Detail kontrolnej akcie

Pravidelne aktualizovaný zoznam prebiehajúcich kontrol NKÚ SR a ich doterajšie čiastočné výsledky.

Evidenčné číslo:
KA-015/2019/1032
Názov:
Systém ochrany a bezpečnosti údajov vo verejnom sektore
Účel kontrolnej akcie:
Účelom kontrolnej akcie je zistiť objem finančných prostriedkov ktoré boli alokované na zabezpečenie
Stav KA:
Ukončená

Subjekty

Bratislavský samosprávny kraj

IČO
36063606
Sídlo
Sabinovská 16, 82005 Bratislava-Ružinov
Kontrolované obdobie
2016-2019
Termín kontroly
15.07.2019 - 05.11.2019
Stav kontroly
Ukončená

Zistenia

BSK zabezpečil vypracovanie GAP analýzy do 25.5.2018 ale opatrenia prijaté na odstránenie nedostatkov neboli do 25.5.2018 splnené, čím nezabezpečil súlad s čl. 12 ods. 1 a 2, čl. 24 ods. 1 a 2, čl. 35 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018.
Typ nedostatku: Odchýlka od súladu
BSK nepostupoval v súlade s čl. 35 ods. 1 až 3 Nariadenia (EÚ) a Usmernením WP 29 týkajúcom sa posúdenia vplyvu, keďže pred nadobudnutím účinnosti Nariadenia (EÚ) ani neskôr nevykonal posúdenie vplyvu na ochranu údajov a v tejto súvislosti sa neradil so zodpovednou osobou.
Typ nedostatku: Odchýlka od súladu
BSK spracúval osobné údaje prostredníctvom kamerových systémov bez dôkladného posúdenia (balančného testu, resp. testu proporcionality), či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá Nariadenie (EÚ).
Typ nedostatku: Odchýlka od súladu
BSK nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá (metodiku), resp. nezdokumentoval pokyny pre oprávnené osoby: - pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby, ktoré by obsahovali podrobnosti o informáciách, ktoré sú povinné oznámiť dotknutej osobe a postupoch, ktoré sú povinné plniť pri uplatňovaní práv dotknutej osoby, - na aplikáciu kritérií ustanovených v čl. 6 ods. 4 Nariadenia (EÚ), - pre prípady, kedy dochádza k spracúvaniu osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia (EÚ), - pre prípady, kedy dochádza k prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.
Typ nedostatku: Odchýlka od súladu
BSK nepostupoval v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá a nezdokumentoval pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa v súvislosti s opravou a vymazaním osobných údajov alebo obmedzením spracúvania.
Typ nedostatku: Odchýlka od súladu
BSK nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keďže podrobne a komplexne neformalizoval prístupové práva používateľov do IS obsahujúcich osobné údaje, ich oprávnenia na vykonávanie spracovateľských operácií a ani základné pravidlá a pokyny pre bezpečné spracúvanie osobných údajov oprávnenými osobami.
Typ nedostatku: Odchýlka od súladu
BSK nemal vypracovaný interný akt riadenia, v ktorom by upravil postupy pre oprávnené osoby, ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje fyzickej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 211/2000 Z.z.
Interný akt riadenia prevádzkovateľa pre oblasť bezpečnosti a ochrany zdravia pri práci neobsahoval podrobnosti o nakladaní s osobnými údajmi, ktoré boli zaznamenané pri kontrolnej činnosti podľa § 9 ods.1 písm. b) zákona o BOZP.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 124/2006 Z.z.
BSK tým, že nepreveroval sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupoval v súlade s čl. 28 ods.1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Osobou zodpovednou za informačnú bezpečnosť podľa § 29 písm. c) výnosu MF SR, tzv. manažér bezpečnosti, bol v BSK vedúci oddelenia informatiky BSK, čo nebolo v súlade s § 78 ods. 11 zákona 18/2018 a dobrou praxou (Best Practice).
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Prevádzkovateľ nemal vypracované pravidlá alebo zdokumentované pokyny podľa štandardov pre: - sieťovú bezpečnosť podľa § 34 výnosu MF SR, - fyzickú bezpečnosť a bezpečnosť prostredia podľa § 35 výnosu MF SR, prácu v zabezpečenom priestore v súlade s § 35 písm. d) výnosu MF SR, údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu MF SR. - aktualizáciu softvéru podľa § 36 výnosu MF SR, - postup riešenia jednotlivých typov bezpečnostných incidentov a spôsob ich vyhodnotenia podľa § 37 písm. a) bod 2 výnosu MF SR, - zabezpečenie fyzického ukladania druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú technické prostriedky IS VS podľa § 40 písm. b) výnosu MF SR, - bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku podľa § 41 písm. f) výnosu MF SR, - účasť tretej strany podľa § 43 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

DataCentrum elektronizácie územnej samosprávy Slovenska (DEUS)

IČO
45736359
Sídlo
Kýčerského 5, 81105 Bratislava-Staré Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Košický samosprávny kraj

IČO
35541016
Sídlo
Námestie Maratónu mieru 1, 04266 Košice-Staré Mesto
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

Prevádzkovateľ nekonal v súlade s čl. 1 ods. 1 nariadenia GDPR tým, že do doby jeho účinnosti, nedal do súladu pravidlá ochrany fyzických osôb pri spracovaní OÚ a pravidlá týkajúce sa voľného pohybu OÚ.
Typ nedostatku: Formálna nezrovnalosť
Prevádzkovateľ tým, že v prípade výberových konaní medzi požadovanými dokladmi vyžadoval aj súhlas dotknutej osoby so spracovaním OÚ konal v rozpore s čl. 7 ods. 4 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Mesto Banská Bystrica

IČO
00313271
Sídlo
Československej armády 26, 97401 Banská Bystrica
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 28.11.2019
Stav kontroly
Ukončená

Zistenia

Mesto nemalo ustanovenú osobu zodpovednú za informačnú bezpečnosť podľa § 29 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracované pravidlá podľa štandardu pre manažment rizík pre oblasť informačnej bezpečnosti v súlade s § 31 písm. d) a f) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto neviedlo formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Hanušovce nad Topľou

IČO
00332399
Sídlo
Mierová 333/3, 09431 Hanušovce nad Topľou
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Mesto spracúvalo osobné údaje na právnom základe podľa čl. 6 ods. 1 písm. f/ nariadenia GDPR „oprávnený záujem“, ktorý sledoval prevádzkovateľ, a to v IS Kamerový systém, pričom pred spracúvaním osobných údajov nevykonal tzv. balančný test, resp. test proporcionality, či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb v zmysle Metodického usmernenia ÚOOÚ č. 2/2018 a recitálu 47 k nariadeniu GDPR.
Typ nedostatku: Odchýlka od súladu
Mesto v bezpečnostnej dokumentácii nemalo upravené konkrétne kritériá, podľa ktorých posúdi a rozhodne, či porušenie ochrany osobných údajov povedie alebo nepovedie k riziku pre práva a slobody fyzických osôb, čo nebolo v súlade s čl. 33 ods. 1 a čl. 34 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Bezpečnostná politika mesta nebola vypracovaná v rozsahu podľa § 29 písm. a) výnosu 55/2014 Z. z., keď neobsahovala napríklad určenie špecifických zodpovedností a povinností v oblasti informačnej bezpečnosti alebo určenie aktív, ktoré sú pre povinnú osobu kritické, čo ich ohrozuje a zásady ich ochrany.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto neustanovilo konkrétnu osobu zodpovednú za informačnú bezpečnosť, čo nebolo v súlade s § 29 ods. c) a d) výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo zavedený postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky, čo nebolo v súlade § 30 písm. d) výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre manažment rizík pre oblasti informačnej politiky podľa § 31 výnosu 55/2014 Z. z. Mesto neurčilo kritické procesy, ktoré by mohli prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS a nemalo vypracované plány na obnovu činnosti nefunkčných, poškodených alebo zničených kritických IS verejnej správy, čo nebolo v súlade s § 31 písm. d) a f) výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
V čase výkonu kontroly nebola uskutočnená žiadna kontrola informačnej bezpečnosti, čo nebolo v súlade s § 32 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre sieťovu bezpečnosť a neviedlo evidenciu o všetkých miestach prepojenia sietí, ktoré boli v jej správe vrátane prepojení s externými sieťami, čo nebolo v súlade s § 34 výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre fyzickú bezpečnosť podľa § 35 výnosu č. 55/2014 Z. z. Zároveň nebola zabezpečená ochrana pred výpadkom zdroja elektrickej energie pre tie časti IS, ktoré vyžadujú nepretržitú prevádzku a neboli vypracované pravidlá pre vymazávanie, vyraďovanie a likvidáciu zariadení IS a všetkých záloh.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre monitorovanie a manažment bezpečnostných incidentov podľa § 37 výnosu č. 55/2014 Z. z. Mesto neviedlo evidenciu výpadku IS a spôsobu jeho riešenia.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre zálohovanie a fyzické ukladanie dát podľa § 39 a § 40 výnosu č. 55/2014 Z. z. Archivačné zálohy sa v dvoch kópiách nevyhotovovali, čo nebolo v súlade s § 39 písm. a) a b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre riadenie prístupu podľa § 41 výnosu č. 55/2014 Z. z. Mesto nezaviedlo identifikáciu používateľov pri vstupe do IS verejnej správy, neurčilo postup a zodpovednosť pre prideľovanie prístupových práv, nevypracovalo bezpečnostné zásady pre mobilné pripojenie do IS verejnej správy a pre prácu na diaľku, nevypracovalo pravidlá pre administrátorov systému a neviedlo formalizovanú dokumentáciu prístupových práva všetkých používateľov IS verejnej správy, čo nebolo v súlade s § 41 výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre účasť tretej strany podľa § 43 výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Kysucké Nové Mesto

