Bezpečnostný projekt na kľúč

Jedná sa o jednu zo zákonných povinností v zmysle §19 zákona č. 122/2013 Z.z

U nás získate

  • právnikom vypracovaný návrh zmluvy o mIčanlivosti
  • prevádzkovateľsko sprostredkovateľskú zmluvu
  • analýzu aktuálneho stavu spracúvania osobných údajov a použitých informačných systémov
  • pravidelne upozomenia na zmeny v zákone
  • účinnosť pri pripadnej kontrole z Úradu na ochranu osobných údajov
  • odbomé konzultácie a podarenstvo
  • množstvo dokumentov potrebných pri napífianí zákona v súlade s §21, §11, §10, §25
  • poistenie až do výšky 60.000 EUR

Za nespinenie tejto povinnosti možete obdržat pokutu. (výška pokuty je min 1.000 a max 200.000 EUR.)

Cena od 139€

Teraz možnosť platby aj na splátky bez navýšenia pre štátnu správu a rozpočtové organizácie

ŽIADOSŤ O CENOVÚ PONUKU

Kamerové systémy a bezpečnostný projekt

Veľmi často sa zabúda, že osobné údaje sú aj tie, ktoré sú zaznamenané audio a video technikou a platia pre ne špeciálne pravidlá. Zákon myslí aj na kamerové systémy, ktorých prevádzkovateľ musí mať za určitých okolnosti tiež vypracovaný bezpečnostný projekt, nakoľko zákon stanovuje že osobné údaje nie sú len identifikačné údaje ako napr. rodné číslo, ale aj:

§ 4 Ods. 1Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu, to znamená že aj video záznam, pretože sa na ňom nachádzajú všetky horeuvedené osobné údaje !

§ 4 Ods. 3 písmeno j)priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase, pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný zákon,

Na stránke úradu na ochranu osobných údajov píše JUDr. Zuzana Valková na otázku, či je potrebné mať vypracovaný BP, ak kamerový systém monitoruje IBA súkromné priestory firmy.

„Monitorovaním priestoru vzniká informačný systém, ktorého prevádzkovanie podlieha zákonu o ochrane osobných údajov. Zamestnávateľ ako jeho prevádzkovateľ je tak povinný si splniť povinnosti, ktoré mu zo zákona v tejto súvislosti plynú. Jedná sa napríklad o povinnosť mať vypracovaný evidenčný list (registrácia v danom prípade nie je potrebná), zamestnávateľ je ďalej povinný o tom informovať svojich zamestnancov (táto povinnosť vypláva aj zo Zákonníka práce) a samozrejme zamestnávateľ je povinný mať vypracovanú buď bezpečnostnú smernicu alebo celý bezpečnostný projekt (to závisí od toho, či taký informačný systém je prepojený na internet alebo je prevádzkovaný v sieti, ktorá je prepojená na internet).“

Ďalej sa v zákone striktne definujú pravidlá, ktoré je potrebné dodržiavať pri prevádzke kamerového systému:

§ 15 Ods. 7Priestor prístupný verejnosti možno monitorovať len na účely ochrany verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak

Likvidácia kamerového záznamu:

§ 16 Ods. 7Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.

Naša spoločnosť nielenže vypracováva BP pre kamerové systémy, ale ich aj projektuje, inštaluje opravuje a robí revízie na základe §7 ods.1 zákona č. 473/2005 Z. z. o poskytovaní služieb v oblasti súkromnej bezpečnosti. Každá takáto spoločnosť je evidovaná na krajskom riaditeľstve policajného zboru, ktorý licenciu vydal.

A keďže veľmi dobre poznáme ako takéto systémy fungujú, kde existujú možne riziká, vieme vypracovať projekt a smernice tak, aby spĺňali tie najprísnejšie kritéria z hľadiska zákona o ochrany osobných údajov. Zistiť či firma ktorá montovala kamerový systém, mala na to aj potrebnú licenciu, si môžete tu: MINISTERSTVO VNÚTRA

Obsah bezpečnostného projektu ( na základe zákona č. 122/2013 Z.z. a VV)

