Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie“ alebo „GDPR“) ustanovuje prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti spracúvania osobných údajov primeranú riziku tohto spracúvania.
Cieľom týchto prijatých organizačných a technických opatrení je ochrana spracúvaných osobných údajov pred náhodným alebo nezákonným zničením, stratou, zmenou, ich neoprávneným poskytnutím alebo neoprávneným prístupom k týmto údajom.
V zásade túto povinnosť ustanovuje aj stále ešte účinný zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 122/2013 Z. z.“) v § 19. Predmetný zákon totiž vymedzuje povinnosť prijať bezpečnostné opatrenia a popísať ich v bezpečnostnom projekte.
V zmysle Nariadenia je prevádzkovateľ povinný byť schopný preukázať prijatie organizačných a technických opatrení a ich súlad s GDPR, z čoho možno vyvodiť povinnosť prevádzkovateľa zdokumentovať dané opatrenia, pričom konkrétnu formu Nariadenie neustanovuje.
Tento článok pojednáva o povinnosti prevádzkovateľa prijať primerané technické a organizačné opatrenia, ktorá mu vyplýva z Nariadenia, ďalej pojednáva o bezpečnostných incidentoch a ich zaznamenávaní u prevádzkovateľov. Prílohou tohto článku je aj vzor záznamu o bezpečnostnom incidente.
Bezpečnostné opatrenia
Podľa článku 24 ods. 1 Nariadenia „S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.“
Podľa článku 32 ods. 1 Nariadenia „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:
- pseudonymizáciu a šifrovanie osobných údajov;
- schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
- schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade f