POČÍTAČE A PROGRAMOVANIE, ŽILINA
Interný materiál pre užívateľov počítačového programu SOLW, SOSW a ADOS
Obsah :
1. Materiály
pre vypracovanie Bezpečnostnej dokumentácie.
2. Zmeny v ochrane osobných údajov podľa zákona č. 122/2013 Z.z.
1. Materiály pre vypracovanie Bezpečnostnej dokumentácie.
Zákon o
ochrane osobných údajov č. 122/2013 Z.z. účinný od 1.7.2013 a jeho prechodné
ustanovenia na zosúladenie zabezpečenia ochrany osobných údajov pri ich
spracúvaní v informačnom systéme prevádzkovateľa s týmto zákonom.
Dňa
1.7.2013 nadobudol účinnosť nový zákon o ochrane osobných údajov. Zákon prináša
viacero zmien a v prechodných ustanoveniach § 76 uvádza lehoty, v rámci ktorých
je potrebné zosúladiť súčasný stav ochrany osobných údajov pri ich spracúvaní v
informačnom systéme s novým znením zákona.
Zákon je prísnejší ako predchádzajúci a to svojimi požiadavkami aj sankciami za ich nedodržanie.
Zosúladenie opatrení podľa nového zákona je potrebné
vykonať do 31.12.2013
Pripravili
sme pre Vás materiál, ktorý Vám pomôže v zosúladení opatrení pri ochrane osobných údajov podľa
zákona č. 122/2013 Z.z.
Prílohami materiálu sú :
-
tlačivo o poučení oprávnenej
osoby,
-
Bezpečnostný projekt,
-
tlačivo o evidencii
informačného systému, v ktorom spracúvate osobné údaje,
Cena za materiál aj s prílohami je
52 EUR bez DPH . Materiál pošleme spolu s faktúrou emailom na Vami určenú
adresu na základe Vašej objednávky. Záujemcovia si môžu materiál k ochrane osobných údajov objednať na
e-mailovej adrese: ou.med@pap.sk
V objednávke, prosíme, uveďte názov objednávateľa, IČO, adresu sídla objednávateľa, adresu prevádzky ( ak sú rôzne) a e-mailovú adresu pre zaslanie materiálov.
2. Zmeny v ochrane osobných údajov podľa zákona č. 122/2013 Z.z.
Prehľad najdôležitejších zmien,
súvisiacich s prevádzkovaním informačného systému (ďalej len IS) ktoré priniesol Zákon č. 122/2013 Z.z. o
ochrane osobných údajov.
Od
1.7.2013 je účinný nový zákon č. 122/2013 Z.z. o ochrane osobných údajov (ďalej
len Zákon), ktorý nahradil dovtedy platný zákon č. 428/2002 Z.z. o ochrane
osobných údajov.
Zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie (§ 2 Zákona ods.1) a na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme (§ 2 Zákona ods.3).
Pod informačným systémom (IS) sa vo Vašom prípade rozumie súbor osobných údajov o pacientoch, či už sú uložené v písomnej, tlačenej forme, alebo v databáze v počítači. Zákon určuje, že zbierať je možné len tie osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu ich spracúvania.
Za bezpečnosť osobných údajov je zodpovedný prevádzkovateľ IS a je povinný chrániť ich pred poškodením, zničením a neoprávneným prístupom, zverejnením apod. (§ 19 Zákona).
Nový Zákon okrem iného zavádza obligatórne uloženie sankcie za porušenie zákona, t.j. ak dôjde k porušeniu Zákona, Úrad na ochranu osobných údajov (ďalej len Úrad) uloží pokutu.
Stručný prehľad zmien :
1. Osobný údaj – čo je osobný údaj
2. Oprávnená osoba – nanovo poučiť všetky oprávnené osoby
3. Zodpovedná osoba – je poverená až pri 20 a viac oprávnených osobách
4. Prevádzkovateľ, zástupca prevádzkovateľa, sprostredkovateľ – a ich spracúvanie osobných údajov
7. Kontrola ochrany osobných údajov – spísať záznam o vykonanej internej kontrole
8. Bezpečnostné incidenty – spísať záznam o bezpečnostnom incidente
9. Bezpečnostný projekt – Vyhláška Úradu č. 164 o rozsahu a dokumentácii bezpeč. opatrení
10. Odporúčanie – uchovávanie bezpečnostnej dokumentácie v jednom obale
11. Upozornenie
- zodpovednosť
1. Osobný údaj - v § 4 ods. 1 zákona sú osobnými údajmi „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“ Sú to napr. meno, priezvisko, titul, adresa, dátum narodenia, rodné číslo, informácie o osobných vlastnostiach, apod.
2. Oprávnená osoba – v § 4 ods. 2 písm. e) Zákon definuje oprávnenú osobu ako „každú fyzickú osobu, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu..., a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21.“
Podľa znenia § 21 ods. 1 sa fyzická osoba stáva oprávnenou osobou dňom poučenia. I keď aj podľa zákona č. 428/2002 Z.z. bolo potrebné poučiť oprávnené osoby (§ 17 Poučenie), podľa nového zákona Poučenie dostáva presnú formu a záznam o poučení má náležitosti, ktoré musí obsahovať.
