11. Opatrenia na elimináciu rizík pre práva fyzickej osoby

 

11.1. Technické opatrenia

​

11.1.1   Technické opatrenia realizované prostriedkami fyzickej povahy

-  zabezpečenie objektu pomocou mechanických zábranných prostriedkov (uzamykateľné dvere, okná, mreže) a aj pomocou technických zabezpečovacích prostriedkov (napr. elektronický poplašný systém, elektrická požiarna signalizácia, kamerový systém),

-  zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu (steny, mreže, presklenia, bezpečnostné fólie),

-  umiestnenie dôležitých prostriedkov informačných technológií v chránenom priestore a ochrana informačnej infraštruktúry pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia,

-  bezpečné uloženie fyzických nosičov osobných údajov vrátane bezpečného uloženia listinných dokumentov (uzamykateľná miestnosť, uloženie dokumentov v uzamykateľnej skrini, priestory určené pre spracúvanie osobných údajov zamykať mimo pracovnej doby, ale aj pre dočasnej pracovnej neprítomnosti poverenej osoby),

-  opatrenie na zamedzenie náhodného prečítania osobných údajov zo zobrazovacích jednotiek (vhodné umiestnenie zobrazovacích jednotiek, dodržiavať „metodiku čistého stola a čistej obrazovky“ – pri opustení pracoviska odhlásiť sa z informačného systému, uzamknúť obrazovku PC, na stole nenechávať dokumenty s osobnými údajmi).

 

11.1.2   Ochrana pred neoprávneným prístupom

-  Šifrová ochrana uložených a prenášaných údajov, pravidlá pre kryptografické opatrenia 

    ·  Zabezpečiť prenos od klienta na server šifrovanou komunikáciou – potrebné použiť SSL certifikát a HTTPS protokol, v prípade programov na serveroch prenos kryptovať napr. pomocou SSH, VPN alebo iných štandardných zabezpečených protokolov

    ·   Nepodmieňovať viac súhlasov jedným tlačítkom (na každý súhlas musí byť použitý jeden CHECKBOX, ktorý nesmie byť predvyplnený).

    ·   Prípadná databáza musí byť zabezpečená šifrovaná s povinnosťou zadávať heslo pre vstup

– zariadenia s osobnými údajmi musia byť zabezpečené proti odcudzeniu, tak aby ich nebolo možné skopírovať, napr. použiť viaceré spôsoby:

    ·   Zaheslovať samotný súbor pred uložením na disk,

    ·    Využiť komerčný program na zaheslovanie súboru, alebo zaheslovať konkrétny adresár a len do toho adresára ukladať dokumenty obsahujúce osobné údaje,

    ·    Pri zasielaní heslovaného súboru, poslať heslo iným komunikačným kanálom,

    ·    Nezdieľať v počítačovej sieti, bez nutnosti zadať heslo, dokumenty alebo celé adresáre obsahujúce súbory s osobnými údajmi, aby každý, kto sa pripojí do tejto siete nemal prístup k týmto súborom,

-  Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza (minimálne sa požaduje certifikácia hostingových a prevádzkových zariadení, aplikácií a procesov využívaných pre klienta v súlade so zmluvou podľa normy ISO/IEC 27001 „Informačné technológie, technologická bezpečnosť, systémy riadenia informačnej bezpečnosti – požiadavky“. 

 

11.1.3   Riadenie prístupu poverených osôb

-  Riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov (napr. identifikácia, autentizácia a autorizácia osôb v informačnom systéme, každý užívateľ má vlastné heslo pre vstup do informačného systému, povinné odhlasovanie z informačného systému pri opustení pracoviska).

-  Riadenie privilegovaných prístupov v informačnom systéme (prístupy do informačného systému / do jednotlivých modulov)

-  Zaznamenávanie prístupu a aktivít poverených osôb v informačnom systéme.

 

11.1.4   Riadenie zraniteľností

-  Opatrenia na detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu.

-  Ochrana pred nevyžiadanou elektronickou poštou.

-  Používanie legálneho a prevádzkovateľom schváleného softvéru.

-  Opatrenia na zaručenie pravidelnej aktualizácie operačných systémov a programového aplikačného vybavenia.

-  Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete a spôsob ich overovania. Filtrovanie sieťovej komunikácie (nespúšťať programy z prostredia internetu nepodpísanou certifikačnou autoritou, nesťahovať neautorizované programy)

-  Zhromažďovanie informácií o technických zraniteľnostiach informačných systémov, vyhodnocovanie úrovne rizík a implementácia opatrení na potlačenie týchto rizík.

 

11.1.5   Sieťová bezpečnosť

-  Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou.

-  Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástrojov sieťovej bezpečnosti (napr. firewall, antivírusový program), segmentácia počítačovej siete.