IČO
00314099
Sídlo
Nám. Slobody 94, 02401 Kysucké Nové Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
08.09.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

Mesto podmieňovalo vypísanie výberového konania (predzmluvný vzťah) súhlasom dotknutej osoby, čo nebolo v súlade s čl. 7 od. 4 Nariadenia (EÚ) a bolo to výsledkom nesprávnej aplikácie Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Mesto spracúvalo osobné údaje prostredníctvom kamerového systému bez dôkladného posúdenia (balančného testu, resp. testu proporcionality), či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá Nariadenie (EÚ) a zdôrazňuje sa v recitáli 47 k Nariadeniu (EÚ).
Typ nedostatku: Odchýlka od súladu
Mesto nemalo určenú zodpovednú osobu za informačnú bezpečnosť, čo nebolo v súlade s § 29 písm. c) výnosu MF SR.
Typ nedostatku: Odchýlka od súladu
Ustanovenie zamestnanca do funkcie zodpovednej osoby pred účinnosťou Nariadenia (EÚ) bez úspešného absolvovania skúšky na výkon zodpovednej osoby nebolo v súlade s § 24 ods. 1 a 2 zákona 122/2013.
Typ nedostatku: Odchýlka od súladu
Mesto nezabezpečilo plnenie úloh zodpovednej osoby pre mestskú knižnicu a informačný systém „Masmédiá mesta“ v súlade s čl. 39 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu

Mesto Leopoldov

IČO
00312703
Sídlo
Hlohovská cesta 104/2, 92041 Leopoldov
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

Mesto nemalo vypracovaný dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu MFSR 55/2014 Z. z ani postupy schvaľovacieho procesu pre zmeny existujúcich a zavedenie nových informačných systémom ISVS a IKT, ktorý zahŕňa bezpečnostné požiadavky podľa § 42 výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Michalovce

IČO
00325490
Sídlo
Námestie osloboditeľov 30, 07101 Michalovce
Kontrolované obdobie
2016-2019
Termín kontroly
08.08.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Z „Posúdenia vplyvu na ochranu OÚ“ vyplynulo, že pre zabezpečenie spracúvania OÚ v IS mesta vyplynulo viacero opatrení, ktoré mesto ako prevádzkovateľ IS obsahujúcich OÚ bol povinný odstrániť a spracúvanie OÚ v ním prevádzkovaných IS mal uviesť do súladu s Nariadením (EÚ) a zákonom o ochrane OÚ už v čase ich účinnosti, teda najneskôr do 25.05.2018. Mesto nekonalo v súlade s čl. 12 ods. 1 a 2, čl. 24 ods. 1 a 2, čl. 25, 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona o ochrane OÚ, keď nevykonal posúdenie vplyvu na ochranu OÚ a súvisiace opatrenia z neho vyplývajúce do 25.05.2018, teda ešte pred nadobudnutím účinnosti Nariadenia (EÚ) a zákona o ochrane OÚ .
Typ nedostatku: Finančná nezrovnalosť Porušený predpis: 18/2018 Z.z.
Prevádzkovateľ neurčil pravidlá upravujúce postup oprávnených osôb pri prenose OÚ do tretích krajín alebo medzinárodným organizáciám. Prevádzkovateľ tým, že nemá vypracované pravidlá, podľa ktorých oprávnené osoby rozhodujú (pri akomkoľvek právnom základe spracúvania - čl. 6 alebo čl. 9 GDPR) o tom, či prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám je možný (oprávnený) a pri prenosoch vyžadujúcich primerané záruky (čl. 46 GDPR) posudzujú, či pre daný prenos primerané záruky skutočne existujú, nepostupoval v súlade s čl. 6 a čl. 9 v nadväznosti na čl. 44 až 46 Nariadenia /EÚ).
Typ nedostatku: Konanie v rozpore s určeným účelom Porušený predpis: 18/2018 Z.z.
Štandard pre monitorovanie a manažment bezpečnostných incidentov. Kontrolou bezpečnostných dokumentov a kontrolou ich aplikácie v praxi bolo zistené, že mesto nemalo vypracované pravidlá podľa štandardov: - plány na obnovu činnosti nefunkčných, zničených alebo poškodených IS (havarijné plány) podľa § 31 písm. f) výnosu MF SR, - nepovažovalo za bezpečnostný incident výpadok IS, ani podozrivý obsah na zázname z kamerového systému, ani podozrivá aktivita alebo podozrivá požiadavka osoby k spracúvaným údajom alebo prostriedkom podľa § 37 písm. c), - že nesplnenie bezpečnostných požiadaviek treťou stranou by umožňovalo mestu neukončiť príslušnú etapu projektu alebo neprevziať jej dielo alebo prácu podľa § 43 písm. e) výnosu MF SR. Tým, že kontrolovaný subjekt nemal vypracované pravidlá podľa štandardov pre aktualizáciu softvéru, zálohovanie a fyzické ukladanie záloh, aktualizáciu informačno-komunikačných technológií a nesplnenie bezpečnostných požiadaviek treťou stranou, nekonal v súlade s § 78 ods. 11 zák. o ochrane OÚ, tým, že neaplikoval uvedené ustanovenia výnosu MF SR.
Typ nedostatku: Konanie v rozpore s určeným účelom Porušený predpis: 18/2018 Z.z.

Mesto Nováky

IČO
00318361
Sídlo
Nám.SNP 349/10, 97271 Nováky
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 06.11.2019
Stav kontroly
Ukončená