Každá oprávnená osoba musí mať vlastný záznam o poučení a musí byť znovu poučená do 31.12.2013 (Prechodné ustanovenie § 76 ods. 3)
Nového zamestnanca, ktorý má byť oprávnenou osobou, treba v zmysle Zákona poučiť pred uskutočnením prvej operácie s osobnými údajmi a dať podpísať Poučenie.
U zamestnanca, ktorý prestáva byť oprávnenou osobou, do Poučenia treba doplniť deň, kedy prestala byť oprávnenou osobou.
3.
Zodpovedná osoba – podľa predchádzajúceho zákona č. 428/2002 Z.z.
prevádzkovateľ poveril zodpovednú osobu, ak zamestnával viac ako 5 osôb. Nový
Zákon v súvislosti s poverením zodpovednej osoby nespočítava
zamestnancov, ale oprávnené osoby. V § 23 uvádza, pri akom počte
oprávnených osôb musí byť poverená zodpovedná osoba, ktorá vykonáva dohľad nad
ochranou osobných údajov:
ods. 3 znie:
„Ak prevádzkovateľ spracúva osobné údaje prostredníctvom menej ako 20 oprávnených osôb, je povinný prihlásiť na registráciu tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 34...“
- t.z., že výkon dohľadu nad ochranou osobných údajov u prevádzkovateľa s menej ako 20 oprávnenými osobami už nebude vykonávať zodpovedná osoba, ale prevádzkovateľ svoj informačný systém registruje na Úrade, ak tento podlieha registrácii, alebo o ňom vedie evidenciu (viď bod 4).
ods. 2 znie:
„Ak prevádzkovateľ spracúva osobné údaje
prostredníctvom 20 a viac oprávnených osôb, je povinný najneskôr
v lehote 60 dní od začatia ich spracúvania výkonom dohľadu písomne poveriť
zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie
zákonných ustanovení pri spracúvaní osobných údajov. ….“
- t.z., že dohľad vykonáva zodpovedná osoba až vtedy, keď osobné údaje spracúva 20 a viac oprávnených osôb. Zodpovedná osoba musí spĺňať podmienky Zákona uvedené v § 23 a musí mať vykonanú skúšku na výkon tejto funkcie na Úrade, musí mať písomné poverenie od prevádzkovateľa a musí byť poučená. Prevádzkovateľ o poverení zodpovednej osoby písomne informuje Úrad a to najneskôr do 30 dní odo dňa poverenia zodpovednej osoby. Povinnosti zodpovednej osoby sú uvedené v § 27 Zákona.
Prevádzkovateľ je povinný písomne poveriť zodpovednú osobu a jej poverenie oznámiť Úradu do 30.6.2014 (Prechodné ustanovenie § 76 ods. 4)
4. Prevádzkovateľ, zástupca prevádzkovateľa (zastupuje zahraničného prevádzkovateľa na území SR), sprostredkovateľ (spracúva osobné údaje v mene prevádzkovateľa)
V samostatných ustanoveniach § 6, 7 a 8 im Zákon presne vymedzuje práva a povinnosti napr.:
- prevádzkovateľ vymedzí pred začatím spracúvania účel a podmienky spracúvania osob. údajov,
- zástupca prevádzkovateľa – je povinný disponovať originálom dokladu svojho vymenovania za zástupcu prevádzkovateľa,
sprostredkovateľ – musí mať s prevádzkovateľom uzavretú písomnú zmluvu so Zákonom presne určenými náležitosťami (do 30.6.2014 Prechodné ustanovenie § 76 ods. 2).
5.
Právny základ spracúvania osobných údajov – Zákon v § 9 vymedzuje, na
akom základe je možné spracúvať osobné údaje, a je to napr.: na základe súhlasu
dotknutej osoby, ustanovenia osobitného zákona, ustanovenia tohto zákona,
medzinárodnej zmluvy...
Súhlas dotknutej osoby so spracúvaním jej osobných údajov – nový Zákon mení dobu platnosti súhlasu na čas platnosti – obmedzuje dĺžku spracúvania osobných údajov dotknutej osoby. Ak prevádzkovateľ chce aj naďalej spracúvať jej osobné údaje, je povinný si pred uplynutím času platnosti súhlasu vyžiadať nový súhlas dotknutej osoby, inak je povinný ich zlikvidovať.
6. Registrácia IS na Úrade, osobitná registrácia IS na Úrade alebo jeho evidencia u prevádzkovateľa
Podmienky registrácie IS sú uvedené v § 34, kde:
v ods. 1 sa uvádza:
„Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania.“
v ods. 2 sa uvádza, na ktoré
IS sa povinnosť registrácie nevzťahuje:
„Povinnosť registrácie
podľa odseku 1 sa nevzťahuje na informačné systémy, ktoré:
písm. a) podliehajú osobitnej
registrácii podľa § 37,
písm. b) podliehajú dohľadu
zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa § 23,
písm.d) obsahujú údaje, ktoré sú spracúvané na základe zákona, priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.“
T.z., že nie na všetky IS sa vzťahuje povinnosť registrácie na Úrade. O nezaregistrovaných IS je prevádzkovateľ povinný viesť evidenciu.
