POČÍTAČE A PROGRAMOVANIE, ŽILINA



Interný materiál pre užívateľov počítačového programu SOLW, SOSW a  ADOS


Obsah :

1.      Materiály pre vypracovanie Bezpečnostnej dokumentácie.

2.      Zmeny v ochrane osobných údajov podľa zákona  č. 122/2013 Z.z.

 

 

1.  Materiály pre vypracovanie  Bezpečnostnej dokumentácie.

 

Zákon o ochrane osobných údajov č. 122/2013 Z.z. účinný od 1.7.2013 a jeho prechodné ustanovenia na zosúladenie zabezpečenia ochrany osobných údajov pri ich spracúvaní v informačnom systéme prevádzkovateľa s týmto zákonom.

            Dňa 1.7.2013 nadobudol účinnosť nový zákon o ochrane osobných údajov. Zákon prináša viacero zmien a v prechodných ustanoveniach § 76 uvádza lehoty, v rámci ktorých je potrebné zosúladiť súčasný stav ochrany osobných údajov pri ich spracúvaní v informačnom systéme s novým znením zákona.  Zákon je prísnejší ako predchádzajúci a to svojimi požiadavkami aj  sankciami za ich nedodržanie.

           

            Zosúladenie  opatrení podľa nového zákona je potrebné vykonať do 31.12.2013

                       

Pripravili sme pre Vás materiál, ktorý Vám pomôže v zosúladení  opatrení pri ochrane osobných údajov podľa zákona č. 122/2013 Z.z.
Prílohami materiálu sú :

-                   tlačivo o poučení oprávnenej osoby,

-                   Bezpečnostný projekt,

-                   tlačivo o evidencii informačného systému, v ktorom spracúvate osobné údaje,

           

            Cena za materiál aj s prílohami je 52 EUR bez DPH . Materiál pošleme spolu s faktúrou emailom na Vami určenú adresu na základe Vašej objednávky. Záujemcovia si môžu materiál k ochrane osobných údajov objednať na e-mailovej adrese:  ou.med@pap.sk

 

            V objednávke, prosíme, uveďte názov objednávateľa, IČO, adresu sídla objednávateľa, adresu prevádzky ( ak sú rôzne) a e-mailovú adresu pre zaslanie materiálov.

                                                                                             


2. Zmeny v ochrane osobných údajov podľa zákona  č. 122/2013 Z.z.


Prehľad najdôležitejších zmien, súvisiacich s prevádzkovaním informačného systému (ďalej len IS)  ktoré priniesol Zákon č. 122/2013 Z.z. o ochrane osobných údajov.

 

            Od 1.7.2013 je účinný nový zákon č. 122/2013 Z.z. o ochrane osobných údajov (ďalej len Zákon), ktorý nahradil dovtedy platný zákon č. 428/2002 Z.z. o ochrane osobných údajov.

            Zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie (§ 2 Zákona ods.1) a na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme (§ 2 Zákona ods.3).

            Pod informačným systémom (IS) sa vo Vašom prípade rozumie súbor osobných údajov o pacientoch, či už sú uložené v písomnej, tlačenej forme, alebo v databáze v počítači. Zákon určuje, že zbierať je možné len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania.

            Za bezpečnosť osobných údajov je zodpovedný prevádzkovateľ IS a je povinný chrániť ich pred poškodením, zničením a neoprávneným prístupom, zverejnením apod. (§ 19 Zákona).

            Nový Zákon okrem iného zavádza obligatórne uloženie sankcie za porušenie zákona, t.j. ak dôjde k porušeniu Zákona, Úrad na ochranu osobných údajov (ďalej len Úrad) uloží pokutu.

 

Stručný prehľad zmien :

1.      Osobný údaj – čo je osobný údaj

2.      Oprávnená osoba – nanovo poučiť všetky oprávnené osoby

3.      Zodpovedná osoba – je poverená až pri 20 a viac oprávnených osobách

4.      Prevádzkovateľ, zástupca prevádzkovateľa, sprostredkovateľ – a ich spracúvanie osobných údajov

  1. Právny základ spracúvania osobných údajov – čas platnosti písomného súhlasu dotknutej osoby
  2. Registrácia IS na Úrade, osobitná registrácia IS na Úrade alebo jeho evidencia u prevádzkovateľa

7.      Kontrola ochrany osobných údajov – spísať záznam o vykonanej internej kontrole

8.      Bezpečnostné incidenty – spísať záznam o bezpečnostnom incidente

9.      Bezpečnostný projekt – Vyhláška Úradu č. 164 o rozsahu a dokumentácii bezpeč. opatrení

10.  Odporúčanie – uchovávanie bezpečnostnej dokumentácie v jednom obale

11.  Upozornenie - zodpovednosť

            1. Osobný údaj - v § 4 ods. 1 zákona sú osobnými údajmi „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“ Sú to napr. meno, priezvisko, titul, adresa, dátum narodenia, rodné číslo, informácie o osobných vlastnostiach, apod.