Zistenia

Preverením štandardov pre riadenie informačnej bezpečnosti bolo zistené, že mesto zodpovednosť za bezpečnosť a obsah každého významného aktíva nepriradilo konkrétnemu vlastníkovi (gestorovi) čo nebolo v súlade s ustanovením § 29 písm. f) výnosu, podľa ktorého štandardom pre riadenie informačnej bezpečnosti je určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou štandardov pre personálnu bezpečnosť bolo zistené, že postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky mesto nemalo upravené čo nebolo v súlade s ustanovením § 30 písm. d) výnosu, podľa ktorého štandardom pre personálnu bezpečnosť je vypracovanie postupu pre disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušia bezpečnostnú politiku povinnej osoby alebo niektorý zo súvisiacich predpisov.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou jednotlivých štandardov manažmentu rizík pre oblasť informačnej bezpečnosti a štandardov pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo zistené, že uvedené štandardy mesto nemalo prijaté. Uvedený konanie mesta nebolo v súlade s ustanovením § 31 písm. d), f) výnosu, podľa ktorých štandardom pre manažment rizík pre oblasť informačnej bezpečnosti je analyzovanie procesov povinnej osoby, ktoré sú podstatné pre plnenie činnosti povinnej osoby z hľadiska ich závislosti na informačných systémoch verejnej správy a určenie procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných informačných systémov verejnej správy - tieto procesy sú kritickými procesmi a vypracovanie plánov na obnovu činnosti nefunkčných, poškodených alebo zničených kritických informačných systémov verejnej správy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou jednotlivých štandardov manažmentu rizík pre oblasť informačnej bezpečnosti a štandardov pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo zistené, že uvedené štandardy mesto nemalo prijaté. Uvedený konanie mesta nebolo v súlade s ustanovením § 32 písm. a) výnosu, podľa ktorého štandardom pre kontrolný mechanizmus riadenia informačnej bezpečnosti je dodržiavanie bezpečnostnej politiky povinnej osoby a zabezpečenie a vykonávanie vnútornej kontroly alebo auditu informačnej bezpečnosti, ktorého periodicita sa určuje v bezpečnostnej politike povinnej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou sieťovej bezpečnosti bolo zistené, že mesto má zabezpečenú ochranu voči prístupu z vonkajšieho prostredia do IS a ochranu vnútorného prostredia formou firewallov, no nevedie evidenciu o všetkých miestach prepojenia sietí, ktoré sú v správe mesta vrátane prepojení s externými sieťami a problematiku sieťovej bezpečnosti nemá upravenú interným predpisom. Uvedený postup mesta nebol v súlade s ustanovením § 34 písm. b) výnosu, podľa ktorého štandardom pre sieťovú bezpečnosť je vedenie evidencie o všetkých miestach prepojenia sietí v správe povinnej osoby vrátane prepojení s externými sieťami, ktorými sú všetky prepojenia, ktoré nemá povinná osoba pod svojou správou.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou fyzickej bezpečnosti a bezpečnosti prostredia bolo zistené, že mesto nemalo vypracované pravidlá pre údržbu, uchovávanie a evidenciu technických komponentov, čo nebolo v súlade s ustanovením § 35 písm. h) bod 1. výnosu, podľa ktorého štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia je vypracovanie, zavedenie a kontrola dodržiavania pravidiel pre údržbu, uchovávanie a evidenciu technických komponentov informačného systému verejnej správy a zariadení informačného systému verejnej správy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou štandardov pre monitorovanie a manažment bezpečnostných incidentov bolo zistené, že mesto nemalo zavedenú evidenciu každého výpadku informačného systému a spôsobu jeho riešenia čo nebolo v súlade s ustanovením § 37 písm. d) výnosu, podľa ktorého štandardom pre monitorovanie a manažment bezpečnostných incidentov je zavedenie evidencie každého výpadku informačného systému verejnej správy a spôsobu jeho riešenia.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou štandardov minimálneho technického zabezpečenia bolo zistené, že mesto nemalo zavedené štandardy pre periodické hodnotenie zraniteľnosti. Uvedený postup mesta nebol v súlade s ustanovením § 38 písm. a) a b) výnosu, podľa ktorého štandardom periodického hodnotenia zraniteľnosti je pravidelné hodnotenie slabých miest a ohrození informačného systému verejnej správy identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne, umožnenie vykonávania neinvazívnych penetračných testov podľa § 22 zákona vo verejne dostupných programových prostriedkoch orgánom vedenia a podľa jeho pokynov na základe ich výsledkov prijímať potrebné opatrenia a informovať orgán vedenia o ich prijatí.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Preverením uvedených dokumentov a s nimi súvisiacich činností (zálohovanie a fyzické ukladanie záloh) bolo zistené, že mesto nevytváralo archivačnú zálohu predpísaným spôsobom. V prípade archivačnej zálohy postup mesta nebol v súlade s ustanovením § 39 písm. b) výnosu, podľa ktorého štandardom pre zálohovanie je vytvorenie archivačnej zálohy v dvoch kópiách.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Preverením uvedených dokumentov a s nimi súvisiacich činností (zálohovanie a fyzické ukladanie záloh) bolo zistené, že mesto nevytváralo archivačnú zálohu predpísaným spôsobom. V prípade archivačnej zálohy postup mesta nebol v súlade s ustanovením § 40 písm. b) výnosu, podľa ktorého štandardom pre fyzické ukladanie záloh je fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte ako sa nachádzajú technické prostriedky informačného systému verejnej správy, ktorého údaje boli archivované, tak aby bolo minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Preverením predloženej dokumentácie bolo zistené, že štandardy pre aktualizáciu informačno-komunikačných technológií mesto nemalo zavedené, čo nebolo v súlade s ustanovením § 42 písm. a) body 1. a 2. výnosu, podľa ktorých štandardom pre aktualizáciu informačno-komunikačných technológií je zavedenie postupov s počiatočným stanovením a zahrnutím bezpečnostných požiadaviek a schvaľovacieho procesu pre zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionality existujúcich informačných systémov verejnej správy alebo ich častí; v prípade automatizovanej on-line aktualizácie sa schvaľovanie zavádza iba, ak si vyžaduje finančné zdroje alebo je aktualizácia príliš rozsiahla, zavádzanie nových informačno-komunikačných technológií u povinnej osoby najmä s ohľadom na zaistenie kompatibility a zachovanie potrebnej úrovne bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo ďalej zistené, že mesto nevykonalo posúdenie vplyvu na ochranu osobných údajov, čím nepostupovalo v súlade s ustanovením článku 35 ods. 1 Nariadenia EU, podľa ktorého ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov.
Typ nedostatku: Odchýlka od súladu
V prípade zodpovednej osoby, ktorá nepodlieha priamo primátorovi mesto nepostupovalo v súlade s ustanovením článku 38 ods. 3 nariadenia, podľa ktorého zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa.
Typ nedostatku: Odchýlka od súladu

Mesto Piešťany

IČO
00612031
Sídlo
Nám. SNP 3, 92145 Piešťany
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

Smernica na ochranu osobných údajov bola aktualizovaná k 01.09.2019, čo nebolo v súlade so zákonom č.18/2018, ktotrý nadobudol účinnosť od 25.05.2018, kedy mala byť táto smernica aktualizovaná.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Mesto Považská Bystrica

IČO
00317667
Sídlo
Centrum 2/3, 01713 Považská Bystrica
Kontrolované obdobie
2016-2019
Termín kontroly
23.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

Pracovný poriadok neobsahoval podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca, čo nebolo v súlade s ustanovením čl. 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Nakladanie s osobitnými kategóriami OÚ pri činnosti BOZP nebolo detailnejšie upravené. Tieto OÚ si vyžadovali zvýšenú ochranu a povinnosť mlčanlivosti podľa čl. 9 ods. 1 GDPR.
Typ nedostatku: Odchýlka od súladu
Pravidlá pre oblasť práv dotknutej osoby – pravidlá, postupy a oznámenia boli z hľadiska obsahu úplné, ale v niektorých prípadoch všeobecné. Vo viacerých prípadoch neobsahovali pravidlá aj podrobnosti ktoré sú uvedené v jednotlivých článkoch GDPR (napr. 14, 17 a 20).
Typ nedostatku: Odchýlka od súladu
Smernice neukladali povinnosť oprávnenej osobe viesť evidenciu v spise, z ktorého spracovávané OÚ pochádzali, že bola vytvorená kópia dokladu obsahujúceho OÚ, ani zákaz ponechávať dokumenty (spisy) odložené v opustenom (resp. uzamknutom) dopravnom prostriedku v súlade s čl. 24 ods. 1 a 2, čl. 25 ods. 1 a 2 GDPR a § 78 ods. 11 nového zákona o ochrane OÚ.
Typ nedostatku: Odchýlka od súladu
Preverením bezpečnostných smerníc bolo zistené, že mesto neurčilo všetky okruhy bezpečnostných zásad pre prácu s pracovnou stanicou, s mobilnými prostriedkami IT, s prenosnými médiami a s internetom, čo nebolo v súlade s ustanoveniami článkov 24 a 25 GDPR a tiež s ustanovením podľa § 78 ods. 11 nového zákona o ochrane OÚ.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Mesto nekonalo v súlade s čl. 24 ods. 1 druhá veta nariadenia EÚ, keď nepreskúmalo a neaktualizovalo Bezpečnostný projekt z roku 2013 v zmysle štandardu pre riadenie informačnej bezpečnosti (§ 29 písm. a výnosu MF SR č. 55/2014 Z. z.).
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nepreukázalo, že malo prijaté vhodné technické a organizačné opatrenia, aby zabezpečilo, že spracúvanie údajov sa vykonávalo v súlade s ustanovením čl. 24 nariadenia EÚ, čo nebolo v súlade s čl. 28 ods. 3 nariadenia EÚ.
Typ nedostatku: Odchýlka od súladu

