GDPR

Vážený zákazník, dovoľueme si Vás poprosiť, aby ste venovali pozornosť nasledujúcim informáciám. ORGANIZAČNÁ SMERNICA O OCHRANE OSOBNÝCH ÚDAJOVV ORGANIZÁCII PREVÁDZKOVATEĽA   Vypracovaná na základe Nariadenia Európskeho parlamentu a rady č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o vo ľnom pohybe takýchto údajov ( ďalej len „GDPR“)     a ustanovení zákona 18/2018 z.z, z 29. novembra 2017 o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ( ďalej len „ZoOOÚ“) Prevádzkovateľ: Obchodné meno: P & P MONT, s.r.o. Sídlo: Ul. J.Tubu 1549/9 945 01 Komárno IČO: 36560090 DIČ: 2021830008 IČ DPH: SK2021830008 Konajúca prostr.: Ivan Perl (ďalej len „Prevádzkovateľ“) V Komárne, dňa 24.5.2018

1. PÔSOBNOSŤ SMERNICE Táto smernica upravuje postupy prevádzkovateľa, prípadne ďalších osôb pri nakladaní s osobnými údajmi, pravidlá pre získavanie, zhromažďovanie, ukladanie, používanie, šírenie a uchovávanie osobných údajov v jednotlivých informačných systémoch. Smernica zároveň upravuje niektoré povinnosti prevádzkovateľa, prípadne ďalších osôb pri nakladaní s osobnými údajmi. Táto smernica je záväzná pre prevádzkovateľa.
2. VYMEDZENIE ZÁKLADNÝCH POJMOV

Na účely GDPR a ustanovení zákona ZoOOÚ sa rozumie:

• dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
• prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,
• sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
• spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,
• súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov
• informačným systémom (ďalej len „IS“) akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
• biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
• obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
• profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
• pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osobe alebo identifikovateľnej fyzickej osobe,
• šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
• online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom, najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,
• porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov alebo k neoprávnenému prístupu k nim,
• príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
• treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,

 

3. MAPOVANIE OSOBNÝCH ÚDAJOV

Prevádzkovateľ v tomto kroku definuje rozsah osobných údajov, ktoré spracováva za účelom zabezpečenia primeranej ochrany všetkých spracúvaných osobných údajov.

• IS Účtovníctvo a účtovné doklady - spracovanie účtovných dokladov

• Spracúvajú sa osobné údaje dodávateľov a odberateľov tovaru a služieb, zamestnancov klientov v rozsahu: titul, meno, priezvisko, adresa, telefónne číslo, e-mailová adresa, dátum narodenia, druh a číslo dokladu totožnosti, EČV, podpis, číslo bankového účtu fyzickej osoby
• IS Evidencia došlej a odoslanej pošty - spracovanie došlej a odoslanej pošty

Spracúvajú sa osobné údaje odosielateľov a prijímateľov úradnej korešpondencie, fyzické osoby - zástupcovia obchodných partnerov, fyzické osoby - podnikatelia, fyzické osoby – odberatelia, osobné údaje odosielate ľov a prijímate ľov elektronickej pošty v rozsahu: titul, meno, priezvisko, podpis, adresa, e-mailová adresa, telefónne číslo

4. VŠEOBECNÉ POVINNOSTI PREVÁDZKOVATEĽA (§ 31 ZOOOÚ)

Prevádzkovateľ sa zaväzuje dodržiavať nasledovné všeobecné povinnosti:

1. S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby sa prevádzkovateľ zaväzuje prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s GDPR a ZoOOÚ.
2. Uvedené opatrenia bude prevádzkovateľ podľa potreby aktualizovať.
3. Prevádzkovateľ bude pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov
4. Prevádzkovateľ bude zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.

 

5. ŠPECIFICKY NAVRHNUTÁ A ŠTANDARDNÁ OCHRANA OSOBNÝCH ÚDAJOV (§ 32 ZOOOÚ)

Prevádzkovateľ sa zaväzuje pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, napríklad aj vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa GDPR a § 6 až 12, ZoOOÚ. Prevádzkovateľ sa zaväzuje pri špecificky navrhnutej ochrane osobných údajov zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby. Prevádzkovateľ sa zaväzuje zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

6. PRÁVA DOTKNUTEJ OSOBY

Povinnosti prevádzkovateľa pri uplatňovaní práv dotknutej osoby sú upravené GDPR a § 29 ZoOOÚ. Obmedzenia práv dotknutej osoby, podľa GDPR a § 30 ZoOOÚ.

• Práva dotknutej osoby sú upravené GDPR a § 19 - § 28 ZoOOÚ a prevádzkovateľ sa zaväzuje ich dodržiavať.

Ide napríklad o nasledovné práva:

1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú.
2. Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa § 48 ods. 2 až 4, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
3. Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva.
4. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
5. Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
6. Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov
7. Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi
8. Dotknutá osoba má právo namietať spracúvanie osobných údajov
9. Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.