 

            2. Oprávnená osoba – v § 4 ods. 2 písm. e) Zákon definuje oprávnenú osobu ako „každú fyzickú osobu, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu..., a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.“

            Podľa znenia § 21 ods. 1 sa fyzická osoba stáva oprávnenou osobou dňom poučenia. I keď aj podľa zákona č. 428/2002 Z.z. bolo potrebné poučiť oprávnené osoby (§ 17 Poučenie), podľa nového zákona Poučenie dostáva presnú formu a záznam o poučení má náležitosti, ktoré musí obsahovať.

            Každá oprávnená osoba musí mať vlastný záznam o poučení a musí byť znovu poučená do 31.12.2013 (Prechodné ustanovenie § 76 ods. 3)

Nového zamestnanca, ktorý má byť oprávnenou osobou, treba v zmysle Zákona poučiť pred uskutočnením prvej operácie s osobnými údajmi a dať podpísať Poučenie.

U zamestnanca, ktorý prestáva byť oprávnenou osobou, do Poučenia treba doplniť deň, kedy prestala byť oprávnenou osobou.

 

            3. Zodpovedná osoba – podľa predchádzajúceho zákona č. 428/2002 Z.z. prevádzkovateľ poveril zodpovednú osobu, ak zamestnával viac ako 5 osôb. Nový Zákon v súvislosti s poverením zodpovednej osoby nespočítava zamestnancov, ale oprávnené osoby. V § 23 uvádza, pri akom počte oprávnených osôb musí byť poverená zodpovedná osoba, ktorá vykonáva dohľad nad ochranou osobných údajov:

 

ods. 3 znie:

„Ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako 20 oprávnených osôb, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 34...“

            - t.z., že výkon dohľadu nad ochranou osobných údajov u prevádzkovateľa s menej ako 20 oprávnenými osobami už nebude vykonávať zodpovedná osoba, ale prevádzkovateľ svoj informačný systém registruje na Úrade, ak tento podlieha registrácii, alebo o ňom vedie evidenciu (viď bod 4).

 

ods. 2 znie:

 „Ak prevádzkovateľ spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. ….“

- t.z., že dohľad vykonáva zodpovedná osoba až vtedy, keď osobné údaje spracúva 20 a viac oprávnených osôb. Zodpovedná osoba musí spĺňať podmienky Zákona uvedené v § 23 a musí mať vykonanú skúšku na výkon tejto funkcie na Úrade, musí mať písomné poverenie od prevádzkovateľa a musí byť poučená. Prevádzkovateľ o poverení zodpovednej osoby písomne informuje Úrad a to najneskôr do 30 dní odo dňa poverenia zodpovednej osoby. Povinnosti zodpovednej osoby sú uvedené v § 27 Zákona.

Prevádzkovateľ je povinný písomne poveriť zodpovednú osobu a jej poverenie oznámiť Úradu do 30.6.2014 (Prechodné ustanovenie § 76 ods. 4)

 

                       4. Prevádzkovateľ, zástupca prevádzkovateľa (zastupuje zahraničného prevádzkovateľa na území SR), sprostredkovateľ (spracúva osobné údaje v mene prevádzkovateľa)

 V samostatných ustanoveniach § 6, 7 a 8  im Zákon presne vymedzuje práva a povinnosti napr.:

- prevádzkovateľ vymedzí pred začatím spracúvania účel a podmienky spracúvania osob. údajov,

- zástupca prevádzkovateľa – je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa,

sprostredkovateľ – musí mať s prevádzkovateľom uzavretú písomnú zmluvu so Zákonom presne určenými náležitosťami (do 30.6.2014 Prechodné ustanovenie § 76 ods. 2).

 

            5. Právny základ spracúvania osobných údajov – Zákon v § 9 vymedzuje, na akom základe je možné spracúvať osobné údaje, a je to napr.: na základe súhlasu dotknutej osoby, ustanovenia osobitného zákona, ustanovenia tohto zákona, medzinárodnej zmluvy...

Súhlas dotknutej osoby so spracúvaním jej osobných údajov – nový Zákon mení dobu platnosti súhlasu na čas platnosti – obmedzuje dĺžku spracúvania osobných údajov dotknutej osoby. Ak prevádzkovateľ chce aj naďalej spracúvať jej osobné údaje, je povinný si pred uplynutím času platnosti súhlasu vyžiadať nový súhlas dotknutej osoby, inak je povinný ich zlikvidovať.

 

 

            6. Registrácia IS na Úrade, osobitná registrácia IS na Úrade alebo jeho evidencia u prevádzkovateľa

            Podmienky registrácie IS sú uvedené v § 34, kde:

v ods. 1 sa uvádza:

„Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.“

 

v ods. 2 sa uvádza, na ktoré IS sa povinnosť registrácie nevzťahuje:

Povinnosť registrácie podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré:

písm. a) podliehajú osobitnej registrácii podľa § 37,

písm. b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23,

písm.d) obsahujú údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika           viazaná.