Mesto Prešov

IČO
00327646
Sídlo
Hlavná 73, 08001 Prešov
Kontrolované obdobie
2016-2019
Termín kontroly
21.07.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Mesto nemalo zavedený postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre manažment rizík pre oblasti informačnej politiky podľa § 31 výnosu MF SR o štandardoch pre IS verejnej správy. Neboli určené kritické procesy, ktoré by mohli prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo zavedené evidenciu každého výpadku IS a spôsobu jeho riešenia.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre periodické hodnotenie zraniteľnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Sabinov

IČO
00327735
Sídlo
Námestie slobody 57, 08301 Sabinov
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Bezpečnostná politika mesta nebola vypracovaná v rozsahu podľa § 29 písm. a) výnosu MF SR o štandardoch pre IS verejnej správy, keď neobsahovala napríklad určenie špecifických zodpovedností a povinností v oblasti informačnej bezpečnosti alebo určenie aktív, ktoré sú pre povinnú osobu kritické, čo ich ohrozuje a zásady ich ochrany.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto neustanovilo konkrétnu osobu zodpovednú za informačnú bezpečnosť-
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo zavedený postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre manažment rizík pre oblasti informačnej politiky podľa § 31 výnosu MF SR o štandardoch pre IS verejnej správy. Neboli určené kritické procesy, ktoré by mohli prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS a vypracované plány na obnovu činnosti nefunkčných, poškodených alebo zničených kritických IS verejnej správy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre periodické hodnotenie zraniteľnosti, čo nebolo v súlade s § 38 výnosu MF SR o štandardoch pre IS verejnej správy, podľa ktorého štandardom pre periodické hodnotenie zraniteľnosti je pravidelné hodnotenie slabých miest a ohrození IS verejnej správy identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre riadenie prístupu podľa § 41 výnosu MF SR o štandardoch pre IS verejnej správy. Mesto neurčilo postup a zodpovednosť pre prideľovanie prístupových práv, nevypracovalo bezpečnostné zásady pre mobilné pripojenie do IS verejnej správy a pre prácu na diaľku a nevypracovalo pravidlá pre administrátorov systému, čo nebolo v súlade s § 41 výnosu MF SR o štandardoch pre IS verejnej správy
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Mesto nemalo vypracovaný dokument podľa štandardu pre aktualizáciu informačno-komunikačných technológií podľa § 42 výnosu MF SR o štandardoch pre IS verejnej správy a dokument podľa štandardu pre účasť tretej strany podľa § 43 výnosu MF SR o štandardoch pre IS verejnej správy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Trenčín

IČO
00312037
Sídlo
Mierové námestie 2, 91164 Trenčín
Kontrolované obdobie
2016-2019
Termín kontroly
18.07.2019 - 05.11.2019
Stav kontroly
Ukončená

Zistenia

Preverením štandardov pre riadenie informačnej bezpečnosti bolo zistené, že mesto zodpovednosť za bezpečnosť a obsah každého významného aktíva nepriradilo konkrétnemu vlastníkovi (gestorovi), čo nebolo v súlade s ustanovením § 29 písm. f) výnosu, podľa ktorého štandardom pre riadenie informačnej bezpečnosti je určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
V prípade archivačnej zálohy postup mesta nebol v súlade s ustanovením § 39 písm. a) a b) výnosu, podľa ktorých štandardom pre zálohovanie je zabezpečenie archivačnej zálohy podľa periodicity určenej v bezpečnostnej politike povinnej osoby, najmenej raz za dva mesiace, ak ide o archivačnú zálohu a vyhotovenie archivačnej zálohy v dvoch kópiách.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
V prípade archivačnej zálohy postup mesta nebol v súlade s ustanovením § 40 písm. a) a b) výnosu, podľa ktorých štandardom pre fyzické ukladanie záloh je ukladanie jednej kópie archivačnej zálohy do uzamykateľného priestoru a druhej kópie archivačnej zálohy ukladanie v inom objekte ako sa nachádzajú technické prostriedky informačného systému verejnej správy, ktorého údaje boli archivované, tak aby bolo minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Preverením predloženej dokumentácie bolo zistené, že štandardy pre aktualizáciu informačno-komunikačných technológií mesto nemalo zavedené, čo nebolo v súlade s ustanovením § 42 písm. a) body 1. a 2. výnosu, podľa ktorých štandardom pre aktualizáciu informačno-komunikačných technológií je zavedenie postupov s počiatočným stanovením a zahrnutím bezpečnostných požiadaviek a schvaľovacieho procesu pre zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionality existujúcich informačných systémov verejnej správy alebo ich častí; v prípade automatizovanej on-line aktualizácie sa schvaľovanie zavádza iba, ak si vyžaduje finančné zdroje alebo je aktualizácia príliš rozsiahla, zavádzanie nových informačno-komunikačných technológií u povinnej osoby najmä s ohľadom na zaistenie kompatibility a zachovanie potrebnej úrovne bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Mesto Trnava

IČO
00313114
Sídlo
Hlavná 1/1, 91771 Trnava
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Mesto Zlaté Moravce

IČO
00308676
Sídlo
1. mája 2, 95301 Zlaté Moravce
Kontrolované obdobie
2016-2019
Termín kontroly
23.07.2019 - 23.10.2019
Stav kontroly
Ukončená

Zistenia

Mesto tým, že nepreskúmalo nové povinnosti, ktoré prinášalo nariadenie GDPR oproti zákonu č. 122/2013 Z. z., nedodržalo § 78 ods. 11 zákona o ochrane OÚ a čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Mesto ako prevádzkovateľ konal nad rámec ustanovenia čl. 6 ods. 1 písm. b) nariadenia GDPR, keďže v prípade výberového konania išlo o tzv. predzmluvný vzťah a na základe žiadosti dotknutej osoby sa vykonávali opatrenia pred uzatvorením zmluvy.
Typ nedostatku: Odchýlka od súladu
Mesto nepostupovalo v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to podľa nedostatkov uvedených v bodoch 2.1.1., 2.1.3 a 2.1.4 tohto protokolu o výsledku kontroly
Typ nedostatku: Odchýlka od súladu
Porušenie čl. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej zrozumiteľnej a ľahko dostupnej forme. Oznámenia mali byť formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami
Typ nedostatku: Odchýlka od súladu
Mesto nekonalo v súlade s čl. 38 ods. 2, podľa ktorého „Prevádzkovateľ ... podporuje zodpovednú osobu pri plnení úloh a to tak, že poskytuje zdroje potrebné na plnenie jej úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí
Typ nedostatku: Odchýlka od súladu
Spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Mesto nemalo ustanovenú osobu za informačnú bezpečnosť v zmysle § 29 písm. c) a d) výnosu o štandardoch IS VS.
Typ nedostatku: Odchýlka od súladu
Mesto tým, že nevykonávalo audit informačnej bezpečnosti, nekonalo v súlade s § 32 písm. a) výnosu o štandardoch IS VS
Typ nedostatku: Odchýlka od súladu
Mesto tým, že nevykonávalo pravidelné hodnotenie slabých miest a ohrození IS VS, nedodržalo ustanovenie § 38 písm. a) výnosu o štandardoch IS VS
Typ nedostatku: Odchýlka od súladu
Mesto neviedlo formalizovanú evidenciu o všetkých miestach prepojenia sietí, čím nedodržalo ustanovenie § 34 písm. b) výnosu o štandardoch IS VS
Typ nedostatku: Odchýlka od súladu
Mesto neviedlo formalizovanú dokumentáciu prístupových práv všetkých používateľov, čím porušilo ustanovenie § 41 písm. j) výnosu o štandardoch IS VS.
Typ nedostatku: Odchýlka od súladu

Mesto Žarnovica

IČO
00321117
Sídlo
Nám. SNP 33, 96681 Žarnovica
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

Zistenie č. 1 Mesto v súvislosti s prevádzkovaním kamerového systému nevykonalo posúdenie vplyvu na ochranu OÚ, čím nepostupovalo v súlade s § 42 ods. 1 zákona o ochrane OÚ, podľa ktorého ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Podľa § 42 ods. 3 citovaného zákona, posúdenie vplyvu na ochranu OÚ sa vyžaduje najmä ak ide o systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Mesto Želiezovce

IČO
00307696
Sídlo
SNP 2, 93701 Želiezovce
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