 

• Dotknutým osobám prevádzkovateľ výkon ich práv uľahčuje, nekladie im prekážky. Preto vytvoril systém, prostredníctvom ktorého by mohli dotknuté osoby uplatňovať svoje práva.
• Dotknutej osobe sú vždy poskytnuté informácie o spracúvaní jej osobných údajov a sú poučené o svojich právach. Prevádzkovateľ poskytuje tieto informácie vhodným spôsobom podľa okruhu dotknutých osôb, napríklad písomne v listinnej forme, mailom alebo zverejnením na webovom sídle.
• Dotknuté osoby môžu uplatňovať svoje práva prostredníctvom poštového styku na adresu prevádzkovateľa
• Prevádzkovateľ každú žiadosť zaeviduje a vybaví bez zbytočného odkladu, najneskôr však do jedného mesiaca. V tejto lehote informuje dotknutú osobu, ktorá žiadosť podala, o opatreniach, ktoré na základe jej žiadosti Uvedená lehota sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. O predĺžení lehoty dotknutú osobu informuje do jedného mesiaca od podania žiadosti spolu s odôvodnením zmeškania lehoty. Oznámenie o spôsobe vybavenia žiadosti sa podáva rovnakým spôsobom, akým bola podaná žiadosť, pokiaľ dotknutá osoba nepožiada o iný spôsob.

 

7. SPROSTREDKOVATEĽ (GDPR A 34 ZOOOÚ)

Sprostredkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Prevádzkovateľ využíva sprostredkovateľov, ktorí v jej mene spracúvajú osobné údaje. Ide napríklad o účtovnícke a právnicke spoločnosti. Pre prevádzkovateľa spracúvajú údaje nasledovní sprostredkovatelia Ing. Blažena Sebenská - IBS-KONTO, Lesná 48 94501 Komárno, IČO: 32423900 Prevádzkovateľ bude využívať len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa prijmú primerané technické a organizačné opatrenia tak, aby spracúvanie spĺňalo požiadavky GDPR a ZoOOÚ a aby sa zabezpečila ochrana práv dotknutej osoby. Spracúvanie sprostredkovateľom pre prevádzkovateľa sa riadi „zmluvou o spracúvaní osobných údajov“, vyhotovenou s každým sprostredkovateľom, ktorá je prílohou tohto dokumentu. Zaväzuje sprostredkovateľa voči prevádzkovateľovi a stanovuje sa ňou predmet, doba spracúvania, povaha a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa a sprostredkovateľa. Zmluvy spĺňajú všetky náležitosti GDPR a ZoOOÚ.  

8. ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

• Zásada zákonnosti ( článok 6 GDPR, 6 a § 13 ZoOOÚ)

Prevádzkovateľ sa zaväzuje spracúvať údaje len zákonným spôsobom tak, aby nedošlo k porušeniu základných práv dotknutej osoby tým, že sa spracúvanie vykonáva na základe aspoň jedného z nasledovných právnych základov:

1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
2. spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
3. spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
4. spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
5. spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo
6. spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

Právne základy pre jednotlivé účely spracovávania osobných údajov prevádzkovateľa súnasledovné:

• IS Účtovníctvo a účtovné doklady - spracovanie účtovných dokladov Účely spracovania:
• vystavenie daňového dokladu

Právny základ: článok 6 ods. 1 písmeno c) GDPR, zákon č. 222/2004 Z. z. o dani z pridanej hodnoty

• zmluvné a predzmluvné vzťahy

Právny základ: článok 6 ods. 1 písmeno c) GDPR, spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy

• reklamácie

Právny základ: článok 6 ods. 1 písmeno c) GDPR, zákon č. 250/2007 Z. z. o ochrane spotrebiteľa, zákon č. 40/1964 Zb. Občiansky zákonník

• IS Evidencia došlej a odoslanej pošty Účel spracovania:

• spracovanie došlej a odoslanej pošty

Právny základ: článok 6, ods. 1. písmeno c) GDPR, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov

• Zásada obmedzenia účelu (článok 6 GDPR, 7 ZoOOÚ)

Prevádzkovateľ bude získavať osobné údaje len na konkrétne určený, výslovne uvedený a oprávnený účel a nebude ich ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom. Prevádzkovateľ informuje dotknutú osobu o účele spracúvania osobných údajov pred ich spracúvaním.

