tvorba hesiel, ukladanie strojom čitateľných médií – záloh, poskytovania kópií záznamov na strojom čitateľnom médiu ap.),
- poučenie oprávnených osôb o povinnostiach vyplývajúcich zo zákona o ochrane osobných údajov v nadväznosti, a pod. .
bendži
29.06.05,09:30
Bendži, ja tu mám nejaký dokument so zoznamom smerníc, ktoré by mal obsahovať personálny a mzdový systém :
* technické smernice - (?)
* organizačné a personálne smernice - archívny poriadok, škartačný poriadok, pravidlá na vnútorný obeh dokumentov, požiarny a havarijný plán, vnútorné smernice o manipulácií s kľúčmi, vnútorné smernice o práci v automatiz.časti IS (PC IS), smernica o poučení opráv.osôb
:confused: :(
tak to máme to isté, podľa mňa by sme tie dva zoznamy mali nejako pospájať, a veď niečo z toho vznikne :)
* technické smernice - (?)
* organizačné a personálne smernice - archívny poriadok, škartačný poriadok, pravidlá na vnútorný obeh dokumentov, požiarny a havarijný plán, vnútorné smernice o manipulácií s kľúčmi, vnútorné smernice o práci v automatiz.časti IS (PC IS), smernica o poučení opráv.osôb
:confused: :(
tak to máme to isté, podľa mňa by sme tie dva zoznamy mali nejako pospájať, a veď niečo z toho vznikne :)
Roman.S
29.06.05,09:32
Obehla si ma, tak som to zmazal. Ale som za, nejako to pozliepame. :rolleyes:
bendži
29.06.05,09:34
Obehla si ma, tak som to zmazal. Ale som za, nejako to pozliepame. :rolleyes:
super, takže ja sa púšťam do toho :)
super, takže ja sa púšťam do toho :)
ZuzulkaB
08.07.05,08:39
Davam do pozornosti skolenie na ochranu osob. udajov spolu s certifikatom o absolvovani skolenia. Terminy konania 22.6.05 a 24.08.05 v BA a 15.06.05 v Nitre. V pripade zaujmu poslem prihlasku na email. mozem poprosit tu prihlasku na email zuzana.bogdanyiova@etarget.sk? Dakujem....
ZuzulkaB
08.07.05,08:43
Ja som si myslela ze tato tema je len o bezpecnostnom projekte, takze som pridala prispevok do:
http://www.porada.sk/showthread.php?p=81586#post81586
prispevok 556 a 557. Nikulik, je ten bezpecnostny projekt univerzalny? Zacala som ho totizto citat a nic... Som z toho celkom zmagorena... :-(
http://www.porada.sk/showthread.php?p=81586#post81586
prispevok 556 a 557. Nikulik, je ten bezpecnostny projekt univerzalny? Zacala som ho totizto citat a nic... Som z toho celkom zmagorena... :-(
Ludka M
04.08.05,06:56
PROSIM VAS MA NIEKTO KONTAKT NA P KUKUCKU ? , NIEKDE TU BOL ALE HO NEVIEM NAJST DAKUJEM DAKUJEM
nikulik
04.08.05,07:06
Nikulik, je ten bezpecnostny projekt univerzalny? Zacala som ho totizto citat a nic... Som z toho celkom zmagorena... :-(
Trošku neskoro, ale predsa, nechapem tvojej otazke, myslis vzor bezpecnostneho projektu??
Trošku neskoro, ale predsa, nechapem tvojej otazke, myslis vzor bezpecnostneho projektu??
immonaut
04.08.05,07:37
Ved ten projekt, co je tu si musis upravit pre tvoju firmu.
ing.erika
05.08.05,12:11
ahoj janka6685,zistila si uz prosim kedy bude nejake skolenie v KE? ja som tiez z KE a zatial som nic nenasla. :( alebo si uz na nejakom bola? dik.
mbielik
11.11.05,16:27
Ved ten projekt, co je tu si musis upravit pre tvoju firmu.
tu je lepsi vzor, ale skoda ze za peniaze. je tam aj DEMO balik bezpecnostneho projektu... http://www.kyberos.sk
tu je lepsi vzor, ale skoda ze za peniaze. je tam aj DEMO balik bezpecnostneho projektu... http://www.kyberos.sk
mbielik
11.11.05,16:40
Bezpečnostné smernice a samozrejme aj samotny projekt by sa mali riadiť slovenskými technickými normami z oblasti informačnej bezpečnosti, a to: STN ISO/IEC 17799 Kódex praxe riadenia informačnej bezpečnosti a STN ISO/IEC TR 13335-1 Informačné technológie - Návod na manažérstvo bezpečnosti IT. Tieto normy nie sú povinné, sú odporúčaním, ale sú jediné, ktoré sú u nás prebraté z ISO noriem a platné pre oblasť ochrany údajov a informačnej bezpečnosti.
julia23
16.01.06,21:19
ahoj citala som si tvoj prispevok,ja som na tom rovnako,chcela by som sa ta spytat ze ci uz mas nieco podla coho budes robit bezp.projekt,diky julka SL
cepeva
17.01.06,05:46
ahoj citala som si tvoj prispevok,ja som na tom rovnako,chcela by som sa ta spytat ze ci uz mas nieco podla coho budes robit bezp.projekt,diky julka SL
Ja mam Bezpecnostny projekt hotovy. Napisala som ho ako som si myslela. Inak pocula som, ze dolezite je napisat ten projekt a ked pride kontrola, tak nedaju pokutu, ak mas aj zly projekt, ale mas ho. Potom vraj daju odporucania na zlepsenie projektu.
Ja mam Bezpecnostny projekt hotovy. Napisala som ho ako som si myslela. Inak pocula som, ze dolezite je napisat ten projekt a ked pride kontrola, tak nedaju pokutu, ak mas aj zly projekt, ale mas ho. Potom vraj daju odporucania na zlepsenie projektu.
julia23
17.01.06,08:48
a nemohla by si mi ho prosim ta poslat na mail julia.n@centrum.sk,aby som videla aspon vzor ako to ma vyzerat,diky moc
Kolmar_group
12.06.06,09:15
Nejaké informácie by sa azda našli v téme
http://www.porada.sk/showthread.php?t=8858
Kedy vypracovať
Bezpečnostný projekt na ochranu osobných údajov
V tomto príspevku sa pokúsime ozrejmiť problematiku ochrany osobných údajov.
Ochrana osobných údajov.
Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe (Ústava Slovenskej republiky, čl. 19 ods. 3).
Legislatívny rámec.
Ochrana osobných údajov patrí do oblasti základných ľudských práv a slobôd. Je garantovaná Ústavou SR v čl. 22. Od 1. septembra 2002 platí v Slovenskej republike zákon č. 428 o ochrane osobných údajov v platnom znení. Vydanie novej právnej úpravy vychádza aj z potreby zosúladiť náš právny poriadok s právnym poriadkom štátov Európskej únie, ako aj s platnými dokumentmi vydanými v rámci Rady Európy. Sú to najmä dohovor Rady Európy o ochrane jednotlivca pri automatizovanom spracovaní osobných údajov č. 108 z 21. januára 1981, odporúčania Rady Európy č. R/83/0 o ochrane osobnosti pri štatistickom spracovávaní dát, usmernenie Európskeho spoločenstva pre európske parlamenty k ochrane osobnosti pri spracovávaní osobných dát a výmene dát č. 95/C 93 z 20. februára 1995.