Mesto nepostupovalo v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby,
Typ nedostatku: Odchýlka od súladu
Mesto neidentifikovalo všetky možné bezpečnostné incidenty (aktívne nevyhľadávalo možnosti vzniku bezpečnostného incidentu) a nezaviedlo povinnosť ich hlásenia podľa ustanovenia § 37 písm. b) bod 1. a 2. výnosu o štandardoch pre IS, nakoľko neukladalo povinnosť pre oprávnenú osobu, aby neposkytovalo informácie o rozmiestnení prostriedkov IT, ich parametroch a zabezpečení proti tretím osobám, nevyvíjať komerčnú, inú zárobkovú činnosť prostredníctvom IT zariadení organizácie.
Typ nedostatku: Odchýlka od súladu
Obec neupravila postup tretej strany pri použití prenosného média s možnosťou zápisu v prostredí informačno-komunikačných systémov obce, nedodržala ustanovenie § 43 písm. c) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu
Obec pri prevádzkovaní kamerového systému nepreverovala sprostredkovateľa, či poskytuje dostatočné záruky na to, že prijme primerané technické a organizačné opatrenia v súlade s nariadením GDPR, nepostupovala v súlade s čl. 28 nariadenia GDPR a neuzatvorila so sprostredkovateľom zmluvu v zmysle § 34 ods. 3 zákona o ochrane OÚ.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Mesto nezabezpečilo v interných normách súlad s čl. 33, ods. 1 GDPR, kedy prevádzkovateľ najneskôr do 72 hodín oznámi porušenie ochrany osobných údajov dozornému orgánu a o nahlásení vyhotoví príslušný písomný záznam.
Typ nedostatku: Odchýlka od súladu
Nezabezpečenie zodpovednej osoby pre oblasť informačnej bezpečnosti, vedie k porušeniu § 29 písm. c) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu
Pracovník porušil ustanovenie §30, výnosu o štandardoch IS - porušenie personálnej bezpečnostnej politiky mesta, zadokumentovaniu bezpečnostného incidentu v interných dokumentoch obce nenastalo.
Typ nedostatku: Odchýlka od súladu
Bezpečnostné štandardy neobsahovali a nešpecifikovali presné ustanovenia pre Informačnú bezpečnosť
Typ nedostatku: Odchýlka od súladu
Mesto neoznámilo určenie ZO dozornému orgánu, čím porušilo čl. 37, ods.7 nariadenia GDRP.
Typ nedostatku: Odchýlka od súladu
Spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu

Ministerstvo práce, sociálnych vecí a rodiny Slovenskej republiky

IČO
00681156
Sídlo
Špitálska 4-6, 81643 Bratislava-Staré Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
11.07.2019 - 29.10.2018
Stav kontroly
Ukončená

Zistenia

MPSVaR SR nevykonalo „Analýzu stavu údajov voči GDPR“ v požadovanom termíne nadobudnutia účinnosti a tým nepostupovalo v zmysle čl. 99 ods. 2 GDPR
Typ nedostatku: Odchýlka od súladu
MPSVaR SR tým, že nezabezpečilo vypracovanie a špecifikáciu jednotlivých úloh v obsahu služobnej zmluvy a v opise štátnozamestnaneckého miesta pre zamestnanca zaradeného na pozíciu ZO ochrany osobných údajov, nekonalo podľa čl. 39 ods. 1 písm. a) až e) GDPR, Usmernenia WP 29 a v zmysle ustanovenia § 6 ods. 3 zákona o štátnej službe.
Typ nedostatku: Odchýlka od súladu
MPSVaR SR tým, že nezabezpečilo vypracovanie a špecifikáciu jednotlivých úloh v obsahu služobnej zmluvy a v opise štátnozamestnaneckého miesta pre zamestnanca zaradeného na pozíciu ZO ochrany osobných údajov, nekonalo podľa čl. 39 ods. 1 písm. a) až e) GDPR, Usmernenia WP 29 a v zmysle ustanovenia § 6 ods. 3 zákona o štátnej službe.
Typ nedostatku: Odchýlka od súladu
MPSVaR SR v súvislosti s ustanovením ZO do funkcie, určením jej postavenia a pôsobnosti v rámci organizácie, nekonalo v súlade s čl. 38 ods. 3 GDPR tým, že ZO nepodlieha priamo najvyššiemu vedeniu prevádzkovateľa.
Typ nedostatku: Odchýlka od súladu
MPSVaR SR tým, že nemalo vypracované a zavedené pravidlá, metodiku a nezdokumentovalo pokyn pre oprávnené osoby pre prípad, kedy dochádzalo k spracúvaniu osobitných kategórií osobných údajov, podľa čl. 9 ods. 1 GDPR, nepostupovalo v súlade s čl. 24 ods. 1 a 2 GDPR.
Typ nedostatku: Odchýlka od súladu
MPSVaR SR neprijalo pravidlá a nevydalo pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 GDPR, ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje FO.
Typ nedostatku: Odchýlka od súladu
MPSVaR SR neprijalo pravidlá a nevydalo pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 GDPR, ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje FO.
Typ nedostatku: Odchýlka od súladu

Ministerstvo spravodlivosti Slovenskej republiky

IČO
00166073
Sídlo
Župné nám. 13, 81311 Bratislava-Staré Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
14.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

MS SR nepostupovalo v súlade s § 81 ods. 7 zákona č. 18/2018 Z. z. a usmernením v bode 20 preambuly k Nariadeniu (EÚ), keď na základe kompetencie ustanovenej zákonom č. 18/2018 Z. z. vykonávať dozor nad spracúvaním osobných údajov na súdoch pri výkone ich súdnej právomoci, včas neprijalo opatrenia, na základe ktorých by bol v SR od 25.05.2018 zavedený účinný kontrolný systém dodržiavania pravidiel ustanovených v Nariadení (EÚ) pri spracúvaní osobných údajov súdmi pri výkone ich súdnej právomoci a v prípade zistených nedostatkov tieto boli bezodkladne odstraňované, keďže výkonom týchto povinností v mene MS SR do 21.08.2019 oficiálne nepoverilo žiadny útvar MS SR ani osobu/osoby a na tento účel nezabezpečilo dostatok personálu s potrebnou kvalifikáciou, skúsenosťami a zručnosťami, a to predovšetkým v oblasti ochrany osobných údajov.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
MS SR nepostupovalo v súlade s čl. 38 ods. 3 Nariadenia (EÚ), keď nezabezpečilo, aby zodpovedná osoba MS SR podliehala priamo najvyššiemu vedeniu prevádzkovateľa (ministrovi, štátnemu tajomníkovi alebo generálnemu tajomníkovi služobného úradu), ale bola organizačne začlenená do odboru informačnej bezpečnosti a priamo riadená a primárne zodpovedná za svoju činnosť riaditeľovi odboru informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu
MS SR nepostupovalo v súlade s § 81 ods. 7 zákona č. 18/2018 Z. z., keď na základe kompetencie ustanovenej zákonom č. 18/2018 Z. z. vykonávať dozor podľa § 90 až 98, nenariadilo od 25.05.2018 vykonávanie kontrol dodržiavania spracúvania osobných údajov a pravidiel ustanovených v Nariadení (EÚ) a zákone č. 18/2018 Z. z. na súdoch pri výkone ich súdnej právomoci v priebehu viac ako jedného roka.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z., 18/2018 Z.z.

Nitriansky samosprávny kraj

IČO
37861298
Sídlo
Rázusova 2A, 94901 Nitra
Kontrolované obdobie
2016-2019
Termín kontroly
31.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

NSK neprijal pravidlá a nevydal pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 nariadenia GDPR, ako nakladať s osobnými údajmi, ktoré boli zaznamenané pri kontrolnej činnosti podľa § 9 ods. 1 písm. b) zákona o BOZP.
Typ nedostatku: Odchýlka od súladu
Bezpečnostný projekt bol účinný až od 15.12.2018 t. j. od 25.05.2018 do 14.12.2018 neboli v NSK precizované viaceré postupy, ktoré mali oprávnené osoby NSK aplikovať v súvislosti s nariadením GDPR, čím došlo k porušeniu ustanovenia § 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú.
Typ nedostatku: Odchýlka od súladu
NSK nepostupoval v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny, podľa ktorých oprávnené osoby prevádzkovateľa by postupovali pri posudzovaní, či a za akých podmienok je možné OÚ spracúvať aj na iný účel, ako na účel, na ktorý boli pôvodne získané.
Typ nedostatku: Odchýlka od súladu
Tým, že NSK v období od 25.05.2018 do 10.01. 2019 na svojom webovom sídle nezverejnil informácie pre dotknuté osoby o ich právach pri spracúvaní OÚ a tým, že po 11.01.2019 neboli zverejnené informácie úplné, nepostupoval v súlade s čl. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme.
Typ nedostatku: Odchýlka od súladu
Kontrolou sprostredkovateľských zmlúv bolo zistené, že sprostredkovatelia určité obdobie spracúvali OÚ bez uzatvorenej sprostredkovateľskej zmluvy, čo nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Babie