• Zásada minimalizácie osobných údajov (článok 6 GDPR, 8 ZoOOÚ)

Prevádzkovateľ bude spracúvať osobné údaje tak, aby toto spracúvanie primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú. S cieľom zabezpečiť minimalizáciu osobných údajov, analyzujeme, či sú spracúvané údaje primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Účely spracovávania: IS Účtovníctvo a účtovné doklady

• vystavenie daňového dokladu Všetky spracúvané údaje sú nevyhnutné. Sú spracúvané na účely vystavenia daňového dokladu
• zmluvné a predzmluvné vzťahy Všetky spracúvané údaje sú nevyhnutné. Sú spracúvané na účely zmluvného vzťahu
• reklamácie

Všetky spracúvané údaje sú nevyhnutné. Sú spracúvané na účely vybavenia reklamácií podľa zákona č. 250/2007 Z. z. o ochrane spotrebiteľa, zákon č. 40/1964 Zb. Občiansky zákonník IS Evidencia došlej a odoslanej pošty

• správa registratúry - spracovanie došlej a odoslanej pošty

Všetky spracúvané údaje sú nevyhnutné. Sú spracúvané podľa zákona č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov

• Zásada správnosti (článok 6 GDPR, 9 ZoOOÚ)

Prevádzkovateľ bude spracúvať osobné údaje tak, aby boli správne a podľa potreby aktualizované; a prijme primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili. Na zabezpečenie zásady správnosti má prevádzkovateľ v písomnom súhlase so spracovaním osobných údajov nasledovnú formuláciu: „Dotknutá osoba je povinná poskytnúť pravdivé a aktuálne osobné údaje. V prípade zmeny osobných údajov je dotknutá osoba povinná zmenu bezodkladne oznámiť prevádzkovateľovi.“

• Zásada minimalizácie uchovávania (článok 6 GDPR, 10 ZoOOÚ)

Osobné údaje bude prevádzkovateľ uchováť vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú lehoty uchovávania osobných údajov sú uvedené v Zázname o spracovateľských činnostiach prevádzkovateľa/zástupcu prevádzkovateľa, pripadne v Zázname o spracovateľských činnostiach sprostredkovateľa.

• Zásada integrity a dôvernosti (článok 6 GDPR, 11 ZoOOÚ)

Osobné údaje budú v našej spoločnosti spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov. Technické bezpečnostné opatrenia -          Objektová bezpe čnos ť prevádzkovate ľa   Spoločnosť sídli V rodinnom dome, následne na verejnú komunikáciu. Vstupné dvere kancelárie so spracúvanými osobnými údajmi na poschodí sú uzamykateľné zámkom. Rezervné kľúče pre vstup do miestností sú zabezpečené a uložené u poverenej osoby. Spracúvanie mzdovej a personálnej agendy je riešené v spoločnej kancelárii Aktívne prvky siete (router, switch) sú uložené v miestnosti s prístupom výlučne pre oprávnené osoby. Aktuálne nepoužívané dokumenty s osobnými údajmi sú uchovávané v samostatnej miestnosti archívu. Miestnosť je uzamknutá s prístupom pre oprávnenú osobu.

• Prevádzkovateľ používa nasledovné technické prostriedky na spracúvanie osobných údajov:
• Pracovný po číta č
• Wifi modem
• Tla čiare ň/multifunk čný prístroj
• Externý disk, USB k ľú č, CD
• Skartova č

• Jednotlivé technické prostriedky spracúvania sú zabezpečené nasledovnými technickými bezpečnostnými opatreniami:

Pracovný po číta č/Notebook

• Prístup do pracovného po číta ča je zabezpe čený heslom. Raz za pol roka je menené Heslo by malo by ť dlhé minimálne 6 znakov a malo by obsahova ť ve ľké, malé písmená a čísla
• Na pracovných po číta čoch je opera čný systém
• Na pracovných po číta čoch je antivírový program ESET NOD32 Antivírus.
• Wifi modem router
• Prístup do wifi siete je zabezpe čený protokolom WPA/WPA2 pomocou hesla. Prístup z Verejnej po číta čovej siete je zabezpe čený firewallom na routri poskytujúcom pripojenie k internetu

Tla čiare ň/Multifunk čný prístroj/skener Tla čiarne/multifunk čné  prístroje  sú  napojené  do  po číta čovej  siete,  ktorá  je zabezpe čená proti vstupu tretích osôb. USB k ľú č, Externý disk

• Prevádzkovate ľ používa USB k ľú č, externý disk za ú čelom zálohovania osobných údajov.

Skartova č

• Prevádzkovate ľ má skartova č umiestnený v priestoroch prevádzkovate ľ Skartova č je oprávnená používa ť poverená osoba za ú čelom likvidácie osobných údajov v listinnej forme.

• Prístup do jednotlivých programov a online aplikácií je zabezpečený nasledovne:
  • Prevádzkovate ľ spracúva osobné údaje prostredníctvom programu MS Office. V prípade potreby sú dokumenty v programe MS Office zabezpe čené

Šifrovanie údajov

• Prevádzkovateľ nešifruje dáta uložené na pracovných počítač
• Prevádzkovateľ nešifruje dáta uložené na pamäťových médiách.
• Prevádzkovateľ šifruje správy zasielané pomocou elektronickej pošty, pokiaľ tieto obsahujú osobné údaje dotknutých osôb.