Zmyslom zákona č. 428/2002 Z. z. je chrániť práva a slobodu každého, koho osobné údaje sa na našom území spracovávajú, alebo sa majú spracúvať v zahraničí. Účelom tohto zákona je predovšetkým ochrana osobnosti všetkých fyzických osôb a tiež zavedenie právneho poriadku do oblasti používania informačných systémov. Kladie si za cieľ predovšetkým chrániť osoby poskytujúce údaje do informačných systémov v Slovenskej republike tak, aby sa ich osobné údaje využívali len na tie účely, na ktoré ich osoba poskytla, a to či už na základe zákona, alebo dobrovoľne. Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu (§ 3 zákona).
Tento zákon umožňuje občanom Slovenskej republiky slobodne sa rozhodnúť o poskytnutí svojich osobných údajov prevádzkovateľom informačných systémov na isté konkrétne účely, ktorým má informačný systém slúžiť, v záujme predpokladaného okruhu používateľov informačného systému. Na zabezpečenie ochrany osobných údajov v informačných systémoch sa vyžaduje centrálna a zároveň verejne prístupná registrácia. Cieľom takejto registrácie nie je snaha zamedziť rozvoj alebo využívanie informačných systémov, ale naopak, získať prehľad tak verejnosti, ako aj, a to najmä, dotknutej osoby o tom, kto prevádzkuje takéto informačné systémy a ako sa zabezpečuje ich ochrana. Zákon č. 428/2002 stanovuje, že za bezpečnosť osobných údajov zodpovedá prevádzkovateľ informačného systému.
Tento zákon prikazuje prevádzkovateľom informačných systémov prijať také technické, organizačné a personálne opatrenia, aby sa predišlo ich strate, poškodeniu alebo odcudzeniu. Opatrenia, ktoré je prevádzkovateľ informačného systému povinný prijať na základe platnosti zákona o ochrane osobných údajov, je zároveň tiež povinný zdokumentovať v bezpečnostnom projekte, ktorý musí byť k dispozícii k nahliadnutiu na požiadanie Úradu na ochranu osobných údajov vo forme a štruktúre predpísanej zákonom o ochrane osobných údajov.
Povinnosti prevádzkovateľov informačných systémov. Za bezpečnosť osobných údajov, ktoré sú zvyčajne spracúvané na pamäťových médiách vrátane technických nosičov údajov, zodpovedá prevádzkovateľ a sprostredkovateľ, ktorý spracováva alebo poskytuje osobné údaje (personalistika, mzdy, evidencia návštev, recepcia…) tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania.
Na tento účel prijme primerané
a) technické,
b) organizačné,
c) personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.
Ide najmä o tieto opatrenia:
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti spracúvajú;
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti zhromaždené;
c) evidencia a najmä registrácia informačných systémov;
d) určenie okruhu osôb, ktorým sa povolí spracúvať osobné údaje;
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú spracúvať osobné údaje v zmysle zákona;
f) určenie priestorov, kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti;
h) prijatie adekvátnych opatrení na ochranu osobných údajov formou „Bezpečnostného projektu informačného systému“ na ochranu osobných údajov (ďalej len "bezpečnostný projekt").
V zmysle § 55 ods. 8 zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej ako „zákon č. 428/2002 Z.z.“) prevádzkovatelia už fungujúcich informačných systémov, sú povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005. Táto prechodná lehota sa týka zmien, ktoré priniesla novela č. 90/2005 Z.z., účinná od 01.05.2005. Zmeny sa týkajú aj povinnosti vypracúvať bezpečnostný projekt, registrácie informačných systémov, osobitnej registrácie informačných systémov ako aj povinnosti poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov.
Treba predovšetkým zdôrazniť, že:
- bezpečnostný projekt,
- registrácia informačných systémov, resp. osobitná registrácia informačných systémov ako aj
- zodpovedná osoba
sú tri odlišné, takmer nesúvisiace inštitúty, upravené samostatne vždy na inom mieste zákona č. 428/2002 Z.z.
V zmysle § 15 ods. 1 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný chrániť osobné údaje pred ich náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Iba v prípadoch podľa § 15 ods. 2 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný prijať tieto opatrenia (a vypracovať alebo zabezpečiť vypracovanie) vo forme bezpečnostného projektu informačného systému (ďalej len "bezpečnostný projekt") ak:
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa §8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ vypracuje (alebo zabezpečí vypracovanie) len bezpečnostné smernice,
c) informačný systém slúži na zabezpečenie verejného záujmu.
Z uvedeného je zrejmé, že bezpečnostný projekt, prípadne bezpečnostné smernice nemusí vypracúvať každý prevádzkovateľ, ale iba ten, kto spĺňa podmienky uvedené aspoň pod jedným písmenom.
Vypracovaný bezpečnostný projekt, resp. bezpečnostná smernica sa nezasiela na Úrad na ochranu osobných údajov SR; zostáva u prevádzkovateľa. Úrad si ich vyžiada pri kontrole, tzn. ich predloženie prichádza do úvahy až na základe jeho vyžiadania.
Bezpečnostná politika IT a bezpečnostný projekt
Bezpečnostná politika informačných systémov a informačných technológií je dokumentom, ktorý obecne určuje základné pravidlá bezpečnosti informačného systému, upresňuje obecnú bezpečnostnú politiku celej organizácie pre oblasť automatizovaného spracovania informácií. Návrh bezpečnostnej politiky IT je súčasťou Bezpečnostného projektu ochrany osobných údajov.
Za bezpečnosť osobných údajov v spoločnosti) zmysle zákona [1] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn1) zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.
Ide najmä o tieto opatrenia:
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti (organizácii) spracúvajú;
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti (organizácii) zhromaždené;
c) evidencia a najmä registrácia informačných systémov v spoločnosti (organizácii);
d) určenie okruhu osôb, ktorým sa povolí v spoločnosti (organizácii) spracúvať osobné údaje;
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú v spoločnosti (organizácii) spracúvať osobné údaje v zmysle zákona;
f) určenie priestorov v spoločnosti (organizácii), kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti (organizácii).
h) Spracovanie bezpečnostného projektu na ochranu osobných údajov informačných systémov.
Bezpečnostný projekt na ochranu osobných údajov informačných systémov sa vypracovava v zmysle platnej legislatívy[2] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn2) (ďalej len zákon), v súlade so základnými pravidlami bezpečnosti informačných systémov, vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
Bezpečnostný projekt na ochranu osobných údajov informačných systémov je dokumentom, ktorý obecne určuje :
a) základné pravidlá bezpečnosti,
b) upresňuje obecnú bezpečnostnú politiku pre oblasť automatizovaného a neautomatizovaného spracovania informácií,
c) na základe analýzy rizík hodnoteného systému rieši optimálny spôsob zabezpečenia ochrany s ohľadom tak na každý jednotlivý prvok systému, ako aj na systém ako celok.
