Logo DAU

Portál časopisov
Dane a účtovníctvo v praxi a DPH v praxi

Rozšírené vyhľadávanie

Online časopis

Bezpečnosť spracúvania osobných údajov podľa GDPR

Dátum: Rubrika: Právo pre ekonómov

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“ alebo „GDPR“) ustanovuje prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti spracúvania osobných údajov primeranú riziku tohto spracúvania.

Cieľom týchto prijatých organizačných a technických opatrení je ochrana spracúvaných osobných údajov pred náhodným alebo nezákonným zničením, stratou, zmenou, ich neoprávneným poskytnutím alebo neoprávneným prístupom k týmto údajom.

V zásade túto povinnosť ustanovuje aj stále ešte účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 122/2013 Z. z.“) v § 19. Predmetný zákon totiž vymedzuje povinnosť prijať bezpečnostné opatrenia a popísať ich v bezpečnostnom projekte.

V zmysle Nariadenia je prevádzkovateľ povinný byť schopný preukázať prijatie organizačných a technických opatrení a ich súlad s GDPR, z čoho možno vyvodiť povinnosť prevádzkovateľa zdokumentovať dané opatrenia, pričom konkrétnu formu Nariadenie neustanovuje.

Tento článok pojednáva o povinnosti prevádzkovateľa prijať primerané technické a organizačné opatrenia, ktorá mu vyplýva z Nariadenia, ďalej pojednáva o bezpečnostných incidentoch a ich zaznamenávaní u prevádzkovateľov. Prílohou tohto článku je aj vzor záznamu o bezpečnostnom incidente.

Bezpečnostné opatrenia

Podľa článku 24 ods. 1 Nariadenia „S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“

Podľa článku 32 ods. 1 Nariadenia „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

  • pseudonymizáciu a šifrovanie osobných údajov;
  • schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
  • schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;
  • proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.“

Z citovaných ustanovení GDPR vyplýva povinnosť prevádzkovateľa (z čl. 32 GDPR aj povinnosť sprostredkovateľa) posúdiť bezpečnostné riziká a primerane tomu zvoliť opatrenia. Posúdenie by nemalo byť jednorazovou záležitosťou, ale pravidelným procesom vyhodnocovania interných a externých okolností, ktoré môžu mať vplyv na spracúvanie osobných údajov. V prípade zmeny rizika je totiž nevyhnutné zrevidovať a prípadne prijať nové bezpečnostné opatrenia.

Článok 32 ods. 1 GDPR demonštratívne vymenúva technické a organizačné opatrenia, ktoré by mal prevádzkovateľ prijať.

Pseudonymizácia a šifrovanie

V súlade s článkom 4 ods. 5 Nariadenia je pseudonymizácia „spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií, pokiaľ sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe“.

Pri pseudonymizácii ide o ­také spracúvanie osobných údajov, ktoré vedie k tomu, že údaje následne nie je možné priradiť k ich subjektom bez použitia dodatočných informácií, ktoré sú spravidla uchovávané zvlášť (osobitne) a zabezpečené pomocou organizačných alebo technických opatrení. Rozdiel medzi pseudonymizáciou a anonymizáciou spočíva v nenávratnosti procesu anonymizácie. Z anonymizovaných údajov nemožno (ani v kombinácii s ďalšími údajmi) spätne zistiť informácie vzťahujúce sa ku konkrétnej osobe.

Pseudonymizácia je v zásade bezpečnostné opatrenie, pri ktorom dochádza k oddeleniu priamych identifikátorov fyzických osôb od ostatných údajov. V prípade bezpečnostného incidentu pri pseudonymizácii neoprávnená osoba nebude schopná zistiť, ktorých osôb sa údaje týkajú (nebude ich schopná priradiť).

Pod pojmom šifrovanie možno rozumieť taký proces spracúvania osobných údajov, kde dochádza k prevodu osobných údajov do podoby, ktorá nie je čitateľná bez znalosti šifrovacieho kľúča.

Schopnosť

Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).

Registrácia Prihlásenie

Bezplatný odpovedný servis pre predplatiteľov

Vaše otázky môžete zadať na www.otazkyodpovede.sk.

Vydanie Dane a účtovníctvo v praxi 4/2018

4/2018
Zobraziť aktuálne vydanie

Archív Dane a účtovníctvo v praxi

Staršie ročníky

Rubriky

Zobraziť všetky rubriky

Seriály

zobraziť všetky seriály

Najpoužívanejšie kľúčové slová

Register kľúčových slov