- IČO
- 42156424
- Sídlo
- Kollárova 8, 91702 Trnava
- Kontrolované obdobie
- roky 2012- 2014, v prípade potreby aj predchádzajúce obdobie
- Termín kontroly
- 21.09.2014 - 27.11.2014
- Stav kontroly
- Ukončená
Zistenia
Miestom uloženia odpisovaného dlhodobého nehmotného a dlhodobého hmotného majetku podľa inventúrneho súpisu nebolo skutočným miestom uloženia predmetného majetku.
Na účte 041 – obstaranie DNM bol účtovaný dlhodobý nehmotný majetok, ktorý v zmysle § 26 Opatrenia MF SR č. 16786/007-31, ktorým sa ustanovujú podrobnosti o postupoch účtovania a rámcovej účtovej osnove pre rozpočtové organizácie, príspevkové organizácie, štátne fondy, obce a vyššie územné celky (ďalej len „opatrenie MF SR“) mal byť uvedený do užívania, nakoľko boli zabezpečené všetky jeho technické funkcie potrebné na jeho užívanie a prevádzku.
Bolo identifikované významné a veľmi vysoké riziko zrušenia NASES jeho zriaďovateľom podľa § 21 ods. 12 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy.
Bezpečnostný projekt informačného systému NASES neobsahoval názov informačného systému, na ktorý sa vzťahuje.
Bezpečnostný projekt informačného systému NASES neobsahoval analýzu bezpečnosti informačného systému.
V Bezpečnostnom projekte informačného systému NASES boli zistené formálne nedostatky:
- V zákone č. 122/2013 Z. z. o OOÚ je uvedené slovo „poškodením“ a v bezpečnostnom projekte sa vyskytlo „po škodením“ čo by v určitých kontextoch mohlo dávať iný význam.
- V bezpečnostnom projekte je uvedená časť zo zákona č. 122/2013 Z. z. o OOÚ „inými spôsobmi spracúvania“ ale v § 19 zákona č. 122/2013 Z. z. o OOÚ je uvedené „inými neprípustnými spôsobmi spracúvania“
- V bezpečnostnom projekte je zavedená skratka „NASES“ ale v texte je uvádzané. „ ... používanie osobných údajov v rámci výkonu činnosti akciovej spoločnosti,“.
- V bezpečnostnom projektu sú zavedené skratky, ktoré nie sú vysvetlené.
- Pri sídle NASES nie je uvedené mesto, v ktorom sa nachádza sídlo spoločnosti.
Od 1.7.2014 do výkonu kontroly, nakoľko NASES nemal poverenú zodpovednú osobu podľa § 23 ods. 2 zákona č. 122/2013 Z. z.o ochrane osobných údajov, mal oznamovaciu povinnosť Úradu na ochranu osobných údajov SR na tie informačné systémy, ktoré podliehajú oznamovacej povinnosti podľa § 24 zákona č. 122/2013 Z. z. o ochrane osobných údajov.
Kontrolovaný subjekt nevykonal poučenie oprávnených osôb do 6 mesiacov odo dňa účinnosti zákona č. 122/2013 Z. z. o ochrane osobných údajov, t.j. do konca roku 2013.
Kontorlovaný subjekt nemal vypracovanú Bezpečnostnú smernicu o ochrane osobných údajov.
Kontrolou evidencie informačného systému osobných údajov s názvom "Ekonomický softvér OLYMP - Mzdy a personalistiky ..." bolo zistené nasledovné:
V poučení oprávnených osôb je názov informačného systému uvedený ako „OMEGA“, pričom v bezpečnostnom projekte je uvedený názov „OLYMP“ a ešte názov „Personálna a mzdová agenda“, v evidenčnom liste systému osobných údajov s názvom „Ekonomický softvér OLYMP – Mzdy a personalistika ...“ je uvedený „Ekonomický softvér OLYMP – Mzdy a personalistika ...“.
Nie je uvedené meno štatutárneho orgánu prevádzkovateľa (alebo osoba oprávnená konať v jeho mene).
Právny základ spracúvania osobných údajov nie je dostatočne uvedený nakoľko nie je právny základ iba „Zákonník práce“ ako je uvedené ale aj zákon o zdravotnom poistení, zákon o sociálnom poistení, o dani, atď.
Nesprávne označenie bezpečnostných opatrení. V uvedenom informačnom systéme sa spracúvajú osobné údaje a aj osobitná kategória osobných údajov k čomu bol aj vypracovaný bezpečnostný projekt.
Nesprávne uvedené poskytovanie osobných údajov, kde je uvedené že „Neposkytuje sa“. Údaje sa poskytujú napr.: Sociálnej poisťovni, zdravotným poisťovniam, atď.
Kontorlovaný subjekt nemal upravené vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov prevádzkovaných informačných systémov.
V čase výkonu kontroly neboli ukončené všetky realizácie aktivít projektov „Elektronické služby spoločných modulov a prístupových komponentov“ časť I. a II. Prevádzka týchto projektov počas implementácie je zabezpečovaná v dvoch dátových centrách A a B a ich komunikácia je zabezpečená cez infraštruktúru GOVNET.
NASES nemal určený postup a zodpovednosť v súvislosti s prideľovaním prístupových práv používateľom.