Bezpečnostný projekt na ochranu osobných údajov informačných systémov zohľadňuje špecifické vlastnosti, poslanie a druh chránených informačných systémov a vymedzuje [3] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn3) rozsah a spôsob opatrení či už technických, organizačných a personálnych na elimináciu, alebo minimalizovanie prípadných hrozieb a rizík na informačné systémy zavedené v spoločnosti (organizácii) a (ne)registrované na úrade pre ochranu osobných údajov (ďalej len úrad).
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačných systémov v spoločnosti (organizácii), pred ohrozením jeho bezpečnosti.
Spoločnosť (organizácia) vo svojom zadaní stanovuje základné ciele bezpečnosti osobných údajov, ktoré sú spracúvané v automatizovaných i neautomatizovaných informačných systémoch v spoločnosti (organizácii).
Bezpečnostný projekt obsahuje:
a) základné bezpečnostné ciele potrebné dosiahnuť na ochranu informačných systémov (ďalej len IS) pred ohrozením jeho bezpečnosti,
b) určenie počiatočného skutkového stavu bezpečnosti IS,
c) špecifikáciu opatrení na ochranu IS a zabezpečenie osobných údajov,
d) vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti,
e) možné zvyškové riziká, odhad, vymedzenie hraníc určujúcich množinu zvyškových rizík,
f) vyhodnotenie podkladov pre bezpečnostný projekt.
ŠTRUKTúRA BezpečnostnéHO projektU:
I. Účel a cieľ
II. Definícia pojmov
III. Bezpečnostný zámer
III.1 Hlavné strategické ciele spoločnosti
III.2 Bezpečnosť spracúvania osobných údajov
IV. Analýza bezpečnosti informačného systému
IV.1 Popis informačného systému
IV.2 Vymedzenie okolia informačného systému
IV.3. Bezpečnostné štandardy
IV.4 Analýza rizík
IV.5 Vymedzenie zvyškových rizík
IV.6 Návrh opatrení
IV.7 Nepokryté riziká
V. Bezpečnostné smernice
VI. Záver
bezpečnostný zámer vymedzuje:
analýzu bezpečnosti informačného systému ako podrobný rozbor stavu bezpečnosti informačných systémov obsahujúci kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva IS spôsobilé narušiť jeho bezpečnosť, alebo funkčnosť, pričom výsledkom kvalitatívnej analýzy rizík je :
a) zoznam aktív IS,
b) analýza a kvantifikácia možných ohrození a rizík,
c) zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov,
d) rozsah možného rizika, návrhov opatrení, ktoré eliminujú, alebo minimalizujú vplyv rizík s vymedzením súpisu nepokrytých rizík,
e) návrhy na minimalizáciu a elimináciu nežiaducich vplyvov a rizík,
f) použitie bezpečnostných štandardov na ochranu,
g) posúdenie zhody použitých bezpečnostných opatrení s bezpečnostnými štandardmi,
h) systém hodnotenia zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami,
i) vyhodnotenie zhody navrhnutých bezpečnostných opatrení podľa jednotlivých opatrení.
bezpečnostné smernice upresňujúce a aplikujúce závery vyplývajúce z bezpečnostného projektu na podmienky prevádzkovaných informačných systémov hotela pričom obsahujú :
a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k IS,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov [4] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn4),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti IS,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách, vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
Približný rámcový rozsah bezpečnostného projektu ochrany osobných údajov v informačných systémoch
Smernica konateľa (RIADITEľA)
Bezpečnostný projekt
Prílohy k projektu
Doložky k projektu
1. Úvodné ustanovenia
ÚČEL DOKUMENTU BEZPEČNOSTNÉHO PROJEKTU
Rozsah a účel spracúvania osobných údajov
Zodpovednosť za bezpečnosť osobných údajov
2. DEFINÍCIA POJMOV
Základná terminológia obsiahnutá v zákone
Základná terminológia obsiahnutá v STN
3. BEZPEČNOSTNÝ ZÁMER
Identifikácia subjektu
Základné identifikačné údaje spoločnosti
Opis budovy (sídla spoločnosti)
Rozmiestnenie kancelárií
ZÁKLADNÉ BEZPEČNOSTNÉ CIELE a BEZPEČ. opatrenia SPOLOČNOSTI
Stanovenie základných bezpečnostných cieľov spoločnosti
Stanovenie minimálnych bezpečnostných opatrení
Určenie POČIATOČNého SKUTKOVého STAVu BEZPEČNOSTI IS
Manipulácia s údajmi v spoločnosti
Špecifikácia informačných systémov
Špecifikácia technických prostriedkov
Určenie technických prostriedkov pre spracúvanie osobných údajov
Určenie užívateľov ako oprávnených osôb
Využitie technických prostriedkov a úroveň oprávnenia užívateľov
Implementácia povinností vyplývajúcich zo zákona pre spoločnosť
Špecifikácia OPATRENÍ NA OCHRANU IS A ZABEZPečenie Os. ÚDAJOV
Špecifikácia technických opatrení
Špecifikácia personálnych opatrení
Špecifikácia organizačných opatrení
VYMEDZENIE OKOLIA IS a jeho vzťah k možnému narušeniu bezpečnosti
Okolie IS tvorené ľuďmi a možnosti narušenia bezpečnosti
Okolie IS tvorené prostredím a možnosti narušenia bezpečnosti
Okolie IS tvorené inými faktormi a možnosti narušenia bezpečnosti
MOŽNÉ ZVYŠKOVÉ RIZIKÁ – ODHAD, VYMEDZENIE hraníc určujúcich množinu zvyškových rizík
VYHODNOTENIE PODKLADOV PRE SPRACOVANIE BEZPeč. PROJEKTU
4. Analýza bezpečnosti informačného systému
RIZIKÁ NARUŠENIA FUNKČNOSTI A BEZPečnosti AKTÍV IS
ZOZNAM AKTÍV INFORMAČNÝCH SYSTÉMOV
ANALÝZA A KVANTIFIKÁCIA MOŽNÝCH OHROZENÍ A RIZÍK
NÁVRHY NA MINIMALIZÁCIU A ELIMINÁCIU NEŽIADUCICH VPLYVOV RIZÍK
Návrhy na elimináciu nežiadúcich rizík v automatizovaných IS
Návrhy na elimináciu nežiadúcich rizík v neautomatizovaných IS
Zoznam nepokrytých rizík
POUŽITIE BEZPEČNOSTNÝCH ŠTANDARDOV NA OCHRANU IS
Posúdenie ZHODy POUŽITÝCH BEZP. OPATRENÍ S BEZP. ŠTANDARDMI
SYSTÉM HODNOTENIA ZHODY
VYHODNOTENIE ZHODY PODĽA JEDNOTLIVÝCH OPATRENÍ
SUMÁRNE ZHODNOTENIE
5. BEZPEČNOSTNÉ SMERNICE BEZPEČNOSTNÉho PROJEKTU
POPIS OPATRENÍ PRE KONKRÉTNE PODMIENKY
Technické opatrenia, manipulácia s technickými prostriedkami
Organizačné opatrenia
Personálne opatrenia
ROZSAH OPRÁVNENÍ A POPIS POVOLENÝCH ČINNOSTÍ
Rozsah oprávnení
Povolené činnosti
Spôsob identifikácie a autentizácie pri prístupe k IS
ROZSAH ZODPOVEDNOSTI
Oprávnené osoby
Osoba zodpovedná za dohľad nad ochranou osobných údajov
KONTROLNÁ ČINNOSŤ
Spôsob vykonávania kontrolnej činnosti
Forma vykonávania kontrolnej činnosti
POSTUPY PRI MIMORIADNYCH SITUÁCIÁCH
6. prílohy a doložky k bezp. projektu, POUŽITÁ LITERATÚRA
7. PRÍLOHY ( špecifikované podľa konkrétneho subjektu) napr.:
Smernica pre zodpovednú osobu pri používaní technických prostriedkov informačného systému určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti.
