ATOPS Development s.r.o, so sídlom Mlynské Nivy 48, 821 09 Bratislava, IČO: 46 911 880
Bezpečnostná smernica
Konateľ: Ing. Jozef Janík

  1. ÚČEL A CIEĽ

Smernica stanovuje pravidlá pre spracúvanie osobných údajov. Cieľom je zabezpečiť ochranu osobných údajov pri manuálnom a automatizovanom spracúvaní.

  1. ROZSAH PLATNOSTI

Smernica platí pre všetkých zamestnancov spoločnosti. Záväzne stanovuje povinnosti pre všetky oprávnené osoby, ktoré spracúvajú osobné údaje a zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov. Porušenie smernice sa považuje za závažné porušenie pracovnej disciplíny.

  1. DEFINÍCIA POJMOV
  2. Osobné údaje – údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takouto osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Spracúvanie osobných údajov – vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.

Prevádzkovateľ – ATOPS Development s.r.o.

Oprávnená osoba – každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo obdobného pomeru s ATOPS Development s.r.o.

Zodpovedná osoba – nie je určená v zmysle nariadenia GDPR a zákona č. 18/2018 z.z. o Ochrane osobných údajov.

Dotknutá osoba – každá fyzická osoba, o ktorej sa spracúvajú osobné údaje, zamestnanci, uchádzači o zamestnanie, klienti, zmluvné strany, obchodní partneri.

Informačný systém – akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu nato, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy.

Automatizovaný informačný systém – (ďalej len „IS“) súhrn technických prostriedkov výpočtovej techniky, programové a aplikačné vybavenie, údajová základňa, pamäťové médiá s údajmi, inštalačné médiá, dokumentácia súvisiaca s technickým a programovým vybavením určeným na automatizované spracovanie údajov.

Používateľský účet – slúži na identifikáciu používateľa v automatizovanom informačnom systéme, umožňuje správne priradenie pridelených používateľských práv prihlásenému používateľovi, tvorí ho názov účtu a heslo.

Oprávnený používateľ – zamestnanec, ktorému bol zriadený používateľský účet a pridelené príslušné prístupové práva umožňujúce mu plnenie pracovných povinností.

Pracovné dokumenty – všetky súbory, ktoré používatelia automatizovaného informačného systému vytvorili alebo prevzali pre potreby spoločnosti.

Likvidácia osobných údajov – zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať.

Bezpečnostné opatrenie – vykonávaná prax, pracovný postup alebo zariadenie, ktoré znižujú riziko.

Stav núdze – udalosť, ktorej pretrvávanie alebo opakovanie by mohlo spôsobiť ohrozenie záujmov prevádzkovateľa.

  • BEZPEČNOSTNÉ OPATRENIA A ICH VYUŽITIE

Medzi základné realizované bezpečnostné opatrenia patria:

· ochrana areálu a kontrola vstupu osôb,

· povinná identifikácia a autentizácia pri prístupe k IS,

· zálohovanie a antivírová ochrana,

· zamykanie miestností.

 Bezpečnostné opatrenia slúžia na obmedzenie a riadenie fyzického prístupu osôb, na riadenie logického prístupu k osobným údajom v elektronickej forme, na zabezpečenie dôvernosti a dostupnosti chránených osobných údajov.

Všetci zamestnanci organizácie sú povinní:

· dodržiavať bezpečnostné opatrenia, ktoré sú realizované na ochranu objektov, majetku osôb a osobných údajov,

· dodržiavať interné smernice a predpisy,

· v prípade úniku alebo podozrenia z úniku informácií z informačného systému, oznámiť túto skutočnosť zodpovednej osobe.

  • ROZSAH OPRÁVNENÍ A POPIS POVOLENÝCH ČINNOSTÍ OPRÁVNENÝCH OSÔB

Medzi oprávnené osoby patria:

· konateľ,

· projektový manažér

· ostatní zamestnanci

Všetky osoby, ktorých pracovnou náplňou je spracúvanie osobných údajov – oprávnené osoby – musia byť poučené o povinnostiach vyplývajúcich zo zákona č. 18/2018 Z. z. o ochrane osobných údajov.