V zariadeniach kde nie je šifrovanie aplikované, prevádzkovateľ nepovažuje šifrovanie za potrebné, nakoľko technické prostriedky na spracúvanie osobných údajov sú uložené v priestoroch prevádzkovateľa, pričom tieto sa nevynášajú z jeho priestorov ani nikde neprenášajú. Prístup k nim majú len poverené osoby, ktoré boli poučené a zaviazané mlčanlivosťou. Navyše budova je zabezpečená alarmom. Pseudonymizácia

• Prevádzkovateľ neprijal bezpečnostné opatrenie spočívajúce v pseudonymizovaní osobných údajov, nepovažuje pseudonymizovanie osobných údajov za potrebné, pretože spracúvané osobné údaje v listinnej a elektronickej podobe sú uložené v uzamykateľných skriniach a v uzamykateľných priestoroch. Pseudonymizovanie osobných údajov uvedených na listinách by bolo spojené s neprimeraným úsilím, bolo by časovo aj finančne veľmi nákladné. Dáta spracúvané v elektronickej forme nie sú pseudonizované,šifrované a tieto opatrenia považujeme vzhľadom na hroziace riziká za dostačujúce a primerané.

Kontrola bezpečnostných opatrení

• Prevádzkovateľ zabezpečuje pravidelnú kontrolu technických prostriedkov nasledovne:
• Prevádzkovateľ pravidelne každý kalendárny rok prehodnotí primeranosť prijatých bezpečnostných opatrení a v prípade potreby navrhne prijatie ďalších bezpečnostných opatrení. Prehodnotenie sa uskutoční aj v prípade bezpečnostného

Systém pre obnovenie dát

• Prevádzkovateľ vytvoril nasledovný systém pre obnovenie osobných údajov v prípade bezpečnostného incidentu:

Osobné údaje uložené na pracovných po číta čoch budú obnovené zo záloh na USB K ľú či Personálne opatrenia Oprávnené osoby prevádzkovateľa sú definované popisom pracovnej činnosti, alebo funkciou (napr. konateľ spoločnosti) Vedenie zoznamu aktív a jeho aktualizácia V daných podmienkach sú jedinými aktívami informácie zaznamenané na písomných a elektronických dátových nosičoch. Riadenie prístupu oprávnených osôb k osobným údajom Oprávnené osoby prevádzkovateľa pre prístup k osobným údajom disponujú kľúčmi. Rezervné (bezpečnostné) kľúče sú uchovávané, zabezpečené pred prístupom neoprávnenej osoby. Prístupové práva v sieti LAN prideľuje správca informačných technológií alebo určená oprávnená osoba. Používané heslá sú minimálne šesťznakové s obsahom číslic, písmen a znakov, heslo si mení zamestnanec bez obmedzenia. Organizácia spracúvania osobných údajov Do priestoru so spracúvanými osobnými údajmi (kancelária, registratúrne stredisko) v písomnej forme má samostatný prístup iba osoba oprávnená, ktorá má pridelené kľúče. Upratovanie priestorov je realizované oprávnenou osobou alebo výlučne za prítomnosti oprávnenej osoby. Pri prenose osobných údajov mimo kancelárie (dokumentácia, dátové nosiče, notebooky) je osoba, ktorá prenos vykonáva povinná tieto zabezpečiť pred stratou, zničením, poškodením, neoprávneným prístupom vhodnými opatreniami, v zmysle poučenia. Likvidácia osobných údajov Dokumentácia, u ktorej skončila lehota uchovávania je mechanicky skartovaná. Nevyžiadaná pošta obsahujúca osobné údaje, napr. žiadosti o prijatie do zamestnania, je v režime nevyžiadanej pošty uchovávaná po dobu jedného kalendárneho roka (nasledujúceho po roku prijatia pošty) a následne skartovaná. Elektronické záznamové médiá, likviduje podľa potreby správca informačných technológií alebo určená oprávnená osoba fyzickým zničením. Bezpe čnostné incidenty V podmienkach prevádzkovateľa možno rozdeliť predpokladané bezpečnostné incidenty do troch skupín:

1. ) Násilné, zámerné narušenie integrity prostredia - vlámanie, násilné vniknutie do prostredia obsahujúce písomnosti alebo dátové nosiče obsahujúce osobné údaje.

Incident tohto typu možno riešiť vždy len so spoluprácou Policajného zboru. Obnovu poškodených alebo stratených dát realizuje správca informačných technológií alebo určená oprávnená osoba zo zálohovaných dát.

1. ) Havária systému nezámerná - požiar, blesk, zaplavenie vodou, softvérová chyba. Obnovu poškodených alebo stratených dát realizuje informačných technológií alebo určená oprávnená osoba zo zálohovaných dát..
2. ) Nesprávna manipulácia s PC, neúmyselné zmazanie dát

Užívateľ bezprostredne po zistení bezpečnostného incidentu zaznamená postup posledne vykonaných operácií a informuje správcu informačných technológií alebo určenú oprávnenú osobu. Kontrolná činnos ť Výkon kontroly prevádzkovateľa je zameraný na: dodržiavanie pracovnej disciplíny, v zmysle článku 11 Zákonníka práce dodržiavanie prijatých, definovaných bezpečnostných opatrení ochrana majetku, predchádzanie potenciálnej trestnej činnosti

• Zásada zodpovednosti (článok 6 GDPR, 12 ZoOOÚ)

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

9. PODMIENKY POSKYTNUTIA SÚHLASU SO SPRACÚVANÍM OSOBNÝCH ÚDAJOV

Prevádzkovateľ zabezpečí splnenie nasledovných podmienok pri vyjadrení súhlasu dotknutou osobou

1. súhlas so spracúvaním osobných údajov musí byť vyjadrený slobodne, konkrétne, informovane a jednoznačným prejavom vôle.
2. žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšiteľná od týchto iných skutočností, v zrozumiteľnej a ľahko dostupnej forme a formulovaná jasne a jednoducho.