Smernica pre administrátora automatizovaných informačných systémov určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti.
Smernica prevádzka a informačná bezpečnosť informačného systému.
Smernica o fyzickej bezpečnosti a bezpečnosti prostredia.
Smernica určujúca postup pri zistení bezpečnostného incidentu.
Smernica o bezpečnom používaní externých služieb(outsourcing).
Smernica zásady určujúce riadenie prístupu tretích strán k prostriedkom a zdrojom IS a iné...
8. doložky napríklad:
Doložka o oboznámení s bezpečnostným projektom.
Zoznam PC a ich konfigurácia - Určenie technických prostriedkov pre spracúvanie osobných údajov.
Návod, odporúčania a vzor vyplnenia registračného formulára informačného systému podľa § 25, § 26, §27 a § 28 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Opis technický prostriedkov (Zoznam osobných počítačov a ich konfigurácia pre spracúvanie osobných údajov).
Poverenie zodpovednej osoby v zmysle § 19 ods. 2 zákona č.428/2002.
Určenie oprávnených osôb.
Poučenie o povinnostiach pracovníkov - oprávnených osôb spoločnosti, oboznámenie s Bezpečnostným projektom a Smernicou o ochrane osobných údajov v zmysle § 17 ods. 2 zákona č. 428/2002.
Mlčanlivosť.
Zákonné ustanovenia týkajúce sa mlčanlivosti.
Evidenčný list informačného systému podľa § 26 zákona č. 428/2002 Z.z. v znení neskorších predpisov.
Mandátna zmluva podľa § 566 Obchodného zákonníka na spracovanie mzdovej agendy.
Dodatok k (mandátnej) zmluve.
Záznam o vykonaných zmenách v bezpečnostnom projekte.
Súhlas so zaradením údajov do databázy
Poučenie tretích strán o právach a povinnostiach ustanovených zákonom č.428/2002 Z.z. a iné
[1] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref1) § 15 ods. 1 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov.
[2] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref2) zákon č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
[3] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref3) podľa ust.§16 zák. č.428/2002 Z.z. v znení neskorších predpisov
[4] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref4) § 19 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Úrad na ochranu osobných údajov môže uložiť v zmysle zákona vysoké finančné sankcie za porušenie zákona - až do 10 miliónov korún. Vzhľadom k zložitosti odporúčame vypracovanie projektu, či smernice ponechať do rúk odborníkov.
Kontakt:
- tel.: +421 903 94 62 47, e-mail: kolmar_group@centrum.sk (kolmar_group@centrum.sk)
Kontakt na JURIS:
- +421-910123987, Fax: +421-337744032, e-mail: hecko-juris@stonline.sk
Autor je odborný konzultant celosvetovo pôsobiacich firiem zaoberajúcich sa manažmentom kvality, certifikáciou a.p. BUREAU VERITAS a BVQI, firmy JUDr. Hečko - JURIS a pôsobí ako expert v oblasti ochrany osobných údajov, bezpečnosti IT a TP, ochrany utajovaných skutočností,
krízového manažmentu a správy registratúry
http://www.porada.sk/showthread.php?t=8858
Kedy vypracovať
Bezpečnostný projekt na ochranu osobných údajov
Ochrana osobných údajov.
Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe (Ústava Slovenskej republiky, čl. 19 ods. 3).
Legislatívny rámec.
Ochrana osobných údajov patrí do oblasti základných ľudských práv a slobôd. Je garantovaná Ústavou SR v čl. 22. Od 1. septembra 2002 platí v Slovenskej republike zákon č. 428 o ochrane osobných údajov v platnom znení. Vydanie novej právnej úpravy vychádza aj z potreby zosúladiť náš právny poriadok s právnym poriadkom štátov Európskej únie, ako aj s platnými dokumentmi vydanými v rámci Rady Európy. Sú to najmä dohovor Rady Európy o ochrane jednotlivca pri automatizovanom spracovaní osobných údajov č. 108 z 21. januára 1981, odporúčania Rady Európy č. R/83/0 o ochrane osobnosti pri štatistickom spracovávaní dát, usmernenie Európskeho spoločenstva pre európske parlamenty k ochrane osobnosti pri spracovávaní osobných dát a výmene dát č. 95/C 93 z 20. februára 1995.
Zmyslom zákona č. 428/2002 Z. z. je chrániť práva a slobodu každého, koho osobné údaje sa na našom území spracovávajú, alebo sa majú spracúvať v zahraničí. Účelom tohto zákona je predovšetkým ochrana osobnosti všetkých fyzických osôb a tiež zavedenie právneho poriadku do oblasti používania informačných systémov. Kladie si za cieľ predovšetkým chrániť osoby poskytujúce údaje do informačných systémov v Slovenskej republike tak, aby sa ich osobné údaje využívali len na tie účely, na ktoré ich osoba poskytla, a to či už na základe zákona, alebo dobrovoľne. Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu (§ 3 zákona).
Tento zákon umožňuje občanom Slovenskej republiky slobodne sa rozhodnúť o poskytnutí svojich osobných údajov prevádzkovateľom informačných systémov na isté konkrétne účely, ktorým má informačný systém slúžiť, v záujme predpokladaného okruhu používateľov informačného systému. Na zabezpečenie ochrany osobných údajov v informačných systémoch sa vyžaduje centrálna a zároveň verejne prístupná registrácia. Cieľom takejto registrácie nie je snaha zamedziť rozvoj alebo využívanie informačných systémov, ale naopak, získať prehľad tak verejnosti, ako aj, a to najmä, dotknutej osoby o tom, kto prevádzkuje takéto informačné systémy a ako sa zabezpečuje ich ochrana. Zákon č. 428/2002 stanovuje, že za bezpečnosť osobných údajov zodpovedá prevádzkovateľ informačného systému.
