Z ustanovení Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.4.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len "nariadenie") vyplýva prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti spracúvania osobných údajov primeranú riziku tohto spracúvania.
Bezpečnosť spracúvania osobných údajov obcami podľa nariadenia o ochrane osobných údajov
JUDr.
Tatiana
Mičudová
Prijaté opatrenia majú za cieľ ochrániť spracúvané osobné údaje pred náhodným alebo nezákonným zničením, stratou, zmenou, ich neoprávneným poskytnutím alebo neoprávneným prístupom k týmto údajom, pred vznikom bezpečnostných incidentov.
Táto povinnosť je upravená aj v zákone č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len "zákon č. 18/2018 Z.z."), a to konkrétne v ust. § 39. V zmysle predmetného ustanovenia je prevádzkovateľ povinný so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku.
Z nariadenia, ako aj zo zákona č. 18/2018 Z.z., vyplýva prevádzkovateľovi povinnosť preukázať Úradu na ochranu osobných údajov SR prijatie organizačných a technických opatrení a ich súlad s nariadením. Z tohto možno vyvodiť povinnosť prevádzkovateľa zdokumentovať dané opatrenia, pričom konkrétnu formu nariadenie neustanovuje.
Príspevok sa zaoberá povinnosťou prevádzkovateľa prijať primerané technické a organizačné opatrenia, poukazuje na právnu úpravu o bezpečnostných incidentoch a ich zaznamenávaní u prevádzkovateľov. Prílohou tohto príspevku je aj vzor záznamu o bezpečnostnom incidente.
Bezpečnostné opatrenia
Podľa čl. 24 ods. 1 nariadenia:
"S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú."
Podľa článku 32 ods. 1 nariadenia:
"Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
a)