 O poučení sa vedie písomný záznam. Osobné údaje je možné spracúvať pre potreby organizácie len na základe platných zákonov, právnych predpisov a interných dokumentov. Spracúvajú sa len typy osobných údajov, ktoré je nevyhnutné spracúvať. Likvidáciu osobných údajov môže oprávnená osoba vykonať len na základe súhlasu zodpovednej osoby.

Pri dočasnom opustení pracoviska sú všetci spolupracovníci povinní odhlasovať sa z programov na spracovanie osobných údajov, prípadne používať šetrič obrazovky s nastaveným heslom, odkladať a uzamykať písomné dokumenty, ktoré obsahujú osobné údaje.

VI.1.a. Postup práce pri spracovaní personálnej a mzdovej agendy

Účtovná firma, účtovník, konateľ prevádzkovateľa  sú oprávnení zisťovať osobné údaje o zamestnancoch a ich rodinných príslušníkoch, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre personálnu a mzdovú agendu; opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby. Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. V prípade žiadostí o prijatie do zamestnania, ktoré sú doručené poštou, je potrebné písomne oznámiť žiadateľovi termín do kedy bude jeho žiadosť evidovaná a následne zlikvidovaná. Zároveň je potrebné ho požiadať, aby do tohto termínu zasielal prípadné zmeny osobných údajov. Ak je žiadosť bezpredmetná, žiadateľ nie je vhodný, je potrebné písomne oznámiť žiadateľovi okamžitú likvidáciu žiadosti a jeho osobných údajov. Úradné doklady a kópie úradných dokladov, ktoré obsahujú osobné údaje, je potrebné vrátiť odosielateľovi. Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané. Oprávnené osoby môžu telefonicky potvrdiť, že dotyčná osoba je zamestnaná v organizácii, bez poskytovania ďalších osobných údajov. Preberať potvrdenia o práceneschopnosti môže iba poučená osoba.

VI.1.b. Postup práce pri spracovaní evidencie klientov

 Konateľ je oprávnený zisťovať osobné údaje o klientoch, obchodných partneroch, zmluvných stranách, spracúvať ich manuálne a v elektronickej forme, prehliadať, usporadúvať a využívať ich na tvorbu dokumentov nevyhnutných pre evidenciu, opravovať, meniť, uchovávať a archivovať dokumenty, ktoré obsahujú osobné údaje. Kópie úradných dokladov je možné vytvárať len na základe písomného súhlasu dotknutej osoby.

Súhlas musí obsahovať údaj o tom, kto súhlas poskytol, komu sa súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Poskytovať a sprístupňovať osobné údaje o inej osobe cez telefón je zakázané.

 VI.2 Spôsob identifikácie a autentizácie

Všetky oprávnené osoby sú povinné pri prístupe k informačnému systému prihlásiť sa menom a heslom. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%, /, #, @, &, $, (, …, bez použitia diakritických znamienok. Heslá je potrebné pravidelne meniť každých 45 – 60 dní, po uplynutí doby platnosti sa heslá nesmú opakovať. Za utajenie hesla zodpovedá používateľ. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod. Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužitie a spôsobené škody.

VI.3 Povinnosti používateľov automatizovaného informačného systému

Automatizovaný informačný systém je určený na výkon prác súvisiacich s činnosťou organizácie a môže byť používaný len na tento účel. IS nesmie byť používaný na súkromné, alebo iné účely, ktoré nesúvisia s činnosťou organizácie.

Základnými prostriedkami IS, ktoré je možné používať pre plnenie stanovených pracovných povinností sú:

 · počítač, ktorý, ktorý smie oprávnený používateľ používať,

· nainštalované programové vybavenie,

· sieťové služby dátových serverov,

· tlačiareň typ brother, pripajaná na Wifi sieť,

· výpočtová kapacita počítačových systémov pri používaní firemných sieťových aplikácií. Používateľ nesmie sám inštalovať akékoľvek programy, nesmie používať a šíriť nelegálne programové vybavenie, nesmie kopírovať a distribuovať nainštalované programy a operačné systémy, ich časti, súvisiacu dokumentáciu a manuály. Všetky zmeny v konfigurácii počítača a ostatného technického vybavenia môžu byť vykonávané len administrátorom IS.