Prevádzkovateľ zrevidoval písomné súhlasy so spracovaním osobných údajov, aby spĺňali požiadavky GDPR a ZoOOÚ, predovšetkým § 14 a § 19. Písomné súhlasy, ktoré prevádzkovateľ využíva sú prílohou tohto dokumentu.

10. SPRACÚVANIE OSOBITNÝCH KATEGÓRIÍ OSOBNÝCH ÚDAJOV

Prevádzkovateľ nespracúva osobitné kategórie osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

11. OZNÁMENIE PORUŠENIA OCHRANY OSOBNÝCH ÚDAJOV DOZORNÉMU ORGÁNU

V prípade porušenia ochrany osobných údajov naša spoločnosť bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín po tom, čo sa o tejto skutočnosti dozvedela, oznámi porušenie ochrany osobných údajov dozornému orgánu. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, pripojí sa k nemu zdôvodnenie omeškania. Oznámenie o porušení ochrany osobných údajov bude obsahovať aspoň:

1. opis povahy porušenia ochrany osobných údajov vrátane, podľa možnosti, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka a kategórií a približného počtu dotknutých záznamov o osobných údajoch;
2. kontaktné údaje zodpovednej osoby v našej spoločnosti, kde možno získať viac informácií o porušení ochrany osobných údajov;
3. opis pravdepodobných následkov porušenia ochrany osobných údajov;
4. opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov.

Naša spoločnosť zdokumentuje každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu. V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, naša spoločnosť bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe.

12. URČENIE ZODPOVEDNEJ OSOBY Prevádzkovateľ je povinný určiť zodpovednú osobu, ak
13. spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
14. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu alebo
15. hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 ZoOOÚ vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa §   17 ZoOOÚ vo veľkom

Nakoľko prevádzkovateľ nespĺňa ani jednu zo spomentých podmienok, zodpovednú osobu neurčuje.

13. PRENOS OSOBNÝCH ÚDAJOV DO TRETEJ KRAJINY ALEBO MEDZINÁRODNEJ ORGANIZÁCIE

Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácie, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácie. Úrad na ochranu osobných údajov uverejňuje na svojej webstránke zoznam tretích krajín, území a určených sektorov v danej tretej krajine a medzinárodných organizácií, v prípade ktorých Európska komisia rozhodla, že v nich je zaručená primeraná úroveň ochrany alebo už prestala byť primeraná úroveň ochrany zaručená. Zoznam je dostupný na stránke: https://dataprotection.gov.sk/uoou/sk/content/prenos-do-krajin-zarucujucich-primeranu-uroven- ochrany Prevádzkovateľ sa zaväzuje tento zoznam pravidelne sledovať a v prípade, že by prenášal osobné údaje do krajín mimo zoznam úradu na ochranu osobných údajov, bude postupovať podľa GDPR a § 47 - § 51 ZoOOÚ.

14. ANALÝZA RIZÍK PRI SPRACOVÁVANÍ OSOBNÝCH ÚDAJOV

V zmysle požiadaviek Zákona prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku,. Vzhľadom k primeranosti opatrení je pri vykonávaní analýzy bezpečnosti osobných údajov nutné brať do úvahy všetky faktory, spôsobilé narušiť bezpečnosť alebo funkčnosť osobných údajov. Súčasne sa prihliada dôvernosti, dôležitosti a rozsahu spracúvaných údajov. Taktiež je nutné brať do úvahy pomer medzi hodnotou aktív a hodnotou, či cenou navrhovaných opatrení. V hodnotení rizík bude použitá metóda pragmatického prístupu, ktorá je založená na skúsenostiach jednotlivcov spracovávajúcich analýzu a tiež na znalosti a posúdení prostredia spracovania osobných údajov. Hodnotenie rizík bude vykonané podľa nasledovných štyroch krokov :

1. )Špecifikácia rizík, z ktorých vyplýva akákoľvek hrozba pre funkčnosť systému v organizačnej alebo technickej
2. )   Určenie závažnosti rizika a definovanie jeho dopadu pre ochranu osobných údajov. Závažné riziko - riziko, ktoré nie je v súčasnosti dostatočne pokryte bezpečnostnými opatreniami a nebezpečenstvo z neho vyplývajúce je veľké (s návrhom nutných okamžitých opatrení na odstránenie rizika),

Pokryté riziko - riziko, ktoré je už inštalovanými bezpečnostnými opatreniami dostatočne pokryté, Zostatkové riziko - riziko, ktoré po prijatí bezpečnostných opatrení ;:ostalo nepokryté, ale jeho pravdepodobnosť výskytu je veľmi nízka, alebo cena technických opatrení k odvráteniu rizika je vzhľadom k hodnote chránených aktív neprimeran3 vysoká.