Tento zákon prikazuje prevádzkovateľom informačných systémov prijať také technické, organizačné a personálne opatrenia, aby sa predišlo ich strate, poškodeniu alebo odcudzeniu. Opatrenia, ktoré je prevádzkovateľ informačného systému povinný prijať na základe platnosti zákona o ochrane osobných údajov, je zároveň tiež povinný zdokumentovať v bezpečnostnom projekte, ktorý musí byť k dispozícii k nahliadnutiu na požiadanie Úradu na ochranu osobných údajov vo forme a štruktúre predpísanej zákonom o ochrane osobných údajov.
Povinnosti prevádzkovateľov informačných systémov. Za bezpečnosť osobných údajov, ktoré sú zvyčajne spracúvané na pamäťových médiách vrátane technických nosičov údajov, zodpovedá prevádzkovateľ a sprostredkovateľ, ktorý spracováva alebo poskytuje osobné údaje (personalistika, mzdy, evidencia návštev, recepcia…) tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania.
Na tento účel prijme primerané
a) technické,
b) organizačné,
c) personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.
Ide najmä o tieto opatrenia:
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti spracúvajú;
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti zhromaždené;
c) evidencia a najmä registrácia informačných systémov;
d) určenie okruhu osôb, ktorým sa povolí spracúvať osobné údaje;
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú spracúvať osobné údaje v zmysle zákona;
f) určenie priestorov, kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti;
h) prijatie adekvátnych opatrení na ochranu osobných údajov formou „Bezpečnostného projektu informačného systému“ na ochranu osobných údajov (ďalej len "bezpečnostný projekt").
V zmysle § 55 ods. 8 zákona č. 428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov (ďalej ako „zákon č. 428/2002 Z.z.“) prevádzkovatelia už fungujúcich informačných systémov, sú povinní ich uviesť do súladu s týmto zákonom do 31. októbra 2005. Táto prechodná lehota sa týka zmien, ktoré priniesla novela č. 90/2005 Z.z., účinná od 01.05.2005. Zmeny sa týkajú aj povinnosti vypracúvať bezpečnostný projekt, registrácie informačných systémov, osobitnej registrácie informačných systémov ako aj povinnosti poveriť zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov.
Treba predovšetkým zdôrazniť, že:
- bezpečnostný projekt,
- registrácia informačných systémov, resp. osobitná registrácia informačných systémov ako aj
- zodpovedná osoba
sú tri odlišné, takmer nesúvisiace inštitúty, upravené samostatne vždy na inom mieste zákona č. 428/2002 Z.z.
V zmysle § 15 ods. 1 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný chrániť osobné údaje pred ich náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania. Iba v prípadoch podľa § 15 ods. 2 zákona č. 428/2002 Z.z. je prevádzkovateľ a sprostredkovateľ povinný prijať tieto opatrenia (a vypracovať alebo zabezpečiť vypracovanie) vo forme bezpečnostného projektu informačného systému (ďalej len "bezpečnostný projekt") ak:
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa §
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ vypracuje (alebo zabezpečí vypracovanie) len bezpečnostné smernice,
c) informačný systém slúži na zabezpečenie verejného záujmu.
Bezpečnostná politika IT a bezpečnostný projekt
Bezpečnostná politika informačných systémov a informačných technológií je dokumentom, ktorý obecne určuje základné pravidlá bezpečnosti informačného systému, upresňuje obecnú bezpečnostnú politiku celej organizácie pre oblasť automatizovaného spracovania informácií. Návrh bezpečnostnej politiky IT je súčasťou Bezpečnostného projektu ochrany osobných údajov.
Za bezpečnosť osobných údajov v spoločnosti) zmysle zákona [1] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn1) zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia na ochranu osobných údajov zodpovedajúce spôsobu spracúvania.
Ide najmä o tieto opatrenia:
a) vykonanie inventúry všetkých osobných údajov, ktoré sa v spoločnosti (organizácii) spracúvajú;
b) preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú v spoločnosti (organizácii) zhromaždené;
c) evidencia a najmä registrácia informačných systémov v spoločnosti (organizácii);
d) určenie okruhu osôb, ktorým sa povolí v spoločnosti (organizácii) spracúvať osobné údaje;
e) poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú v spoločnosti (organizácii) spracúvať osobné údaje v zmysle zákona;
f) určenie priestorov v spoločnosti (organizácii), kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;
g) vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných údajov v spoločnosti (organizácii).
h) Spracovanie bezpečnostného projektu na ochranu osobných údajov informačných systémov.
Bezpečnostný projekt na ochranu osobných údajov informačných systémov je dokumentom, ktorý obecne určuje :
a) základné pravidlá bezpečnosti,
b) upresňuje obecnú bezpečnostnú politiku pre oblasť automatizovaného a neautomatizovaného spracovania informácií,
c) na základe analýzy rizík hodnoteného systému rieši optimálny spôsob zabezpečenia ochrany s ohľadom tak na každý jednotlivý prvok systému, ako aj na systém ako celok.
Bezpečnostný projekt na ochranu osobných údajov informačných systémov zohľadňuje špecifické vlastnosti, poslanie a druh chránených informačných systémov a vymedzuje [3] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn3) rozsah a spôsob opatrení či už technických, organizačných a personálnych na elimináciu, alebo minimalizovanie prípadných hrozieb a rizík na informačné systémy zavedené v spoločnosti (organizácii) a (ne)registrované na úrade pre ochranu osobných údajov (ďalej len úrad).
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačných systémov v spoločnosti (organizácii), pred ohrozením jeho bezpečnosti.
Spoločnosť (organizácia) vo svojom zadaní stanovuje základné ciele bezpečnosti osobných údajov, ktoré sú spracúvané v automatizovaných i neautomatizovaných informačných systémoch v spoločnosti (organizácii).
Bezpečnostný projekt obsahuje:
a) základné bezpečnostné ciele potrebné dosiahnuť na ochranu informačných systémov (ďalej len IS) pred ohrozením jeho bezpečnosti,
b) určenie počiatočného skutkového stavu bezpečnosti IS,
c) špecifikáciu opatrení na ochranu IS a zabezpečenie osobných údajov,
d) vymedzenie okolia IS a jeho vzťah k možnému narušeniu bezpečnosti,
e) možné zvyškové riziká, odhad, vymedzenie hraníc určujúcich množinu zvyškových rizík,
f) vyhodnotenie podkladov pre bezpečnostný projekt.