Podmienky evidencie upravuje § 43, kde sa v ods.
1 uvádza:
„O informačných systémoch,
ktoré nepodliehajú registrácii alebo osobitnej registrácii, je
prevádzkovateľ povinný viesť evidenciu, a to najneskôr odo dňa začatia
spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje údaje….“
Podmienky osobitnej
registrácie IS sú uvedené v
§ 37 Zákona, kde vymenúva, na ktoré informačné systémy sa vzťahuje osobitná
registrácia - ide o.i. aj o informačné
systémy, v ktorých sa spracúvajú osobné údaje bez súhlasu dotknutej osoby na
základe § 10 ods.3 písm.g): „spracúvanie osobných údajov je nevyhnutné na
ochranu práv a právom chránených záujmov prevádzkovateľa alebo tretej strany;
…“ - sú to napr. kamery a kamerové systémy v priestore prístupnom verejnosti.
Aj tento IS musí mať vypracovanú bezpečnostnú dokumentáciu (Bezpečnostný
projekt, Poučenie oprávnenej osoby, ktorá spracúva osobné údaje v tomto IS,
kamerovaný priestor musí byť zreteľne označený, apod.) V § 38 a 39 Zákona je
upravený postup pri osobitnej registrácii na Úrade.
6.1. IS Ambulancie S
V IS
Ambulancie sa osobné údaje – meno,
priezvisko, titul, rodné číslo spracúvajú na základe zákona. V takom prípade je
treba o IS Ambulancie viesť evidenciu na evidenčnom liste.
!!Evidenčný list vystavte do 31.12.2013.
7. Kontrola ochrany osobných údajov
Kontrolu ochrany osobných údajov, spracúvaných v prevádzke, vykonáva prevádzkovateľ alebo ním poverená osoba (osoba, ktorú prevádzkovateľ písomne poveril na výkon dohľadu nad ochranou osob. údajov*) alebo zodpovedná osoba (osoba, ktorá vykonala skúšku na Úrade a bola písomne poverená prevádzkovateľom na výkon tejto funkcie) ak je takáto osoba určená. O každej kontrole je treba urobiť písomný záznam a uložiť ho k ostatnej bezpečnostnej dokumentácii. Nedostatky zistené pri kontrole treba zapísať do záznamu o kontrole a takisto ich odstránenie.
* Tým však nie je dotknutá zodpovednosť prevádzkovateľa za výkon dohľadu nad ochranou osobných údajov uvedená v § 23 Zákona.
8. Bezpečnostné incidenty
Bezpečnostným incidentom je narušenie alebo ohrozenie bezpečnosti ochrany osobných údajov, napríklad zavírenie počítača, kde je umiestnený informačný systém, strata USB kľúča s osobnými údajmi, krádež počítača s IS, oprava disku počítača, na ktorom je aj IS, obnovovanie dát na havarovanom disku počítača, vlámanie sa do uzamknutých skriniek so zdravotnou dokumentáciou, apod.
V prípade takejto udalosti je treba spísať o nej záznam, príp. aj riešenie incidentu, a uložiť ho k ostatnej bezpečnostnej dokumentácii.
9. Bezpečnostný projekt – bezpečnostnú dokumentáciu podrobne upravuje Vyhláška ÚOOÚ SR č. 164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení
10 . Odporúčanie
Bezpečnostnú dokumentáciu, súvisiacu s ochranou osobných údajov, t.j. bezpečnostný projekt, poučenia oprávnených osôb, evidenčný list k informačnému systému, príp. písomné poverenie zodpovednej osoby, ak Vám vyplýva zo zákona, záznamy o vykonanej internej kontrole ochrany osobných údajov, záznamy o bezpečnostných incidentoch, kópiu prípadnej žiadosti o registráciu, odporúčame mať usporiadané v jednom obale uloženom najlepšie priamo v prevádzke na bezpečnom mieste, kde nemôže prísť k jej odcudzeniu.
Po oznámení z Úradu o kontrole
na vykonávanie ochrany osobných údajov u prevádzkovateľa, prevádzkovateľ
poskytne bezpečnostnú dokumentáciu k nahliadnutiu.
11. Upozornenie
§
19 ods. 1 Zákona, kto je zodpovedný za bezpečnosť osobných údajov:
„Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou,.. Na tento účel prijme primerané technické, organizačné a personálne opatrenia (ďalej len bezpečnostné opatrenia)...“
Z dôvodu vážnosti a zložitosti Zákona, ako aj rôznych špecifík vo Vašich prevádzkach, odporúčame Vám Zákon o ochrane osobných údajov si preštudovať a príp. prispôsobiť svoj postup pri zabezpečení ochrany osobných údajov vo Vašich prevádzkach.
Počítače a Programovanie, s.r.o.