  1. Úvod
    1. Dôvody k riešeniu informačnej bezpečnosti
  2. Definovanie základných pojmov a všeobecný prehľad
    1. Základné pojmy
    2. Technické pojmy
  3. Bezpečnostný zámer
    1. Základné bezpečnostné ciele
      1. Ciele v oblasti personálnej
      2. Ciele v oblasti organizačnej
      3. Ciele v oblasti technickej
      4. Úrovne bezpečnosti
    2. Špecifikácia bezpečnostných opatrení
      1. Špecifikácia technických opatrení
      2. Špecifikácia organizačných opatrení
      3. Špecifikácia personálnych opatrení
    3. Vymedzenie okolia informačného systému
    4. Vymedzenie hraníc zostatkových rizík
    5. Riadenie bezpečnosti
  4. Analýza bezpečnosti informačného systému
    1. Popis informačného systému
    2. Hodnota informácií
    3. Kvantitatívna analýza bezpečnostných rizík zneužitia osobných údajov
      1. Nedostatočná personálna bezpečnosť IS
      2. Nedostatočná fyzická bezpečnosť IS
      3. Nedostatočná technická bezpečnosť IS
      4. Nedostatočná softvérová bezpečnosť IS
      5. Nedostatočná bezpečnostná údržba IS
      6. Nepokryté bezpečnostné rizika IS

Obsah záverov z bezpečnostného zámeru a analýzy bezpečnosti IS (na základe zákona č.122/2013 Z.z. a VV)

  1. Úvodné ustanovenia
  2. Rozsah platnosti
  3. Úrovne riešenia bezpečnosti
  4. Zameranie bezpečnostných opatrení
    1. Spôsob získavania osobných údajov
    2. Informačno-technická bezpečnosť
      1. Popis technických opatrení
      2. Ochrana pred neoprávneným prístupom - šifrovanie
      3. Riadenie prístupu oprávnených osôb
      4. Ochrana proti škodlivému kódu
      5. Sieťová bezpečnosť
      6. Zálohovanie dát
      7. Základná prevencia pred napadnutím ( infiltráciou )
    3. Organizačné opatrenia
      1. Pravidlá v rámci organizačnej štruktúry
      2. Rozdelenie kompetencií
      3. Určenie pracovných a bezpečnostných postupov
      4. Ďalšie organizačné opatrenia
      5. Súhlas dotknutých osôb
      6. Sťažnosti
      7. Nakladanie s nosičmi údajov
    4. Personálne opatrenia
      1. Požiadavky na personálne opatrenia
      2. Rozsah oprávnení a povinností zodpovednej osoby
      3. Rozsah povinností oprávnených osôb
      4. Rozsah povinností správcu systému
    5. Fyzická a objektová bezpečnosť
  5. Likvidácia osobných údajov
  6. Bezpečnostné incidenty
    1. Narušenie personálnej bezpečnosti
    2. Narušenie fyzickej bezpečnosti
    3. Narušenie technicko-softvérovej bezpečnosti
  7. Kontrolná činnosť
    1. Kontrola dodržiavania bezpečnostných záverov

Ďalšie dokumenty k bezpečnostnému projektu a bezpečnostnému zákonu ( vypracovaných na základe zákona č. 122/2013 Z.z. )

Poverenie zodpovednej osoby, ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.

Poučenie oprávnených osôb, prevádzkovateľ je povinný poučiť osobu o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam.

Návrh zmluvy Prevádzkovateľ – Sprostredkovateľ (Sprostredkovateľ – Subdodávateľ),prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve

Oznámenie o poverení zodpovednej osoby,prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Výpisu z registra trestov nie starším ako tri mesiace sa nezasiela na úrad, ale ponechá si ho prevádzkovateľ.

Žiadosť o absolvovanie skúšky,fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných údajov až po úspešnom absolvovaní skúšky.

Odvolanie zodpovednej osoby,zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov a neplní si svoje povinnosti, alebo v prípade organizačných zmien, musí byť odvolaná z funkcie zodpovednej osoby a prevádzkovateľ je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie zodpovednej osoby písomne odvolať.

Evidencia informačného systémuo informačných systémoch, ktoré nepodliehajú osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje v rozsahu podľa § 35 ods. 1.

Súhlas so spracovaním osobných údajov ( neplatí pre kamerové systémy ),dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so spracúvaním svojich osobných údajov.

Osobitná registrácia IS, Zmeny a Odhlásenie registrácie ISak prevádzkovateľ spracúva osobné údaje je povinný prihlásiť na osobitnú registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú osobitnej registrácii podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej vety sa nevzťahuje na sprostredkovateľa.

Oznámenie zmien, odhlásenie z registrácie a odhlásenie osobitnej registrácieprevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek zmeny údajov prihlásených na registráciu alebo na osobitnú registráciu, ktoré nastanú v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených osôb podľa

Kompletný zákon č. 122/2013 Z.za jeho vykonávacia vyhláška