Ako identifikovať všetky informačné systémy, ktoré spracúvajú osobné údaje? Táto otázka je mimoriadne dôležitá pre každého prevádzkovateľa alebo spracovateľa osobných údajov, najmä v kontexte dodržiavania nariadenia GDPR. Identifikácia informačných systémov, ktoré spracúvajú osobné údaje, je zásadným krokom k zabezpečeniu ochrany údajov a predchádzaniu možným únikom alebo iným incidentom. Bez jasného prehľadu o tom, aké systémy sa používajú, na aký účel a aké typy údajov spracúvajú, nie je možné zabezpečiť právoplatné a efektívne spracovanie podľa zákona.
V tomto článku sa pozrieme na kompletný a praktický postup, ako systematicky identifikovať všetky informačné systémy, ktoré spracúvajú osobné údaje v rámci organizácie. Prevedieme vás procesom od definície informačného systému, cez analýzu pracovných procesov, až po tvorbu zoznamu systémov a ich dokumentáciu. Tento návod poskytne praktické odpovede na časté otázky a pomôže vám položiť pevné základy pre dodržiavanie nielen právnej legislatívy, ale aj vnútornej kybernetickej bezpečnosti vašej organizácie.
Čo je informačný systém a prečo ho identifikovať?
Informačný systém je súbor prostriedkov – hardvérových, softvérových a dátových – slúžiacich na spracovanie informácií v organizácii. V kontexte ochrany osobných údajov ide najmä o systémy, ktoré zhromažďujú, uchovávajú, upravujú alebo inak spracúvajú osobné údaje fyzických osôb.
Identifikácia týchto systémov je nevyhnutná preto, že:
- umožňuje organizácii pochopiť, aké údaje spracúva a kde sa nachádzajú,
- je základom pre vypracovanie záznamov o spracovateľských činnostiach,
- pomáha pri posudzovaní rizík a pri nastavovaní bezpečnostných opatrení,
- je potrebná na zabezpečenie práv dotknutých osôb (napr. právo na výmaz alebo prenos údajov),
- je kľúčová pri nahlasovaní incidentov, únikov alebo pri kontrolách zo strany dozorného orgánu.
Bez tejto identifikácie neviete, ktoré systémy sú pod dohľadom a ktoré sa môžu stať slabinou v ochrane údajov.
Ako začať s identifikáciou systémov s osobnými údajmi?
Začiatok si vyžaduje systematický prístup. Prvý krok je vytvoriť si prehľad všetkých procesov organizácie, ktoré sa týkajú spracovania údajov. Odporúčame postupovať nasledovným spôsobom:
Analýza existujúcich procesov
Preskúmajte interné procesy – ako napríklad správa zamestnaneckej agendy, vedenie zákazníkov, marketingové aktivity, spracovanie objednávok a podobne. Pri každom z týchto procesov si položte otázku: „Spracúvame tu osobné údaje?“
Rozhovory s kľúčovými zamestnancami
Vedenie rozhovorov s jednotlivými oddeleniami (IT, HR, marketing, obchod) pomôže získať komplexný prehľad. Každé oddelenie môže mať špecifické aplikácie alebo nástroje, ktoré správca osobných údajov centrálne nepozná.
Audit IT infraštruktúry
Technologický audit pomáha zistiť všetky systémy, servery, cloudové služby a aplikácie, ktoré majú prístup k citlivým dátam. Zohľadnite aj prenosné zariadenia ako mobily, notebooky, a externé úložiská.
Typické kategórie systémov, kde sa spracúvajú osobné údaje
Na základe vyššie uvedenej fázy identifikácie sa obyčajne zistia nasledujúce typy informačných systémov:
- Personálne a mzdové systémy: evidencia zamestnancov, dochádzka, mzdy a pracovné zmluvy.
- CRM systémy: databázy zákazníkov, ich objednávky a história komunikácie.
- ERP systémy: plánovanie zdrojov organizácie, často súvisí so skladovou správou a fakturáciou.
- Emailové a komunikačné nástroje: Gmail, Outlook, Slack či MS Teams – všetky spracúvajú osobné informácie v rámci komunikácie.
- Marketingové platformy: Newsletter nástroje, sociálne siete, analytika návštevníkov stránok (cookies).
- Zákaznícke podporné systémy: napr. Helpdesky, reklamácie, ticketovacie systémy.
- Fyzická bezpečnosť: kamerový systém a elektronická evidencia vstupov (turnikety, čipové karty).
Aké údaje hľadať v informačných systémoch?
Pri každom systéme je dôležité preskúmať, aké konkrétne osobné údaje spracúva:
- Meno a priezvisko
- Adresa (bydliska, fakturačná)
- Telefónne číslo, e-mail
- Číslo občianskeho preukazu, rodné číslo
- IP adresa, cookies, geolokácia
- Zdravotné údaje, biometrické údaje
- Audio/video záznamy (napr. z kamerového systému)
- Informácie o zmluvách, platobných kartách, bankových údajoch
Určenie citlivosti údajov pomáha určiť mieru rizika spojeného s konkrétnym systémom.
Prieskum a správa tretích strán (sprostredkovatelia)
Okrem interných systémov je nevyhnutné preskúmať aj systémy a služby, ktoré využívate cez tretie strany – tzv. sprostredkovateľov. Tieto služby často zabezpečujú:
- hosting webstránky alebo e-mailov,
- cloudové úložiská (napr. Google Drive, Dropbox),
- účtovníctvo cez externú firmu,
- zákaznícky servis cez outsourcovanú linku,
- IT support alebo správu serverov.
V každom prípade je potrebné tieto dodávky systematicky zdokumentovať a uzatvoriť správne zmluvy o spracúvaní osobných údajov podľa GDPR.
Tvorba zoznamu a dokumentácia systémov
Po identifikácii všetkých systémov a procesov vytvorte komplexný záznamový register. Tento súbor by mal obsahovať:
- Názov systému a jeho účel
- Typy spracúvaných osobných údajov
- Kategórie dotknutých osôb
- Miesto uchovávania údajov
- Právny základ spracovania
- Doba uchovávania
- Bezpečnostné opatrenia
- Sprostredkovatelia a tretie strany
Táto dokumentácia tvorí základ pre audity, kontroly aj pri plnení žiadostí od dotknutých osôb o prístup alebo výmaz údajov.
Priebežná aktualizácia a kontrola
Identifikácia informačných systémov nie je jednorazový krok. Je to živý proces, ktorý sa musí priebežne aktualizovať vždy pri:
- zavedení nového systému,
- vypnutí/odstránení starého nástroja,
- zmene poskytovateľa služby alebo spracovateľa,
- zmene právnych povinností.
Odporúča sa vykonať úplný interný audit minimálne raz ročne, aby sa zabezpečila presnosť a aktuálnosť údajov.
Záver: Budovanie dôvery a právnej istoty
Identifikácia všetkých informačných systémov, ktoré spracúvajú osobné údaje, nie je len formalita. Je to základná súčasť zodpovedného prístupu k ochrane údajov a dodržiavania nariadenia GDPR. Umožňuje organizácii správať sa právne korektne, chrániť údaje svojich zamestnancov, klientov a partnerov a zároveň budovať dôveru.
Systematickým prístupom, pravidelnými auditmi a dobrou internou spoluprácou dokážete vytvoriť pevný základ, ktorý ochráni nielen vaše podnikanie, ale aj osobné práva všetkých dotknutých osôb.
