Kedy urobiť zmeny v bezpečnostnom projekte

V dnešnej dobe sa čoraz častejšie presúvajú dáta a osobné údaje mimo priestory prevádzkovateľa. Sú to hlavne rôzne cloudové riešenia (externé dátové úložiská), kde sa osobné údaje presunú na serveri spravované niekým iným ako prevádzkovateľom, napr. v prípade obcí a miest je to Dátové centrum obcí a miest (DCOM). Ale môžu to byť aj cloudové riešenia prevádzkované súkromnými firmami alebo štátnou správou. A tu vzniká otázka: Aký to bude mať vplyv na ochranu osobných údajov?. Zákon hovorí jasnou rečou. Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu bezpečnostných opatrení prijatých (bezpečnostného projektu) tak, aby zodpovedala prijatým zmenám pri spracúvaní osobných údajov (§19 odsek 3). Pri výklade pojmu „zmeny pri spracovaní osobných údajov“ môžu ale nastať nezrovnalosti. Stretli sme sa s tým, že každý si to začal vykladať po svojom. Preto sme o výklad požiadali Úrad na ochranu osobných údajov. Naša otázka znela:

Čo sa rozumie pod zmenou v spracovaní osobných údajov? Možno takou zmenou chápať aj zmenu prostredia elektronického informačného systému s osobnými údajmi, keď sa osobné údaje presunú z prostredia prevádzkovateľa (lokálne počítače) do outsoursigovaných serverov mimo priestor prevádzkovateľa? A tiež sa zmení prístup k osobným údajom z lokálneho klienta PC na prístup cez webové rozhranie. Je potrebné urobiť zmeny v rizikovej analýze bezpečnostného projektu?

Odpoveď z úradu je nasledovná:

Vážený p. RNDr. Schikor,

v nadväznosti na Vašu žiadosť o poskytnutie výkladu  § 19 ods. 3 zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej iba „zákon“), poukazujeme na relevantný vykonávací predpis k zákonu a to vyhlášku Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 o rozsahu a dokumentácii bezpečnostných opatrení, ktorá detailne stanovuje podstatné náležitosti bezpečnostných opatrení (ako napr. umiestnenie informačného systému v chránenom priestore, pravidlá prístupu tretích strán k informačným systémom atď.). V prípade, že dochádza k zmene vymedzenia a nastavenia bezpečnostných opatrení oproti pôvodnému stavu opísanému (vymedzenému) v súčasných bezpečnostných opatreniach, je nutné túto zmenu do nich premietnuť/zapracovať.

Z Vami opísaných operácií máme za to, že dochádza k zmene spracúvania osobných údajov a preto bude nutné bezpečnostné opatrenia nastaviť na nový aktuálny stav spracúvania osobných údajov v existujúcich informačných systémoch.

Z uvedeného jednoznačne vyplýva ak presuniete osobné údaje do externého dátového úložiska (napr. vyššie spomínaný DCOM) je potrebné urobiť revíziu bezpečnostného projektu.