ŠTRUKTúRA BezpečnostnéHO projektU:
I. Účel a cieľ
II. Definícia pojmov
III. Bezpečnostný zámer
III.1 Hlavné strategické ciele spoločnosti
III.2 Bezpečnosť spracúvania osobných údajov
IV. Analýza bezpečnosti informačného systému
IV.1 Popis informačného systému
IV.2 Vymedzenie okolia informačného systému
IV.3. Bezpečnostné štandardy
IV.4 Analýza rizík
IV.5 Vymedzenie zvyškových rizík
IV.6 Návrh opatrení
IV.7 Nepokryté riziká
V. Bezpečnostné smernice
VI. Záver
bezpečnostný zámer vymedzuje:
analýzu bezpečnosti informačného systému ako podrobný rozbor stavu bezpečnosti informačných systémov obsahujúci kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva IS spôsobilé narušiť jeho bezpečnosť, alebo funkčnosť, pričom výsledkom kvalitatívnej analýzy rizík je :
a) zoznam aktív IS,
b) analýza a kvantifikácia možných ohrození a rizík,
c) zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov,
d) rozsah možného rizika, návrhov opatrení, ktoré eliminujú, alebo minimalizujú vplyv rizík s vymedzením súpisu nepokrytých rizík,
e) návrhy na minimalizáciu a elimináciu nežiaducich vplyvov a rizík,
f) použitie bezpečnostných štandardov na ochranu,
g) posúdenie zhody použitých bezpečnostných opatrení s bezpečnostnými štandardmi,
h) systém hodnotenia zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami,
i) vyhodnotenie zhody navrhnutých bezpečnostných opatrení podľa jednotlivých opatrení.
bezpečnostné smernice upresňujúce a aplikujúce závery vyplývajúce z bezpečnostného projektu na podmienky prevádzkovaných informačných systémov hotela pričom obsahujú :
a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k IS,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov [4] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftn4),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti IS,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách, vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
Približný rámcový rozsah bezpečnostného projektu ochrany osobných údajov v informačných systémoch
Smernica konateľa (RIADITEľA)
Bezpečnostný projekt
Prílohy k projektu
Doložky k projektu
1. Úvodné ustanovenia
ÚČEL DOKUMENTU BEZPEČNOSTNÉHO PROJEKTU
Rozsah a účel spracúvania osobných údajov
Zodpovednosť za bezpečnosť osobných údajov
2. DEFINÍCIA POJMOV
Základná terminológia obsiahnutá v zákone
Základná terminológia obsiahnutá v STN
3. BEZPEČNOSTNÝ ZÁMER
Identifikácia subjektu
Základné identifikačné údaje spoločnosti
Opis budovy (sídla spoločnosti)
Rozmiestnenie kancelárií
ZÁKLADNÉ BEZPEČNOSTNÉ CIELE a BEZPEČ. opatrenia SPOLOČNOSTI
Stanovenie základných bezpečnostných cieľov spoločnosti
Stanovenie minimálnych bezpečnostných opatrení
Určenie POČIATOČNého SKUTKOVého STAVu BEZPEČNOSTI IS
Manipulácia s údajmi v spoločnosti
Špecifikácia informačných systémov
Špecifikácia technických prostriedkov
Určenie technických prostriedkov pre spracúvanie osobných údajov
Určenie užívateľov ako oprávnených osôb
Využitie technických prostriedkov a úroveň oprávnenia užívateľov
Implementácia povinností vyplývajúcich zo zákona pre spoločnosť
Špecifikácia OPATRENÍ NA OCHRANU IS A ZABEZPečenie Os. ÚDAJOV
Špecifikácia technických opatrení
Špecifikácia personálnych opatrení
Špecifikácia organizačných opatrení
VYMEDZENIE OKOLIA IS a jeho vzťah k možnému narušeniu bezpečnosti
Okolie IS tvorené ľuďmi a možnosti narušenia bezpečnosti
Okolie IS tvorené prostredím a možnosti narušenia bezpečnosti
Okolie IS tvorené inými faktormi a možnosti narušenia bezpečnosti
MOŽNÉ ZVYŠKOVÉ RIZIKÁ – ODHAD, VYMEDZENIE hraníc určujúcich množinu zvyškových rizík
VYHODNOTENIE PODKLADOV PRE SPRACOVANIE BEZPeč. PROJEKTU
4. Analýza bezpečnosti informačného systému
RIZIKÁ NARUŠENIA FUNKČNOSTI A BEZPečnosti AKTÍV IS
ZOZNAM AKTÍV INFORMAČNÝCH SYSTÉMOV
ANALÝZA A KVANTIFIKÁCIA MOŽNÝCH OHROZENÍ A RIZÍK
NÁVRHY NA MINIMALIZÁCIU A ELIMINÁCIU NEŽIADUCICH VPLYVOV RIZÍK
Návrhy na elimináciu nežiadúcich rizík v automatizovaných IS
Návrhy na elimináciu nežiadúcich rizík v neautomatizovaných IS
Zoznam nepokrytých rizík
POUŽITIE BEZPEČNOSTNÝCH ŠTANDARDOV NA OCHRANU IS
Posúdenie ZHODy POUŽITÝCH BEZP. OPATRENÍ S BEZP. ŠTANDARDMI
SYSTÉM HODNOTENIA ZHODY
VYHODNOTENIE ZHODY PODĽA JEDNOTLIVÝCH OPATRENÍ
SUMÁRNE ZHODNOTENIE
5. BEZPEČNOSTNÉ SMERNICE BEZPEČNOSTNÉho PROJEKTU
POPIS OPATRENÍ PRE KONKRÉTNE PODMIENKY
Technické opatrenia, manipulácia s technickými prostriedkami
Organizačné opatrenia
Personálne opatrenia
ROZSAH OPRÁVNENÍ A POPIS POVOLENÝCH ČINNOSTÍ
Rozsah oprávnení
Povolené činnosti
Spôsob identifikácie a autentizácie pri prístupe k IS
ROZSAH ZODPOVEDNOSTI
Oprávnené osoby
Osoba zodpovedná za dohľad nad ochranou osobných údajov
KONTROLNÁ ČINNOSŤ
Spôsob vykonávania kontrolnej činnosti
Forma vykonávania kontrolnej činnosti
POSTUPY PRI MIMORIADNYCH SITUÁCIÁCH
6. prílohy a doložky k bezp. projektu, POUŽITÁ LITERATÚRA
7. PRÍLOHY ( špecifikované podľa konkrétneho subjektu) napr.:
Smernica pre zodpovednú osobu pri používaní technických prostriedkov informačného systému určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti.
Smernica pre administrátora automatizovaných informačných systémov určených na spracúvanie informácií obsahujúcich osobné údaje v podmienkach spoločnosti.
Smernica prevádzka a informačná bezpečnosť informačného systému.
Smernica o fyzickej bezpečnosti a bezpečnosti prostredia.
Smernica určujúca postup pri zistení bezpečnostného incidentu.
Smernica o bezpečnom používaní externých služieb(outsourcing).
Smernica zásady určujúce riadenie prístupu tretích strán k prostriedkom a zdrojom IS a iné...
8. doložky napríklad:
Doložka o oboznámení s bezpečnostným projektom.
Zoznam PC a ich konfigurácia - Určenie technických prostriedkov pre spracúvanie osobných údajov.
Návod, odporúčania a vzor vyplnenia registračného formulára informačného systému podľa § 25, § 26, §
Opis technický prostriedkov (Zoznam osobných počítačov a ich konfigurácia pre spracúvanie osobných údajov).
Poverenie zodpovednej osoby v zmysle § 19 ods. 2 zákona č.428/2002.
