• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Bude prevádzkovateľ povinný vypracovať bezpečnostný projekt podľa GDPR? 

Otázka, či je prevádzkovateľ podľa GDPR povinný vypracovať bezpečnostný projekt, má svoje opodstatnenie najmä v kontexte legislatívnych požiadaviek na ochranu osobných údajov. Odpoveď znie: podľa samotného GDPR (Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679) nie je povinnosť vyhotoviť tzv. „bezpečnostný projekt“ v slovenskom poňatí explicitne stanovená. GDPR ako také nenariaďuje vypracovanie dokumentu pod týmto názvom, ale vyžaduje iné dokumentačné povinnosti, ktoré vo svojom obsahu môžu zabezpečiť rovnakú úroveň ochrany ako bezpečnostný projekt.

Bezpečnostný projekt ako oficiálny dokument vychádzal zo skôr platného slovenského zákona o ochrane osobných údajov, ktorý bol nahradený GDPR. Vďaka nariadeniu však organizácie a podnikatelia musia aj naďalej preukazovať, že osobné údaje spracúvajú v súlade s právom, čo prináša potrebu vytvárať interné postupy, opatrenia, a dokumentáciu, ktoré môžeme z praktického hľadiska prirovnať k pôvodnému bezpečnostnému projektu. V nasledujúcich častiach článku si podrobne vysvetlíme, čo GDPR v tejto oblasti vyžaduje, aké dokumenty sú potrebné a ako zabezpečiť ochranu osobných údajov v praxi bez toho, aby sa prevádzkovateľ dopustil porušenia nariadenia.

Rozdiel medzi bezpečnostným projektom a dokumentáciou podľa GDPR

Bezpečnostný projekt bol v minulosti kľúčovým dokumentom podľa slovenského zákona č. 122/2013 Z. z. o ochrane osobných údajov. GDPR však tento dokument ako taký nemenoval, ani nevyžaduje vyhotovenie dokumentu s rovnakým názvom. Namiesto toho kladie dôraz na princípy zodpovednosti, transparentnosti a bezpečnosti.

Dokumentácia podľa GDPR musí obsahovať:

  • záznamy o spracovateľských činnostiach,
  • záznamy o súhlase dotknutých osôb (ak je potrebný),
  • interné procesy spracovania údajov,
  • vyhodnotenie rizík a zodpovedajúce bezpečnostné opatrenia,
  • v prípade potreby dopadovú štúdiu (DPIA),
  • politiku ochrany osobných údajov,
  • zásady uchovávania údajov a ich mazania,
  • zmluvy so sprostredkovateľmi alebo tretími stranami,
  • plán reakcie na porušenie ochrany údajov.

To znamená, že hoci bezpečnostný projekt ako dokument zanikol, jednotlivé jeho prvky si GDPR ponecháva a často ešte sprísňuje.

Princíp zodpovednosti a povinnosť dokumentácie

Jedným z hlavných princípov GDPR je princíp zodpovednosti (accountability). Ten hovorí, že prevádzkovateľ je nielen povinný dodržiavať pravidlá nariadenia, ale aj o tom viesť dôkaznú dokumentáciu. V tomto zmysle je každý prevádzkovateľ povinný dokumentovať, ako zabezpečil súlad s GDPR.

Čo znamená byť “zodpovedný” prevádzkovateľ?

Podľa GDPR musí prevádzkovateľ preukázať, že:

  • implementoval vhodné technické a organizačné opatrenia,
  • zabezpečil primeranú úroveň bezpečnosti,
  • vyhodnotil riziká vyplývajúce zo spracúvania údajov,
  • školil svojich zamestnancov a informoval ich o povinnostiach,
  • vedie aktuálne záznamy o činnostiach spracúvania,
  • v prípade potreby vykonal posúdenie vplyvu na ochranu údajov (DPIA).

Táto dokumentácia môže byť rôzne štruktúrovaná a nesie podobnosť s pôvodným bezpečnostným projektom, ale je flexibilnejšia a zameraná na konkrétne spracovateľské operácie.