1. ) Výber a navrhnutie opatrení, ktoré definované riziká eliminujú, prípadne zmiernia ich dopad.
2. ) Posúdenie zostatkových rizík s ohľadom na pomer ceny bezpečnostných opatrení k hodnote, či dôležitosti spracúvaných dát a pravdepodobnosti výskytu

K zostatkovým rizikám, ktoré nebudú brané do úvahy pri analýze bezpečnosti osobných údajov zaraďujem: Povode ň - lokalizácia organizácie v záplavovom území môže znamenať vážne ohrozenie bezpečnosti a významné riziko zničenia informačného systému a spracúvaných osobných údajov. Priestory prevádzkovateľa sú lokalizované mimo záplavových území, informačný systém nie je ohrozený zvýšenou hladinou riek, spodnou vodou ani prípadnou záplavou Zemetrasenie - môže spôsobiť nedostupnosť prípadne zničenie osobných údajov. V našej zemepisnej oblasti je riziko zemetrasenia zanedbateľné a navrhovanie Opatrení k ochrane komponentov IS by bolo cenovo neúmerné k rozsahu a dôležitosti spracúvaných dát. Terorizmus - cieľom terorizmu je násilné poškodenie prevádzkovateľa, čo najväčšie narušenie jeho činnosti. Môže sa prejaviť vydieraním, bratím rukojemníka, výhražnými telefonátmi, poštovými a listovými bombami. Riešenie hrozieb spojených s terorizmom je možné len v spolupráci s Políciou. Audio a video monitoring priestoru - neoprávnené zaznamenávanie informácií napr. skenovaním vyžarovania monitora, zachytávanie vibrácií okien laserovou technikou, inštalované skryté kamery a mikrofóny v objekte... Údaje spracovávané v prevádzkovateľom nie sú charakteru stupňa utajenia v zmysle zák. č. 215/2004 Z. z. o ochrane utajovaných skutočností, v znení neskorších predpisov (ďalej len zák. č. 215/2004 Z.z., ktorý by vyžadoval krytie rizík tohto druhu. Analýza bezpečnosti informačného systému

1. Kvalitatívna analýza rizík

Dôležitou úlohou pri analýze rizík je určenie aktív, ktoré sú súčasťou systému a ich narušením sa zvyšuje pravdepodobnosť ich zneužitia. Aktíva: v tomto prípade sú osobné údaje fyzických osôb umiestnené v informačných systémoch, ktoré podľa Zákona musia byť primerane zabezpečené z hľadiska ich dôvernosti, dostupnosti alebo integrity.. Aktíva sú obsiahnuté v používaných výpočtových prostriedkoch alebo v manuálnom spracovaní dát. Na ich bezpečnosť majú vplyv všetky použité prvky ochrany, v oblasti fyzickej, objektovej, organizačnej a personálnej bezpečnosti. Delenie hrozieb: Hrozby pôsobiace na výpočtové prostriedky (softwérová, komunikačná... bezpečnosť), Hrozby v oblasti objektovej bezpečnosti, Hrozby v oblasti organizačnej a personálnej bezpečnosti. Bezpečnostné riziko - je pravdepodobnosť, že existujúca hrozba využije zraniteľnosť aktív osobných údajov, čím nepriaznivo ovplyvní dôvernosť, integritu alebo dostupnosť spracúvaných osobných Údajov Existujúce riziko v hodnotenej oblasti môže byť vyhodnotené ako:  

• pokryté (nepožaduje žiadne ďalšie opatrenia)
• nepokryté (podľa závažnosti s návrhom okamžitých, alebo postupných riešení)
• zvyškové (zanedbateľné, s malou pravdepodobnosťou výskytu ale DO s minimálnou hroziacou škodou)