-  Pravidlá prístupu do verejne prístupnej počítačovej siete, opatrenia na zamedzenie pripojenia k určitým adresám, pravidlá používania sieťových protokolov

   ·    Bezdrôtová sieť musí byť za každých okolností zašifrovaná a to nie len pomocou hesla, je potrebné správne zvoliť SSID (meno siete) a formu šifrovania, napr. použiť WPA/WPA2 kryptovanie s PSK (Pre-Shared-Key)

   ·    Neposkytovať pripojenie do siete prostredníctvom WIFI, osobám ktoré prišli na návštevu, až na výnimku, ak je vytvorené pripojenie pre hostí (GUEST)

-  Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok).

-  Aktualizácia operačného systému a programového aplikačného vybavenia.

 

11.1.6   Zálohovanie

-  Test funkčnosti záložných dátových nosičov (v prípade nefunkčnosti, najmä pri nečitateľnosti, opätovne vytvoriť zálohy na inom dátovom nosiči).

-  Vytváranie záloh s vopred zvolenou periodicitou (archivačnú zálohu vytvárať v dvoch vyhotoveniach).

-  Určenie doby uchovávania záloh a kontrola jej dodržiavania (stanoviť dobu pre vytváranie prevádzkovej zálohy a pre archivačnú zálohu).

-  Test obnovy informačného systému zo zálohy (napr. raz za rok)

-  Bezpečné ukladanie záloh (záložné dátové nosiče sú umiestnené v zabezpečenom priestore, v oddelenej miestnosti od miesta spracúvania osobných údajov v uzamykateľnej skrini, aby v prípade bezpečnostnej udalosti (požiar, krádež, živelná pohroma...) nedošlo k ich poškodeniu)

 

11.1.7   Likvidácia osobných údajov a dátových nosičov

-  Technické opatrenia na bezpečné vymazanie osobných údajov z dátových nosičov (napr. vymazaním alebo naformatovaním, tak aby sa nedali osobné údaje obnoviť a reprodukovať).

-  Zariadenie na mechanické zničenie dátových nosičov osobných údajov (napr. zariadenie na skartovanie listín a dátových médií, písomné dokumenty neodovzdávať do zberu).

​

11.2. Organizačné opatrenia

 

11.2.1   Personálne opatrenia

-  Poverenie osoby prevádzkovateľom alebo sprostredkovateľom, ktorá má prístup k osobným údajom (osobu, ktorá má prístup k osobným údajom pri výkone pracovných činností, zaviazať dodržaním mlčanlivosti).

-  Pokyny prevádzkovateľa na spracúvanie osobných údajov, najmä vymedzenie osobných údajov, ku ktorým má mať konkrétna osoba prístup na plnenie jej povinností alebo úloh, určenie postupov, ktoré je poverená osoba povinná uplatňovať pri spracúvaní osobných údajov, vymedzenie základných postupov alebo operácií s osobnými údajmi, vymedzenie zodpovednosti za porušenie zákona.

-  Poučenie poverených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov).

-  Určenie zodpovednej osoby podľa § 44 zákona č. 18/2018 Z.z. (ak je splnená podmienka)

-  Vzdelávanie poverených osôb (napr. právna oblasť, oblasť informačných technológií).

-  Postup pri uzatváraní pracovného alebo obdobného vzťahu (napr. pri získavaní použiť dotazník, ktorého súčasťou je dohoda, že zamestnanec je povinný oznámiť zmenu osobných údajov, nevytvárať kópie úradných dokladov, ak to nie je potrebné na plnenie predpisov podľa osobitného zákona).

-  Postup pri ukončení pracovného alebo obdobného pracovného vzťahu alebo obdobného pomeru poverenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti, odovzdanie identifikačnej karty zamestnanca, jej likvidácia, nepotrebné písomné dokumenty, ktoré nie sú súčasťou registratúrneho záznamu likvidovať skartovaním).

-  Práca na diaľku a pravidlá mobilného spracovania dát.

 

11.2.2   Riadenie aktív

-  Vedenie inventárneho zoznamu aktív a jeho pravidelná aktualizácia.

-  Evidencia všetkých miest prepojenia sietí vrátane prepojení s verejne prístupnou počítačovou sieťou.

-  Určenie vlastníctva aktív a zodpovednosti za riziká.

-  Pravidlá a postupy klasifikácie informácií.

-  Pravidlá a postupy na označovanie informácií a zaobchádzanie s nimi v súlade s platnou klasifikačnou schémou.

-  Pravidlá na prijateľné používanie informácií a aktív spojených s prostriedkami na spracúvanie informácií.

-  Opatrenia na vrátenie aktív (napr. prostriedkov spracúvania osobných údajov) patriacich prevádzkovateľovi po ukončení pracovného pomeru, po vypršaní uzatvorenej dohody alebo zmluvy, pri zmene pracovného miesta alebo pracovného zaradenia a pod.