Určenie oprávnených osôb.
Poučenie o povinnostiach pracovníkov - oprávnených osôb spoločnosti, oboznámenie s Bezpečnostným projektom a Smernicou o ochrane osobných údajov v zmysle § 17 ods. 2 zákona č. 428/2002.
Mlčanlivosť.
Zákonné ustanovenia týkajúce sa mlčanlivosti.
Evidenčný list informačného systému podľa § 26 zákona č. 428/2002 Z.z. v znení neskorších predpisov.
Mandátna zmluva podľa § 566 Obchodného zákonníka na spracovanie mzdovej agendy.
Dodatok k (mandátnej) zmluve.
Záznam o vykonaných zmenách v bezpečnostnom projekte.
Súhlas so zaradením údajov do databázy
Poučenie tretích strán o právach a povinnostiach ustanovených zákonom č.428/2002 Z.z. a iné
[1] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref1) § 15 ods. 1 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení neskorších predpisov.
[2] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref2) zákon č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
[3] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref3) podľa ust.§16 zák. č.428/2002 Z.z. v znení neskorších predpisov
[4] (http://www.porada.sk/newreply.php?do=newreply&p=80355#_ftnref4) § 19 zákona č.428/2002 Z.z. o ochrane osobných údajov v znení zákona č. 90/2005 Z.z., ktorým sa mení a dopĺňa zákon č.428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov.
Kontakt:
- tel.: +421 903 94 62 47, e-mail: kolmar_group@centrum.sk (kolmar_group@centrum.sk)
Kontakt na JURIS:
- +421-910123987, Fax: +421-337744032, e-mail: hecko-juris@stonline.sk
Autor je odborný konzultant celosvetovo pôsobiacich firiem zaoberajúcich sa manažmentom kvality, certifikáciou a.p. BUREAU VERITAS a BVQI, firmy JUDr. Hečko - JURIS a pôsobí ako expert v oblasti ochrany osobných údajov, bezpečnosti IT a TP, ochrany utajovaných skutočností,
krízového manažmentu a správy registratúry
mia-m
29.01.07,08:47
agentúra tempo organizuje školenia - má široké spektrum, jedným z nich je aj o ochrane osobných údajov. absolvovala som ho
rennka
17.09.07,08:47
Dobry den. Prosim o radu, lebo sa nevyznam. Sme firma s poctom zamestnancov viac ako 5. Personalistiku a mzdy vedieme v elektronickej forme, aktualizacie si priebezne stahujeme cez internet. Ziadne ine zoznamy a osobne udaje nevedieme. Sme povinni mat aj bezpecnostny projekt, alebo nam staci registrovat osobu zodpovednu za ochranu os. ud.?
Citala som ze IS ktore spracuvaju mzdy ci personalistiku, su upravene osobitnym zakonom ( o zdravotnom a socialnom poisteni, alebo ZP ), preto podla zakona o ochrane os.ud. nepodliehaju povnnosi registracie, a v inom clanku som citala, ak su uvedene udaje prepojene s internetom, registracia je povinna. Vobec sa v tom nevyznam, vopred dakujem za kazdu odpoved.
Citala som ze IS ktore spracuvaju mzdy ci personalistiku, su upravene osobitnym zakonom ( o zdravotnom a socialnom poisteni, alebo ZP ), preto podla zakona o ochrane os.ud. nepodliehaju povnnosi registracie, a v inom clanku som citala, ak su uvedene udaje prepojene s internetom, registracia je povinna. Vobec sa v tom nevyznam, vopred dakujem za kazdu odpoved.
tinusa
17.09.07,09:34
rennka.. počet zamestnancov viac ako päť znamená povinnosť nahlásiť zodpovednú osobu na úrad na ochranu osobných údajov (§19 zákona).. personalistika mzdy v elektronickej forme, súčasne pripojená do siete internet znamená povinnosť bezpečnostného projetku (§15 ods. 2 písm. a).. a k povinnosti registrácie: ak nahlásite zodpovednú osobu, IS už nemusíte registrovať (§25 ods. 2 písm. b)
Osimka
09.10.07,05:33
Milá capeva nemohla by si aj mne zaslať ten tvoj projekt, lebo ja si s ním neviem rady na olganinisova@zoznam.sk
anaman
09.10.07,06:45
Milá OSIMKA, ak ti môžem doporučiť zadaj tvorbu bezpečnostného projektu tomu, kto má s touto problematikou skúsenosti najmä ak si prevádzkovateľom alebo zodpovednou osobou. Ak máš bezpečnostný projekt vypracovaný iba formálne a nie je šitý presne na podmienky vašej firmy pokutu z Úradu možno nedostaneš ale čo urobíš ak niekto bude požadovať náhradu škody za únik osobných údajov resp. za ich neoprávnené používanie alebo zneužitie. Čím sa potom obhájiš na súde? Formálnym projektom? Alebo na základe čoho uplatníš postih u osoby, ktorá únik informácií zavinila? Na základe formálnej smernice alebo projektu? A čo urobíš ako zodpovedná osoba? Veď zodpovedná osoba je zodpovedná práve za to, že bezepčnostný projekt bude vypracovaný na požadovanej odbornej úrovni. Neoplatí sa šetriť na nesprávnom mieste.
Roxana
23.11.07,13:00
Prosím Vás o radu. Hľadám firmu ktorá nám vypracuje bezpečnostný projekt. Sme malá firma ktorá má 6 zamestnancov a ich pocet v roku 2008 urcite neprekrocí 10. Prisla mi cenová ponuka na BP od firmy z PB na sumu 13000 ,-bez DPH. Zdá sa mi táto suma príliš veľká. Vie mi niekto poradit firmu ktorá BP urobí tak ako má byť a za rozumnejšiu cenu alebo je táto cena bežná? Ďakujem
Roxana
23.11.07,13:09
Hľadám firmu ktorá nam vypracuje bezpecnostny projekt. Cenovu ponuku mam od spolocnosti z PB na sumu 13000,-Sk. Zdá sa mi tato suma prilis vysoka. Moze mi niekto poradit firmu ktora vypracuje BP za rozumnejsiu sumu alebo je tato suma primerana? Sme mala firma ktora ma 6 zamestnancov a v r. 2008 ich pocet neprekroci 10. Dakujem
Roxana
23.11.07,13:14
Sme malá firma ktora ma 6 zamestnancov. Hladam firmu ktora nam vypracuje bezpecnostny projekt. Dostala som cenovu ponuku od firmy na sumu 13000,-Sk. Tato suma s mi zda prehnana. Moze mi niekto poradit firmu ktora dokaze vypracovat BP za rozumnejsiu sumu alebo je takato cena v poriadku
Roxana
23.11.07,13:37
Prepacte, ale nejako mi zblbol net, zakazdym ma to vyhodilo zo stránky a nakoniec som svoju otazku zadala 3 krat.