Hrozby pôsobiace na výpočtové prostriedky Modifikácia a strata dostupnosti OÚ chybou SW vybavenia Dopad hrozby na aktíva systému: narušenie integrity, dostupnosti, dôvernosti. Potencionálne slabiny: Programové vybavenie môže mať chyby, ktoré môžu spôsobiť poškodenie spracúvaných osobných údajov, prípadne tieto chyby umožnia sprístupnenie prostriedkov automatizovaného informačného systému neoprávneným osobám a následne zničenie, odcudzenie, nežiadúce rozširovanie, alebo neoprávnený prístup k osobným údajom. Nesprávne fungujúci softvér môže spôsobiť kolíziu aplikácií a následne haváriu pracovnej stanice alebo servera a tým nedostupnosť spracúvaných osobných údaje v, nedostupnosť môže spôsobiť i strata alebo zničenie konfigurácie operačných systémov a databázových systémov. Súčasný stav zabezpečenia: V podmienkach prevádzkovateľa sa používa len legálne nadobudnutý softvér. Kompletná konfigurácia je vykonaná správcom informačných technológií alebo určenou oprávnenou osobou. Používaný softvér zodpovedá rozsahu spracúvaných dát. Riziko a bezpečnostné zmeny na odstránenie rizika: Riziko je pokryté Modifikácia osobných údajov z dôvodu napadnutia počítačovým vírusom. Dopad hrozby na aktíva systému: narušenie integrity, dostupnosti, dôvernosti. Potencionálne slabiny: zmeny programov, vrátane zavedenia škodlivých programov (rôznych červov, trójskych koní, zadných vrátok atď.), sprístupnenie prostriedkov automatizovaného informačného systému neoprávneným osobám, zmeny súborov s citlivými údajmi, nedostatky funkčnosti a aktuálnosti antivírového programu na jednotlivých serveroch, na pracovných staniciach a na všetkých vstupoch do automatizovaného informačného systému, používanie disketových a CD-ROM mechaník, nedostatočná kontrola e-mailu... Súčasný stav zabezpečenia:

• antivírusový program je inštalovaný a automaticky aktualizovaný. Riziko prieniku počítačových vírusov a ohrozenia bezpečnosti osobných údajov je minimálne.
• na vstupe od Internetu je aktívna sieťová kontrola Riziko a bezpečnostné zmeny na odstránenie rizika:

Riziko je pokryté Neoprávnený lokálny a vzdialený prístup k spracúvaným OÚ Dopad hrozby na aktíva systému: narušenie integrity, dôvernosti. Potencionálne slabiny: neoprávnená osoba môže získať neautorizovaný prístup k údajom vplyvom nepoužívania hardvérových alebo softvérových autentizačných prostriedkov, nie sú nastavené prístupové práva na súbory, krátkodobé opustenie počítača, čítanie údajov z obrazovky monitora neoprávnenou osobou, slabá správa hesiel, slabé prípadne žiadne heslá. Súčasný stav zabezpečenia:

• vstup do výpočtovej techniky a programov v sieti LAN je umožnený len po zadaní vstupného hesla
• heslová politika je riešená vlastným nastavením
• vzdialený prístup do siete mimo oprávnených osôb nie je umožnený
• do priestoru nie je umožnený samostatný vstup neoprávnenej osoby

Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Modifikácia dát napadnutím cez modem a internet. Dopad hrozby na aktíva systému: narušenie integrity, dostupnosti, dôvernosti. Potencionálne slabiny: nedostatočné zabezpečenie v rámci internej siete a vstupov z externých sietí môže spôsobiť sprístupnenie prostriedkov automatizovaného informačného systému neoprávneným osobám a následne zničenie, odcudzenie, nežiadúce rozširovanie, alebo neoprávnený prístup k osobným údajom, v extrémnych prípadoch i zničenie dát a spôsobiť nedostupnosť osobných údajov, chyby môžu vzniknúť pri prenose dát, ich výsledkom môže byť modifikácia údajov alebo ich zničenie Súčasný stav zabezpečenia:

• ochrana softvérovým nastavením
• ochrana firewall na vstupe do LAN
• riadená heslová politika

Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Strata dostupnosti nevyhovujúcim technickým stavom HW Potencionálne slabiny: technické vybavenie môže svojim nevyhovujúcim technickým stavom spôsobiť zničenie spracúvaných osobných údajov, alebo nebude zabezpečená dostupnosť

• osobné údaje, alebo iné potrebné informácie nebudú dostupné jednej alebo viacerým oprávneným osobám,
• nevyhovujúci technický stav môže vzniknúť i chybnou, nekvalitnou údržbou z dôvodov nedostatočnej odbornej pripravenosti pracovníkov, prípadne i úmyselne alebo z nedostatku náhradných dielov,
• strata nastavení zariadení môže spôsobiť nedostupnosť spracúvaných osobných údajov Súčasný stav zabezpečenia:
• vek a kvalita LAN rozvodu siete zodpovedá požiadavkám
• používané technické vybavenie AIS je na veľmi dobrej úrovni a súčasná starostlivosť o techniku zaručuje vysokú spoľahlivosť pri spracúvaní osobných údajov a malé riziko technickej závady, ktorá však vzhľadom k zálohovaniu, nebude mať za následok zničenie osobných údajov.

Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Strata dát spôsobená výpadkom el. napätia Dopad hrozby na aktíva systému: narušenie dostupnosti Potencionálne slabiny: nezabezpečenie dodávky záložného napájania na dobu potrebnú pre štandardné ukončenie všetkých aplikácií IS na zabránenie straty údajov spôsobenej výpadkom napájania. Súčasný stav zabezpečenia: - je vykonávaná priebežná archivácia údajov, prípadná strata údajov je obnovená zo zálohy Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Hrozby v oblasti objektovej bezpečnosti Vstup neoprávnených osôb do priestorov s chránenými údajmi Dopad hrozby na aktíva systému: narušenie dôvernosti, dostupnosti. Potencionálne slabiny: nedostatočná ochrana vstupu neoprávnených osôb do vyhradených priestorov prevádzkovateľa, kde sa nachádzajú osobné údaje, žiadny kontrolovaný prístup k osobným údajom, nevykonáva sa sledovanie upratovacieho personálu v priestoroch s chránenými údajmi. Súčasný stav zabezpečenia: písomnosti súvisiace s pracovným pomerom a agendou klientov sú uchovávané uzamknuté, do priestorov so sústredenými osobnými údajmi v písomnej aj elektronickej podobe nemajú neoprávnené osoby možný samostatný prístup, upratovací personál nemá umožnený prístup k osobným údajom, prípadne je viazaný mlčanlivosťou Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Strata alebo krádež nosičov zálohovaných údajov Dopad hrozby na aktíva systému: narušenie dostupnosti, dôvernosti Potencionálne slabiny: nedostatočná ochrana nosičov zálohovaných údajov, nevhodné skladovanie nosičov zálohovaných údajov, chyby pamäťových médií môžu ohroziť dostupnosť údajov, odcudzenie pamäťových médií so zálohami by znamenalo nežiaduce rozširovanie osobných údajov, archivácia osobných údajov je dôležitá v prípade poruchy technických zariadení, živelnej pohromy Súčasný stav zabezpečenia: zálohovanie dát je realizované na HDD a na externú zálohu Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Vznik a šírenie požiaru Dopad hrozby na aktíva systému: zničenie dát alebo narušenie dostupnosti Potencionálne slabiny: nevyhovujúci stav elektrickej inštalácie, neinštalované prostriedky manuálneho hasenia požiaru, neinštalované prostriedky EPS, nedostatočná ochrana vstupu neoprávnených osôb do vyhradených priestorov. Súčasný stav zabezpečenia: -ručné hasiace prístroje v budove -zverejnené požiarno-poplachové smernice v zmysle platných zákonných požiadaviek -požiarny štatút, požiarny evakuačný plán, pravidelné kontroly technického stavu el. inštalácie a prostriedkov manuálneho hasenia požiaru Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Hrozby v oblasti organizačnej a personálnej bezpečnosti Neodborná manipulácia, chyba obsluhy alebo iné zlyhanie Dopad hrozby na aktíva systému: narušenie dostupnosti, integrity, dôvernosti Potencionálne slabiny: podceňovanie zavedených bezpečnostných opatrení, nevypracovaný plán obnovenia funkčnosti, nespracovaná metodika archivácie dát, nevykonávanie školení o bezpečnosti prevádzky systému. Súčasný stav zabezpečenia: - prijaté opatrenia sú popísané v bode 8.6 Zásada integrity a dôvernosti Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Neoprávnené využívanie počítačov Dopad hrozby na aktíva systému: narušenie integrity, dostupnosti, dôvernosti Potencionálne slabiny: nezabezpečené riadenie vstupu osôb do priestorov kde sa spracovávajú osobné údaje, nedostatočná informovanosť pracovníkov spracovávajúcich osobné údaje o nevyhnutnosti ich ochrany, nízke bezpečnostné vedomie používateľov systému, podceňovanie zavedených bezpečnostných opatrení, nevypracované bezpečnostné smernice, nevykonávanie pravidelných školení o bezpečnosti prevádzky systému Súčasný stav zabezpečenia:

• fyzická a objektová bezpečnosť a zabezpečenie technických prostriedkov je popisovaná v predošlých kapitolách
• neoprávnené osoby nemajú prístup k osobným údajom

Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Neoprávnené získanie chránených údajov z papierových alebo elektronických nosičov informácií určených k likvidácii Dopad hrozby na aktíva systému: narušenie dôvernosti Potencionálne slabiny: na likvidáciu nosičov (chybne spracovaných písomností a pod.) sa nepoužívajú skartovacie zariadenia. Súčasný stav zabezpečenia: - skartovací stroj je používaný Riziko a prípadné návrhy na odstránenie rizika: Riziko je pokryté Záver analýzy rizík, návrh nevyhnutných opatrení. Posudzované riziká sú pokryté už inštalovanými prostriedkami alebo opatreniami. Pri dodržaní rozsahu navrhnutých a zaužívaných opatrení na elimináciu rizík bude možné z hľadiska ochrany spracovávaných osobných údajov považovať spracúvanie osobných údajov v podmienkach prevádzkovateľa za zabezpečené.  

15. POSÚDENIE VPLYVU NA OCHRANU ÚDAJOV

Na základe vyššie uvedenej analýzy rizík prevádzkovateľ vyvodil záver, že pri spracovávaní osobných údajov v podmienkach prevádzkovateľa nedochádza k vysokému riziku pre práva a slobody fyzických osôb a z toho vyplýva, že vypracovanie Posúdenia vplyvu na ochranu údajov pre uvedené účely spracovania nie je potrebné.