 

11.2.3   Riadenie prístupu osôb k osobným údajom

-  Pravidlá fyzického vstupu do objektu a chránených priestorov prevádzkovateľa.

-  Správa prístupových prostriedkov a zariadení do objektov (individuálne prideľovanie kľúčov, elektronických kľúčov, vstupných kariet a bezpečné ukladanie ich rezerv, heslá a administratívne prístupy musia byť zdokumentované a uložené v zapečatenej obálke v trezore / uzamykateľnej skrini, pokyn na otvorenie môže dať poverená osoba, režim zaobchádzania s kľúčmi – minimálne jedna kópia od miestnosti, kde sa spracúvajú osobné údaje, musí byť bezpečne uložená v úschovnom zariadení).

-  Pravidlá prideľovania prístupových práv a úrovní prístupu (rolí) povereným osobám.

-  Politika hesiel a pravidlá používania autorizačných a autentizačných prostriedkov.

-  Pravidlá vzájomného zastupovania poverených osôb (napr. pri nehode, dočasnej pracovnej neschopnosti, ukončení pracovného alebo obdobného pomeru).

-  Pravidlá odstránenia alebo zmeny prístupových práv poverených osôb a zariadení na spracúvanie informácií pri ukončení zamestnania, zmluvy alebo dohody, alebo prispôsobenie zmenám rolí.

 

11.2.4   Organizácia spracúvania osobných údajov

-  Pravidlá spracúvania osobných údajov v chránenom priestore.

-  Nepretržitá prítomnosť poverenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako poverené osoby.

-  Režim údržby a upratovania chránených priestorov.

-  Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá

   .   pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovedností,

   ·  pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovedností,

   ·   pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovedností.

 

11.2.5   Porušenia ochrany osobných údajov

-  Postup pri oznamovaní porušenia ochrany osobných údajov úradu a dotknutej osobe na včasné prijatie preventívnych alebo nápravných opatrení.

-  Pravidelné preskúmavanie záznamov udalostí, záznamov o aktivitách používateľov, záznamov o výnimkách.

-  Evidencia porušení ochrany osobných údajov a použitých riešení, napr:

   ·    pri strate, krádeží hesiel  - zmena všetkých hesiel, poučiť poverené osoby o utajení hesiel, disciplinárne konanie, ak sa jednoznačne zistí pochybenie zo strany poverenej osoby

   ·    pri krádeží počítača, záložných médií, kľúčov – zabezpečiť miesto proti opätovnému odcudzeniu, okamžitá výmena zámkov, prípadné doplnenie technických a zábranných prostriedkov, zabezpečiť ukladanie údajov v šifrovanom / kryptovanom tvare

-  Postup identifikácie a riešenia jednotlivých typov porušení ochrany osobných údajov.

-  Postup odstraňovania následkov porušení ochrany osobných údajov.

-  Postupy zaručenia kontinuity pri havárii alebo inej mimoriadnej udalosti, napr:

    ·   Zabezpečiť záložné zdroje, monitorovať činnosť serverov, zachovávať pravidlo – novší server sa stáva hlavným a starší záložným

    ·   Pri výpadku servera presmerovať prevádzku na záložný server, obnova zo zálohy,

    ·   Zabezpečiť antivírusovú ochranu a používanie autorizovaným programov

    ·   Pri havárií databáz ú aplikácií sledovať konfiguračné súbory, kontrolovať chybové hlásenia a včas na ne reagovať

-  Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania.

​

11.2.6   Kontrolná činnosť

-  Kontrolná činnosť zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov, pravidelne sledovať funkčnosť dverí, okien, zabezpečiť opravu, kontrolovať požiarne opatrenia, kontrola osoby pri vstupe do budovy).

-  Informovanie osôb o kontrolnom mechanizme, ak ho prevádzkovateľ alebo sprostredkovateľ má zavedený (rozsah kontroly a spôsoby jej uskutočňovania).

-  Postupy monitorovania súladu spracúvania osobných údajov podľa § 42 ods. 7 zákona č. 18/2018 Z.z..

 

11.2.7   Dodávateľské vzťahy

-  Postup overenia dostatočných záruk.

-  Začlenenie požiadaviek na ochranu údajov do požiadaviek nových systémov a do pravidiel vývoja a nákupu systémov.

-  Začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami.

-  Testovanie bezpečnostných funkcií počas vývoja systémov.

-  Monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi.

​

Tento dokument, Smernica o ochrane osobných údajov, nadobúda platnosť a účinnosť dňom podpisu.

 

​

V Poprade dňa 1.11.2025

                                                                                        

............................................................…

Ing. Marek Sonoga, konateľ

Esteam dent s.r.o.