Používateľ sa nesmie žiadnymi prostriedkami pokúšať získať prístupové práva, alebo privilegovaný stav, ktorý mu nebol nastavený administrátorom IS.

Pokiaľ používateľ v dôsledku chyby programových alebo technických prostriedkov získa privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli pridelené a nastavené, je povinný túto skutočnosť bezprostredne oznámiť zodpovednej osobe a administrátorovi IS.

Používateľ nesmie vykonávať takú činnosť, ktorá by ostatným používateľom bránila v riadnom používaní IS. Používateľ je povinný rešpektovať štruktúru adresárov na svojom počítači i na sieti, udržiavať poriadok v adresároch, rušiť nepotrebné súbory v týchto adresároch, nevytvárať prázdne adresáre, chaotické kópie a pod.

VII. ROZSAH ZODPOVEDNOSTI

VII.1 Zodpovednosť oprávnených osôb

Všetky oprávnené osoby sú povinné zachovávať mlčanlivosť o osobných údajoch, s ktorými prídu do styku, nesmú ich využívať pre vlastnú potrebu, nesmú ich zverejňovať ani nikomu sprístupniť.

Povinnosť mlčanlivosti trvá i po skončení pracovného pomeru.

VII.2 Zodpovednosť zodpovednej osoby

Dohľadom nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov musí byť písomne poverená zodpovedná osoba, ktorá bola odborne vyškolená. Rozsah odborného školenia zodpovedá najmä obsahu zákona o ochrane osobných údajov a medzinárodných zmlúv o ochrane osobných údajov. Absolvent odborného školenia obdrží písomné potvrdenie o absolvovaní. Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi. Ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba Úradu na ochranu osobných údajov SR.

 Zodpovedná osoba zabezpečuje:

  • potrebnú súčinnosť s Úradom na ochranu osobných údajov SR,
  • dohľad nad plnením základných povinností prevádzkovateľa o pred začatím spracúvania jednoznačne a konkrétne vymedziť účel spracúvania, o určiť prostriedky spôsob spracúvania,
  • získavať osobné údaje výlučne na vymedzený účel,
  • zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojim rozsahom a obsahom zodpovedajú účelu a sú nevyhnutné na dosiahnutie účelu spracúvania,
  • na rozdielne účely získavať osobné údaje osobitne,
  • osobné údaje získané na rôzne účely nezdružovať,
  • spracúvať len správne, úplné a aktualizované osobné údaje,
  • nesprávne a neúplné osobné údaje blokovať, opraviť alebo doplniť,
  • údaje, ktoré nie je možné opraviť alebo doplniť zlikvidovať,
  • zabezpečiť, aby osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
  •  zlikvidovať osobné údaje, ktorých účel spracúvania sa skončil,
  • spracúvať osobné údaje v súlade s dobrými mravmi,
  • nevynucovať súhlas dotknutej osoby hrozbou odmietnutia zmluvného vzťahu, dodania služieb alebo tovaru,
  • poučenie oprávnených osôb podľa § 17,
  • do 30 dní vybavovanie žiadostí dotknutých osôb o vo všeobecne zrozumiteľnej forme poskytnúť informácie o stave spracúvania osobných údajov v rozsahu:

– názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa;

– meno a priezvisko štatutárneho orgánu prevádzkovateľa a zodpovednej osoby;

– identifikačné označenie informačného systému;

– účel spracúvania,

– zoznam osobných údajov a okruh dotknutých osôb; okruh príjemcov, ktorým sú alebo budú údaje sprístupnené, tretie strany, ktorým osobné údaje sú alebo budú poskytnuté;

– tretie krajiny, do ktorých sa uskutočňuje prenos osobných údajov;