Roxana
27.11.07,15:28
Anaman, dakujem. Dostala som uz aj cenovu ponuku a je super.
maaato
15.10.09,10:56
Zdravim Vás,
mal by som menšiu prosbu na všetkých zúčastnených tu v tejto téme. Mám vypracovať bezpečnostbý projekt IS, no bol by som rád kebz sa najde nejaká dobrá duša a dala bz mi do neho nahliadnuť ako to má vyzerať a tak...
Je to možné??
Dik...
mal by som menšiu prosbu na všetkých zúčastnených tu v tejto téme. Mám vypracovať bezpečnostbý projekt IS, no bol by som rád kebz sa najde nejaká dobrá duša a dala bz mi do neho nahliadnuť ako to má vyzerať a tak...
Je to možné??
Dik...
rodina1
15.10.09,11:22
Ja som si jeden našla v Dokumentoch - Ochrana osobných údajov. Skús, možno nájdeš aj ty taký, ktorý ti bude vyhovovať.
maaato
16.10.09,04:48
No tam som pozeral,ale ani jeden nie je velmi vyhovujuci. Su tam len urcite casti,ale potreboval by som ho ako celok..takze ak by sa nieco naslo,staci len k nahliadnutiu,aby som vedel co a ako mam robit..bol by som vdacny:)
monibo
05.11.09,12:41
Dobrý deň! Chcela by som Vás poprosiť o kontakt na nejakú firmu, ktorá vypracuje bezpečnostný projekt. Najlepšie z okolia Zvolena a Banskej Bystrice. Ďakujem
monibo
06.11.09,06:53
Posúvam.
Bejka7
12.11.09,10:51
Dobrý deň,vie mi niekto poradit,idem byť v pozici SZČO-sprostretkovateľ(mzdova učtovnička-externa), na spracovánie miezd pre prevadzkovateľov -FO,ktorí majú do 5 zamestnancov,alebo iný aj nad 5 zamestnancov. Aké sú moje povinnosti ,čo sa týka OOÚ voči úradu z mojej srany a prípadne z ich strany? Pracujem s IS v PC a pre socialnú poistovnu nad 10zamestnancov musim podavat elektronicky výkazy, takže mám napojenie na internet. Na školeni bolo povedané ,že sprostretkovaťel nemože byť zodpovedná osoba!Ja to tak?
karyo.sk
13.11.09,08:30
Ja mozem odporucit spolocnost proinside. Inak sa mi pacia prispevky sme mala spolocnost, vypracujte nam bezp. projekt za facku... mozno sa aj najde firma, co Vam vam posle dotaznik na zaklade coho Vam posle "projekt" . Ale skuste si ten projekt obhajit pred uradom... alebo je firma, ktora vam da projekt povedzme za 200 eur ale v nom vam ako opatrenie da kupu HW ktory vyraba len tato spolocnost za 1000 eur... dobre vypracovanie projktu si ziadna podstatne hlbsiu analyzu. Velakrat sa nam stalo, ze klient ziadal len malicky projekt, vsak on nema takmer nikde osobne udaje... po analyze zistil, ze toho, kde sa mu tie udaje nachadzaju je ovela viac... a velky zavod, napr. vyrobmi moze mat podstatne menej narocny projekt ako zivnostnik, ktory vykonava napr. poistneho agenta...
saskia26
23.11.09,19:30
Viete mi, prosím, zodpovedať moje otázky?
1. Spoločnosť má zamestnaného len jediného dohodára, ktorý vykonáva práce doma na svojom PC. Musíme vypracovať bezp. projekt?
2. Bude postačovať, keď bude preškolený iba samoštúdiom konateľ spoločnosti a oboznámi s bezp. projektom uvedeného dohodára?
3. Čo všetko je potrebné nahlásiť na Úrad?
Ďakujem veľmi pekne!
1. Spoločnosť má zamestnaného len jediného dohodára, ktorý vykonáva práce doma na svojom PC. Musíme vypracovať bezp. projekt?
2. Bude postačovať, keď bude preškolený iba samoštúdiom konateľ spoločnosti a oboznámi s bezp. projektom uvedeného dohodára?
3. Čo všetko je potrebné nahlásiť na Úrad?
Ďakujem veľmi pekne!
tinusa
24.11.09,10:02
1.Bezpečnostný projekt je potrebné spracovať v tedy, ak spracúvate osobitnú kategóriu osobných údajov v PC, ktorý je pripojený do siete internet. Medzi osobitnú kategóriu osobných údajov patrí napríklad rodné číslo. Viac nájdete v §8 a v §15 ods. 2)
2. Pokiaľ ide o preškolenie, pravdepodobne myslíte z dôvodov nahlásenia zodpovednej osoby. Keďže však máte iba tohto jediného dohodára, túto zodpovednú osobu mať nemusíte (§19 ods. 2). Samozrejme je však dobré, aby sa v organizácii niekto vyznal aj v ochrane osobných údajov a postačujúce je aj samoštúdium. Pokiaľ by ste mali povinnosť spracovania dokumentácia, či už je to B-projekt alebo smernica, oprávnenú osobu - dohodára môže oboznámiť s touto dokumentáciou aj konateľ. Pri B-projekte však doporučujem zvážiť oboznamovanie, nakoľko ide o tzv. "dôverný dokument".
3. Na úrad nahlasujete už spomínanú zodpovednú osobu (ak máte povinnosť poverenia podľa §19 ods. 2 alebo podľa ods. 8.
Na úrade sa vykonáva aj registrácia a osobitná registrácia IS, pokiaľ takúto povinnosť máte (§26 a §27 zákona o ochrane osobných údajov)
2. Pokiaľ ide o preškolenie, pravdepodobne myslíte z dôvodov nahlásenia zodpovednej osoby. Keďže však máte iba tohto jediného dohodára, túto zodpovednú osobu mať nemusíte (§19 ods. 2). Samozrejme je však dobré, aby sa v organizácii niekto vyznal aj v ochrane osobných údajov a postačujúce je aj samoštúdium. Pokiaľ by ste mali povinnosť spracovania dokumentácia, či už je to B-projekt alebo smernica, oprávnenú osobu - dohodára môže oboznámiť s touto dokumentáciou aj konateľ. Pri B-projekte však doporučujem zvážiť oboznamovanie, nakoľko ide o tzv. "dôverný dokument".
3. Na úrad nahlasujete už spomínanú zodpovednú osobu (ak máte povinnosť poverenia podľa §19 ods. 2 alebo podľa ods. 8.
Na úrade sa vykonáva aj registrácia a osobitná registrácia IS, pokiaľ takúto povinnosť máte (§26 a §27 zákona o ochrane osobných údajov)
Abdul
08.03.10,08:32
Dobrý deň,
chcem Vás poprosiť o radu, kto má evidovaný informačný systém - kamery, resp. kamerový systém - čo ste uviedli v kolonkách - účel spracúvania a právny základ informačného systému.
Ďakujem pekne za odpoveď a prajem pekný deň
chcem Vás poprosiť o radu, kto má evidovaný informačný systém - kamery, resp. kamerový systém - čo ste uviedli v kolonkách - účel spracúvania a právny základ informačného systému.
Ďakujem pekne za odpoveď a prajem pekný deň