IČO
00332241
Sídlo
Babie 9, 09431 Babie
Kontrolované obdobie
2016-2019
Termín kontroly
06.08.2019 - 27.10.2019
Stav kontroly
Ukončená

Zistenia

Starostka obce bola ZO v období od 29.05.2018 do 30.07.2019, čo nebolo v súlade s čl. 37 ods. 5 a ods. 6 Nariadenia GDPR.
Typ nedostatku: Formálna nezrovnalosť
Registratúrny poriadok neobsahoval podrobnosti o postupe pri spracovaní elektronických registratúrnych záznamov a ich ochrane, čím nebol dodržaný súlad s § 16a zákona č. 395/2002 Z. z. a ich ochrane podľa § 24a vyhlášky MV SR č. 628/2002 Z. z
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 628/2002 Z.z.
Obec do času, keď starostka obce bola aj ZO nepreskúmala nové povinnosti, ktoré prinášalo Nariadenie GDPR oproti zákonu č. 122/2013 Z. z. Zároveň nepreskúmala všetky IS, v ktorých spracúvala OÚ, neurčila okruh spracovateľských činností, ktoré mohli viesť k vysokému riziku pre práva a slobody fyzických osôb a nevykonala posúdenie vplyvu na OOÚ. Uvedené skutočnosti neboli v súlade s ustanovením § 24 ods. 1 Nariadenia GDPR
Typ nedostatku: Formálna nezrovnalosť
Kontrolou bolo zistené, že nedošlo k uzatvoreniu dohody podľa čl. 26 ods. 1 Nariadenia GDPR medzi spoločnými prevádzkovateľmi v súvislosti s určením ich zodpovedností za plnenie povinností najmä pokiaľ išlo o vykonávanie práv dotknutej osoby, poskytovať jej informácie uvedené v článkoch 13 a 14 podľa uvedeného nariadenia.
Typ nedostatku: Formálna nezrovnalosť
Obec neuzatvorila s SOÚ Sveržov, ktorý jej zabezpečoval personálnu agendu zmluvu o sprostredkovaní, čo nebolo v súlade s čl. 28 ods. 3 Nariadenia GDPR.
Typ nedostatku: Formálna nezrovnalosť
Kontrolou bolo zistené, že dodávatelia informačných systémov neboli poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich pre tretie osoby podľa ustanovenia § 30 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
V oblasti manažmentu rizík bolo zistené, že obec neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa ustanovenia § 31 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec ako prevádzkovateľ neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v správe obce vrátane prepojení s externými sieťami, čo nebolo v súlade s ustanovením § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec mala definované intervaly pre vykonávanie záloh a ich fyzického ukladania, ale nemala zadefinované oblasti, ktoré povinne podliehali zálohovaniu a tiež nemala vypracovaný dokument podľa štandardu pre zálohovanie, čo nebolo v súlade s § 39 výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov podľa ustanovenia § 41 písm. j) výnosu č. 55/2014 Z. z., čo nebolo v súlade s citovanými ustanoveniami výnosu.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec tým, že nemala vypracovaný prevádzkový dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu č. 55/2014 Z. z. a nemala zavedené postupy ani schvaľovací proces pre zavedenie nových ISVS a IKT, nepostupovala v súlade s vyššie citovaným výnosom.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre účasť tretej strany podľa ustanovenia § 43 výnosu č. 55/2014 Z. z. a ani bližšie špecifikované procesy súvisiace s činnosťou tretej strany v IS obce.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.

Obec Baláže

IČO
00313297
Sídlo
Baláže 10, 97611 Baláže
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

Obec v súvislosti s prevádzkovaním kamerového systému nevykonala posúdenie vplyvu na ochranu OÚ, čím nepostupovala v súlade s § 42 ods. 1 zákona o ochrane OÚ, podľa ktorého ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Podľa § 42 ods. 3 citovaného zákona, posúdenie vplyvu na ochranu OÚ sa vyžaduje najmä ak ide o systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec na svojom webovom sídle neposkytovala relevantné informácie týkajúce sa ochrany OÚ a práv dotknutých osôb, čím si neplnila informačnú povinnosť v rozsahu § 19 a 20 zákona o ochrane OÚ, resp. čl. 13 a 14 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala vypracované pravidlá BOZP, čo nebolo v súlade s § 6 ods. 1 písm. l) zákona o bezpečnosti a ochrane zdravia pri práci, podľa ktorého zamestnávateľ v záujme zaistenia bezpečnosti a ochrany zdravia pri práci je povinný vydávať vnútorné predpisy, pravidlá o bezpečnosti a ochrane zdravia pri práci a dávať pokyny na zaistenie bezpečnosti a ochrany zdravia pri práci.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 124/2006 Z.z.
Obec nepostupovala v súlade s čl. 28 Nariadenia (EÚ), keď sprostredkovateľské zmluvy napr. neustanovovali zoznam alebo rozsah OÚ, podmienky zapojenia ďalšieho sprostredkovateľa, či povinnosť sprostredkovateľa vymazať alebo vrátiť prevádzkovateľovi OÚ po ukončení poskytovania služieb týkajúcich sa spracúvania OÚ na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú OÚ.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
S jedným sprostredkovateľom nemala obec uzatvorenú sprostredkovateľskú zmluvu, čím nepostupovala v súlade s § 34 ods. 3 zákona o ochrane OÚ, podľa ktorého spracúvanie OÚ sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah OÚ, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Belža

IČO
00323951
Sídlo
Belža 0, 04458 Belža
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 07.10.2019
Stav kontroly
Ukončená

Zistenia

Kontrolou bolo zistené, že od 25.05.2018 do 08.10.2019 obec ako prevádzkovateľ a na druhej strane sprostredkovateľ spracúvali osobné údaje na základe sprostredkovateľskej zmluvy, ktorá nebola v súlade s nariadením GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679

Obec Bojničky

IČO
00312274
Sídlo
Bojničky 90, 92055 Bojničky
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

Obec nevypracovala pravidlá, podľa ktorých oprávnené osoby prevádzkovateľa postupovali, ak je právnym základom spracúvanie OÚ súhlas dotknutej osoby, čo nebolo v súlade s čl. 6 ods. 1 písm. a) GDPR, v ktorom sú určené pravidlá pre zákonnosť spracúvania OÚ.
Typ nedostatku: Finančná nezrovnalosť
Obec nemala vypracované pravidlá, podľa ktorých oprávnené osoby rozhodovali o tom, či prenos OÚ do tretích krajín alebo medzinárodným organizáciám bol možný a pri prenosoch vyžadujúcich primerané záruky, čo nebolo v súlade s čl. 6 ods. 1 písm. a) nariadenia GDPR a čl. 46 nariadenia GDPR, v ktorom sú určené pravidlá pre zákonnosť spracúvania OÚ a primerané záruky pre prenos údajov do tretích krajín.
Typ nedostatku: Finančná nezrovnalosť
Kontrolou bolo zistené, že postup pri niektorých pravidlách nebol kontrolovaným subjektom konkrétne upravený, čím obec nepostupovala v súlade s: - čl. 18 ods. 3 nariadenia GDPR, podľa ktorého, kontrolovaný subjekt informuje dotknuté osoby, ktoré dosiahli obmedzenie spracúvania, pred tým, ako bude obmedzenie zrušené, - čl. 24 ods. 1 a ods. 2 nariadenia GDPR, podľa ktorého prevádzkovateľ príjme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením (GDPR).
Typ nedostatku: Odchýlka od súladu
Obec neanalyzovala dopady spracúvania osobných údajov pre práva a slobody fyzických osôb a nevykonala posúdenie vplyvu na ochranu údajov. Tým, že obec nevykonala posúdenie vplyvu spracúvania osobných údajov, obec nekonala v súlade s ustanovením § 35 ods. 1 a 3 písm. a) a c) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
V oblasti manažmentu rizík bolo zistené, že obec neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa ustanovenia § 31 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu MFSR 55/2014 Z. z ani postupy schvaľovacieho procesu pre zmeny existujúcich a zavedenie nových informačných systémom ISVS a IKT, ktorý zahŕňa bezpečnostné požiadavky podľa § 42 výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Bočiar