– právny základ informačného systému;

– formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva;

– všeobecnú charakteristiku opatrení za zabezpečenia ochrany osobných údajov a dátum začatia spracúvania,

  • vo všeobecne zrozumiteľnej forme presné informácie,
  • zdroj, z ktorého boli osobné údaje získané, o vo všeobecne zrozumiteľnej forme odpis osobných údajov,
  • opraviť nesprávne, neúplné alebo neaktuálne osobné údaje,
  • likvidovať osobné údaje po splnení účelu spracúvania; vrátiť úradné doklady, ak boli predmetom spracúvania,
  • likvidáciu osobných údajov, ak došlo k porušeniu zákona,
  • bezodkladné písomné oznámenie dotknutej osobe a Úradu na ochranu osobných údajov SR, že na základe písomnej žiadosti oprávnenej osoby, ktorej práva boli obmedzené, boli jej nesprávne, neúplné alebo neaktuálne osobné údaje opravené, prípadne zlikvidované; ak boli predmetom spracúvania úradné doklady obsahujúce osobné údaje, že jej boli vrátené,
  • do 30 dní vybavovanie námietok dotknutých osôb voči o spracúvaniu osobných údajov na účely priameho marketingu bez jej súhlasu, o využívaniu osobných údajov na účely priameho marketingu v poštovom styku, o poskytovaniu osobných údajov na účely priameho marketingu,
  • realizáciu technických, personálnych a organizačných opatrení a dohliada na ich aplikáciu v praxi,
  • dohľad pri výbere sprostredkovateľa a prípravu písomnej zmluvy alebo poverenia pre sprostredkovateľa; preveruje dodržiavanie dohodnutých podmienok,
  • dohľad nad cezhraničným tokom osobných údajov,
  • prihlásenie informačných systémov na osobitnú registráciu, oznamovanie zmien a odhlásenie; o informačných systémoch, ktoré nepodliehajú registrácii, vedie predpísanú evidenciu. Zodpovedná osoba odporúča technické, organizačné a personálne bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania. V spolupráci s oprávnenými osobami navrhuje úpravy programového vybavenia a tlačených formulárov na základe zmien príslušných zákonov a predpisov tak, aby sa spracúvali iba nevyhnutne potrebné typy osobných údajov.

VIII. KONTROLNÁ ČINNOSŤ

 Zodpovedná osoba vykoná na základe zistenia narušenia práv a slobôd dotknutých osôb, minimálne však jeden krát ročne, kontrolu zameranú na dodržiavanie ochrany osobných údajov v príslušných informačných systémoch.

Zodpovedná osoba vykoná kontrolu:

·    archivovania písomných dokumentov – vhodnosť podmienok na archivovanie,

·    v spolupráci s administrátorom IS kontrolu funkčnosti a úplnosti záloh,

·    interných predpisov – presnosť a jednoznačnosť pracovných postupov pri spracúvaní osobných údajov.

IX. HAVARIJNÉ POSTUPY

V prípade zistenia poruchy akéhokoľvek prostriedku IS je potrebné na túto skutočnosť upozorniť administrátora IS. Administrátor IS rozhodne o ďalšom postupe opravy, s ohľadom na zabezpečenie osobných údajov informuje zodpovednú osobu ak technický prostriedok alebo nosič informácií obsahujúce osobné údaje, bude kvôli vykonaniu servisného zásahu premiestnený mimo areálu organizácie, prípadne ak servisný zásah bude vykonávať externá firma. Na predchádzanie vzniku požiaru je potrebné dodržiavať preventívne protipožiarne opatrenia v súlade s Požiarnym štatútom. V prípade požiaru sa postupuje podľa poplachových a evakuačných smerníc, ktoré sú súčasťou Požiarneho štatútu.

Schválil: Ing. Jozef Janík

Dňa: 25.05.2018, v Bratislave

Developer

Development Vištuk s.r.o.

Ventúrska 1
Bratislava

Neváhajte nás kontaktovať

Informácie

Mgr. Miroslava Hrablíková