Povinnosť vypracovať dopadovú štúdiu (DPIA)

Dôležitou súčasťou novej GDPR legislatívy je povinnosť vykonať tzv. DPIA – posúdenie vplyvu na ochranu osobných údajov. Tento proces je povinný v prípade, keď spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody dotknutých osôb.

Kedy je DPIA povinná?

DPIA sa vyžaduje najmä v nasledujúcich prípadoch:

  • automatizované rozhodovanie vrátane profilovania,
  • rozsiahle spracovanie citlivých údajov (napr. zdravotné údaje),
  • systémové monitorovanie verejného priestranstva (napr. pomocou CCTV),
  • kombinácia viacerých databáz za účelom analýz alebo profilovania.

Výkon posúdenia musí byť zdokumentovaný, vrátane opisu plánovaných operácií, posúdenia ich nevyhnutnosti, hodnotenia rizík a opisu plánovaných opatrení na ich zvládnutie.

Bezpečnostné opatrenia ako náhrada za „projekt“

GDPR výrazne kladie dôraz na technické a organizačné opatrenia, ktorými má prevádzkovateľ zabezpečiť primeranú úroveň ochrany spracúvaných údajov. Tieto opatrenia by mali byť súčasťou internej dokumentácie – teda aj akéhosi „bezpečnostného konceptu“, ktorý možno považovať za nástupcu bezpečnostného projektu.

Typické bezpečnostné opatrenia zahŕňajú:

  • šifrovacie mechanizmy,
  • autentifikačné systémy (napr. dvojfaktorové overenie),
  • riadenie prístupu k údajom,
  • dohľad nad dátovými tokmi,
  • zálohovanie a obnova dát,
  • interné smernice a školenia zamestnancov.

Tieto opatrenia musia byť prispôsobené konkrétnemu prostrediu organizácie a tiež rizikám, ktoré môže spracovanie údajov predstavovať.

Úloha povinného subjektného zastupovania – zodpovedná osoba

Ak organizácia patrí medzi tie, ktoré sú podľa GDPR povinné menovať zodpovednú osobu na ochranu osobných údajov (DPO), potom táto osoba hrá kľúčovú úlohu pri navrhovaní bezpečnostných opatrení, dohľade nad súladom a dokumentáciou.

Zodpovedná osoba sleduje legislatívu, dohliada na práva dotknutých osôb a je kontaktným bodom pre Úrad na ochranu osobných údajov. V praxi často pomáha aj s vypracovaním interných smerníc a dokumentácie podobnej bezpečnostnému projektu.

Prechod z národnej legislatívy na GDPR – zánik bezpečnostného projektu

Po zavedení GDPR do praxe (od 25. mája 2018) došlo k zrušeniu slovenského zákona o ochrane osobných údajov v pôvodnej forme, čím zanikla aj zákonná povinnosť vypracovať bezpečnostný projekt. GDPR však vytvorilo rámec, ktorý má omnoho širšie základy a vyžaduje celkovú dokumentovanú bezpečnostnú a právnu stratégiu.

Organizácie preto museli aktualizovať svoje interné pravidlá a dokumentáciu tak, aby komunikovali nový prístup k ochrane osobných údajov na základe GDPR princípov.

Praktické odporúčania a záver

Aj keď GDPR formálne nevyžaduje vypracovanie dokumentu s názvom „bezpečnostný projekt“, v praxi odporúčame vyhotovenie dokumentácie, ktorá:

  • pokryje všetky požiadavky nariadenia,
  • bude dobre štruktúrovaná a ľahko dostupná pre interný aj externý audit,
  • umožní rýchlu reakciu pri podozrení na bezpečnostný incident,
  • slúži ako komunikačný nástroj pre zamestnancov a sprostredkovateľov.

Záverom možno konštatovať, že vypracovanie bezpečnostného projektu ako samostatného dokumentu už nie je zákonnou požiadavkou, no jeho podstatné časti stále žijú vo forme GDPR dokumentácie. Preto je v záujme každého prevádzkovateľa mať dôkladne a preukázateľne spracované všetky procesy ochrany osobných údajov.