IČO
00690171
Sídlo
Bočiar 0, 04457 Bočiar
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

V kontrolovanom období mala obec vypracované viaceré pravidlá, podľa ktorých oprávnené osoby prevádzkovateľa postupovali pri operáciách súvisiacich s osobnými údajmi. Bezpečnostná smernica na ochranu osobných údajov č. 1/2014 z 19.10.2015, nebola aktualizovaná od 25.05.2018 v súlade s nariadením GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Kontrolovaný subjekt nemal vypracované pravidlá podľa štandardov pre aktualizáciu softvéru, zálohovanie a fyzické ukladanie záloh, aktualizáciu informačno-komunikačných technológií, účasť tretej strany s výnosom č. 55/2014 Z. z..
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec vo svojich pravidlách nevymedzila pracovné pozície, ktoré by boli nezlučiteľné s výkonom funkcie zodpovednej osoby. Napriek tomu obec pri určení zodpovednej osoby neskúmala, či výkon funkcie zodpovednej osoby nepovedie ku konfliktu záujmov. Kontrolovaný subjekt porušil nariadenia GDPR tým, že určil zodpovednú osobu, ktorá podľa pracovnej zmluvy vykonávala činnosti, ktoré boli nezlučiteľné s výkonom funkcie zodpovednej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679

Obec Bystré

IČO
00332275
Sídlo
Bystré 98, 09434 Bystré
Kontrolované obdobie
2016-2019
Termín kontroly
01.08.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Obec v oblasti zabezpečenia personálnej bezpečnosti vo svojich interných smerniciach nevypracovala postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neurčila kritické procesy, ktoré by mohli prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Dlžín

IČO
00648221
Sídlo
Dlžín 0, 97226 Dlžín
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

Obec v oblasti interných aktov riadenia nemala bližšie špecifikované postupy, ako nakladať s OÚ dotknutých osôb: - pri sprístupňovaní informácií podľa zákona o slobode informácií - pri zverejňovaní zmlúv, objednávok a faktúr - pri predkladaní a uchovávaní majetkových priznaní zamestnancov obce - pri zabezpečovaní bezpečnosti a ochrany zdravia pri práci.
Typ nedostatku: Odchýlka od súladu
Obec nemala uzatvorenú zmluvu so sprostredkovateľom a nepreverovala, či sprostredkovateľ spĺňal všetky podmienky aj podľa nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia nešpecifikovali presné pokyny pre oprávnené osoby, napr. pri uplatňovaní si práva na obmedzenie spracúvania svojich OÚ, pre posudzovanie, či ide alebo nejde o situáciu, že oznámenie je nemožné, resp. si to vyžaduje neprimerané úsilie ako aj podrobnosti o tom, aké vhodné opatrenia zaviedol prevádzkovateľ na zaručenie práv a slobôd oprávnených záujmov dotknutej osoby.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neukladali viaceré povinnosti používateľovi, najmä keď nebol určený postup pri komunikácii so sprostredkovateľom, nebola zabezpečená diskrétnosť pri spracúvaní OÚ pri ich získavaní od inej osoby.
Typ nedostatku: Odchýlka od súladu
Tým, že obec neurčila všetky okruhy bezpečnostných zásad pre prácu s mobilnými prostriedkami IT, s prenosnými média a s internetom, nepostupovala v súlade s ustanoveniami článkov 24 a 25 GDPR a tiež s ustanovením podľa § 78 ods. 11 zákona č.18/2018 Z. z.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Organizácia neaplikovala vypracované pseudonymizačné techniky v žiadnom IS a nemala špecifikované a zavedené pravidlá šifrovacích techník na ochranu OÚ podľa čl. 32 ods. 1 písm. a) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Preverením predložených bezpečnostných dokumentov bolo zistené, že obec nepreskúmala a neaktualizovala bezpečnostné smernice pre riadenie informačnej bezpečnosti v zmysle štandardu pre riadenie informačnej bezpečnosti podľa ustanovenia § 29 písm. a) výnosu MF pre IS, čo nebolo v súlade s čl. 24 ods. 1 druhá veta nariadenia EÚ.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neinformovala ÚOOÚ SR o určení ZO, čím nekonala v súlade s článkom 37 ods. 7 GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nemala so spoločnosťou ktorá pre obec poskytovala služby BOZP a požiarnej ochrany uzatvorenú zmluvu o ochrane OÚ, ktorá by okrem iného riešila podmienky za ktorých je sprostredkovateľ oprávnený zapojiť do spracúvania ďalšieho sprostredkovateľa v zmysle čl. 28 ods. 2 a 4 GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Dolné Otrokovce

IČO
00312428
Sídlo
Dolné Otrokovce 44, 92061 Dolné Otrokovce
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 24.10.2019
Stav kontroly
Ukončená

Zistenia

Kontrolou interného predpisu upravujúceho pravidlá a postup pri zverejňovaní zmlúv, objednávok a faktúr bolo zistené, že tento neobsahuje postupy oprávnených osôb pri zverejňovaní zmlúv, najmä aké údaje fyzických osôb možno zverejniť. Interný predpis upravujúci uchovávanie majetkových priznaní zamestnancov obec vypracovaný nemá ako aj postupy pri poistení zamestnanca vyslaného na pracovnú cestu v zmysle čl. 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec neanalyzovala a nepreskúmala sprostredkovateľské zmluvy a zmluvy s externými subjektami, ktorí mali postavenie sprostredkovateľa, či spĺňajú podmienky podľa nariadenia GDPR v zmysle čl. 28,29 a 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Postupy prenosu osobných údajov do tretích krajín obec v zmysle článku 44 až 46 nariadenia GDPR stanovené nemala.
Typ nedostatku: Odchýlka od súladu
Kontrolou spracúvania osobných údajov na základe súhlasu dotknutej osoby bolo zistené, že tento nebol v období po 25.5.2018 poskytovaný v zmysle § 5 písm. a) a § 14 zákona č. 18/2018 Z. z. Obec Dolné Otrokovce využívala vzory Súhlasov so spracovaním osobných údajov na základe už neplatného zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z., 18/2018 Z.z.
V rámci transparentnosti poskytovaných informácií dotknutým osobám NKÚ SR zistil, že obec na svojom webovom sídle neinformuje dotknuté osoby o ich práve na prístup k osobným údajom, na opravu osobných údajov, na výmaz, obmedzení spracúvania osobných údajov, prenosnosti osobných údajov, práve namietať proti spracúvaniu, práve udelený súhlas odvolať, lehotách na vybavenie, práve dotknutej osoby podať sťažnosť dozornému orgánu, IS v ktorých spracúva osobné údaje v zmysle čl. 12 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec neviedla evidenciu o jednotlivých oprávnených osobách, do ktorých IS majú prístup ako aj ich oprávnení. v zmysle čl. 32 ods. 4 Nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
V prípade zmeny prístupových práv v IS obec opätovné poučenie nevykonáva a nemá ho stanovený v internom predpise v zmysle čl. 24 ods.1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že požiadavka na zložitosť hesla pri identifikácii a autentizácii neobsahuje minimálne osem znakov. Podľa interných predpisov je to iba šesť znakov, čím je ohrozená ochrana práv a slobôd fyzických osôb pri spracúvaní osobných údajov podľa pravidiel GDPR. Smernice taktiež neupravujú povinnosť používateľovi prenášať mobilné prostriedky IT v ochranných obaloch určených na tento účel a nezakazuje mobilné prostriedky IT pripájať do verejných dátových sietí vo voľne prístupných kaviarňach, letiskách, nákupných centrách a dopravných prostriedkoch v zmysle čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že obec nevykonala posúdenie vplyvu na ochranu OÚ v rámci IS, ktoré prevádzkuje v zmysle čl. 35 Nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Bezpečnostná dokumentácia obce nespĺňala štandardy pre riadenie informačnej bezpečnosti v zmysle § 29 písm. c) d), § 31 písm. f), a § 32 písm. a) výnosu č. 55/2014 Z .z.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 55/2014 Z.z., 55/2014 Z.z., 55/2014 Z.z.
Kontrolou bolo zistené, že obec nezverejnila informácie o zodpovednej osobe v zmysle článku 37 ods. 7. nariadenia GDPR. Nepreverila odborné kvality v oblasti práva a OOÚ v zmysle čl. 37 ods. 5 nariadenia GDPR. V súvislosti so spracovaním a ochranou osobných údajov zodpovedná osoba nepredložila vedeniu obce žiadne návrhy, odporúčania, rady ani konzultácie podľa článku 39 ods.1 písm. a) b) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že v pozícii sprostredkovateľa bolo niekoľko dodávateľov. Obec však nepreverovala, či poskytujú dostatočné záruky na to, že príjmu primerané technické a organizačné opatrenia v súlade s GDPR podľa čl. 28 ods. 1 nariadenia GDPR ako aj, či sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov v zmysle čl. 28 ods.10 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Gbeľany