T.z., že nie na všetky IS sa vzťahuje povinnosť registrácie na Úrade. O nezaregistrovaných IS je prevádzkovateľ povinný viesť evidenciu.

 

            Podmienky evidencie upravuje § 43, kde sa v ods. 1 uvádza:

O informačných systémoch, ktoré nepodliehajú registrácii alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje….“

           

            Podmienky osobitnej registrácie IS sú uvedené v § 37 Zákona, kde vymenúva, na ktoré informačné systémy sa vzťahuje osobitná registrácia -  ide o.i. aj o informačné systémy, v ktorých sa spracúvajú osobné údaje bez súhlasu dotknutej osoby na základe § 10 ods.3 písm.g): „spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany; …“ - sú to napr. kamery a kamerové systémy v priestore prístupnom verejnosti. Aj tento IS musí mať vypracovanú bezpečnostnú dokumentáciu (Bezpečnostný projekt, Poučenie oprávnenej osoby, ktorá spracúva osobné údaje v tomto IS, kamerovaný priestor musí byť zreteľne označený, apod.) V § 38 a 39 Zákona je upravený postup pri osobitnej registrácii na Úrade.

 

            6.1. IS Ambulancie S

            V IS Ambulancie  sa osobné údaje – meno, priezvisko, titul, rodné číslo spracúvajú na základe zákona. V takom prípade je treba o IS Ambulancie viesť evidenciu na evidenčnom liste.

!!Evidenčný list vystavte do 31.12.2013.

           

           

7. Kontrola ochrany osobných údajov

            Kontrolu ochrany osobných údajov, spracúvaných v prevádzke, vykonáva prevádzkovateľ alebo ním poverená osoba (osoba, ktorú prevádzkovateľ písomne poveril na výkon dohľadu nad ochranou osob. údajov*) alebo zodpovedná osoba (osoba, ktorá vykonala skúšku na Úrade a bola písomne poverená prevádzkovateľom na výkon tejto funkcie) ak je takáto osoba určená. O každej kontrole je treba urobiť písomný záznam a uložiť ho k ostatnej bezpečnostnej dokumentácii. Nedostatky zistené pri kontrole treba zapísať do záznamu o kontrole a takisto ich odstránenie.

* Tým však nie je dotknutá zodpovednosť prevádzkovateľa za výkon dohľadu nad ochranou osobných údajov uvedená v § 23 Zákona.

 

     8. Bezpečnostné incidenty

            Bezpečnostným incidentom je narušenie alebo ohrozenie bezpečnosti ochrany osobných údajov, napríklad zavírenie počítača, kde je umiestnený informačný systém, strata USB kľúča s osobnými údajmi, krádež počítača s IS, oprava disku počítača, na ktorom je aj IS, obnovovanie dát na havarovanom disku počítača, vlámanie sa do uzamknutých skriniek so zdravotnou dokumentáciou, apod.

            V prípade takejto udalosti je treba spísať o nej záznam, príp. aj riešenie incidentu, a uložiť ho k ostatnej bezpečnostnej dokumentácii.

 

            9. Bezpečnostný projekt – bezpečnostnú dokumentáciu podrobne upravuje Vyhláška ÚOOÚ SR č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení

             

 

            10 . Odporúčanie

            Bezpečnostnú dokumentáciu, súvisiacu s ochranou osobných údajov, t.j. bezpečnostný projekt, poučenia oprávnených osôb, evidenčný list k informačnému systému, príp. písomné poverenie zodpovednej osoby, ak Vám vyplýva zo zákona, záznamy o vykonanej internej kontrole ochrany osobných údajov, záznamy o bezpečnostných incidentoch, kópiu prípadnej žiadosti o registráciu, odporúčame mať usporiadané v jednom obale uloženom najlepšie priamo v prevádzke na bezpečnom mieste, kde nemôže prísť k jej odcudzeniu.

                        Po oznámení z Úradu o kontrole na vykonávanie ochrany osobných údajov u prevádzkovateľa, prevádzkovateľ poskytne bezpečnostnú dokumentáciu k nahliadnutiu.    

           

           

11. Upozornenie

            § 19 ods. 1 Zákona, kto je zodpovedný za bezpečnosť osobných údajov:

„Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou,.. Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len bezpečnostné opatrenia)...“

            Z dôvodu vážnosti a zložitosti Zákona, ako aj rôznych špecifík vo Vašich prevádzkach, odporúčame Vám Zákon o ochrane osobných údajov si preštudovať a príp. prispôsobiť svoj postup pri zabezpečení ochrany osobných údajov vo Vašich prevádzkach.

 

 

 

 

                                                                                  Počítače a Programovanie, s.r.o.