IČO
00321273
Sídlo
Urbárska 366/3, 01302 Gbeľany
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 07.10.2019
Stav kontroly
Ukončená

Zistenia

V Bezpečnostnej dokumentácií - časť IT smernica boli zadefinované úlohy pre správcu siete. Táto funkcia v kontrolovanom období nebola zriadená a obsadená. Uvedené nebolo v súlade s ustanovením čl.24 ods. 1 Nariadenia (EÚ), podľa ktorého prevádzkovateľ prijme vhodné technické a organizačné opatrenia s ohľadom na povahu, rozsah, kontext a účely spracúvania
Typ nedostatku: Odchýlka od súladu
Pravidlá a postup pri zverejňovaní zmlúv, objednávok a faktúr mala obec vypracované v internom predpise „Zásady poskytovania informácií“. Tento predpis neobsahoval podrobnosti o tom, ako postupovať pri sprístupňovaní osobných údajov fyzických osôb.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia (Bezpečnostný projekt a Bezpečnostná dokumentácia) neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Odchýlka od súladu
Obec ako prevádzkovateľ konala nad rámec ustanovenia čl. 6 ods. 1 písm. b) Nariadenia (EÚ),keď vyhlásila výberové konanie, v rámci ktorého podmienila účasť vo výberovom konaní predložením písomného súhlasu uchádzača so spracúvaním osobných údajov na účely výberového konania.
Typ nedostatku: Odchýlka od súladu
Nebol uplatnený správny základ spracúvania osobných údajov. Uzatvorenie zmluvy bolo podmienené poskytnutím súhlasu dotknutej osoby, a to napriek tomu, že sa jednalo o zmluvný základ spracúvania osobných údajov podľa čl. 6 ods. 1 písm. b) Nariadenia (EÚ) – spracúvanie bolo nevyhnutné na plnenie zmluvy.
Typ nedostatku: Odchýlka od súladu
Porušenie čl. 7 bod. 3 Nariadenia (EÚ), podľa ktorého odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Obec zaviazala dotknutú osobu, že odvolanie súhlasu je možné len písomnou formou na adresu obce, aj keď zmluva bola uzatvorená osobne.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to nebola špecifikovaná metodika tzv. balančného testu, resp. miera posúdenia.
Typ nedostatku: Odchýlka od súladu
Interný akt riadenia neurčoval podrobnosti, aké informácie má oprávnená osoba poskytnúť dotknutej osobe, ak išlo o rozhodnutie založené výlučne na automatizovanom spracúvaní. Nebola upravená metodika, akým spôsobom oprávnená osoba rozhodne/posúdi, či poskytnutie kópie s osobnými údajmi dotknutej osobe nebude mať nepriaznivé dôsledky na práva a slobody iných osôb. Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby
Typ nedostatku: Odchýlka od súladu
Obec pred spracúvaním osobných údajov vo forme kamerového záznamu nevykonala tzv. balančný test. Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Odchýlka od súladu
Obec nemala v bezpečnostnej dokumentácií zadefinované kritéria v zmysle čl. 33 ods. 1 a čl. 34 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec formálne prijala technické a organizačné opatrenia, ale nepreukázala aplikovanie niektorých z nich v prax napr. administrátor systému. Opatrenia neboli prijaté vhodne, čo nebolo v súlade s ustanovením čl. 24 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Spracúvanie osobných údajov bez uzatvorenej sprostredkovateľskej zmluvy bolo v nesúlade s ustanovením čl. 28 bod 3 Nariadenia (EÚ
Typ nedostatku: Odchýlka od súladu
Obec nepreverovala, či sprostredkovatelia poskytovali dostatočné záruky, že príjmu primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ).
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nepreskúmal podľa čl. 28 ods. 10 Nariadenia (EÚ) uzatvorené sprostredkovateľské zmluvy a neposúdil, či deklarovaný sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov, a teda či sa v súvislosti s daným spracúvaním nemal považovať za prevádzkovateľa.
Typ nedostatku: Odchýlka od súladu
Zmluva o zabezpečení činností zodpovednej osoby bola zverejnená iba ako naskenovaný obrázok, čo nebolo v súlade s ustanovením § 18 písm. d) výnosu č. 55/2014 Z. z. (Ďalej, v predmetnej zmluve boli určené tri ZO ale na webovom sídle boli uvedené štyri ZO).
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi a neustanovila osobu zodpovednú za informačnú bezpečnosť, čím nedodržala ustanovenie § 29 písm. c) a f) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neurčila kritické procesy, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS, čím nedodržala ustanovenie § 31 písm. d) výnosu 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie § 32 písm. a) výnosu č. 55/2014 Z. z., keď nevedela deklarovať zloženie krízového štábu (uvedený v bezpečnostnej dokumentácií) ani jeho právomoci. Tiež obec nevykonala vnútornu kontrolu (audit) informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec porušila ustanovenie § 41 písm. f) výnosu č. 55/2014 Z. z., že nemala vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na ďiaľku.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Geča

IČO
00690236
Sídlo
Geča 382, 04410 Geča
Kontrolované obdobie
2016-2019
Termín kontroly
25.07.2019 - 30.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nemala v bezpečnostnej dokumentácii upravený prenos osobných údajov do tretích krajín, alebo medzinárodným organizáciám, ako to upravuje Nariadenie EÚ GDPR v čl. 44 až čl. 46.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ vydal pravidlá pre oprávnené osoby, ktoré upravovali postup v prípade, keď si dotknutá osoba uplatní právo na prístup k svojim osobným údajom, právo na opravu a vymazanie, právo na obmedzenie spracúvania svojich osobných údajov, právo na odvolanie súhlasu. Pravidlá neobsahovali podrobnosti, aké zmysluplné informácie má oprávnená osoba poskytnúť dotknutej osobe, ak ide o rozhodnutie založené výlučne na automatizovanom spracúvaní podľa čl. 15 ods. 1 písm. h) Nariadenia EÚ GDPR a neobsahujú ani pravidlá a podrobnosti o poskytovaní dostupných informácií o zdroji podľa čl. 15 ods. 1 písm. g) Nariadenia EÚ GDPR, z ktorého prevádzkovateľ osobné údaje získal, ak ich nezískal priamo od dotknutej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ na svojom webovom sídle neinformoval o lehote, v ktorej bude žiadosť dotknutej osoby o uplatnenie práva vybavená a ani za akých okolností môže byť lehota na vybavenie žiadosti predĺžená a tiež, že o predĺžení lehoty je prevádzkovateľ povinný dotknutú osobu informovať, čím nepostupoval v súlade s čl. 12 ods. 1 až 3 Nariadenia EÚ GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ na svojom webovom sídle neinformoval o tom, za akých okolností môže prevádzkovateľ odmietnuť konať na základe žiadosti (o uplatnenie práva) dotknutej osoby, čím nepostupoval v súlade s čl. 12 ods. 1, 2 a 5 Nariadenia EÚ GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ na svojom webovom sídle neinformoval o tom, v akých IS osobné údaje spracúva, na akom právnom základe a na aký účel, čo bolo v rozpore s čl. 12 ods. 1 a ods. 2 a čl. 13 ods. 1 písm. c) Nariadenia EÚ GDPR
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 2016/679, 2016/679
Bezpečnostná smernica upravovala požiadavku na zložitosť hesla a zmenu hesla pri prvom prihlásení, alebo pri vyzradení hesla, ale neupravovala povinnosť zmeniť heslo na výzvu IS aspoň raz za 90 dní.
Typ nedostatku: Formálna nezrovnalosť
Bezpečnostná smernica neobsahovala podmienku, že pracovná stanica pridelená používateľovi nesmie zároveň slúžiť ako server pre iných používateľov, čo nebolo v súlade s čl. 24 ods. 1 a 2 Nariadenia EÚ GDPR, s čl. 25 ods. 1 a 2 Nariadenia EÚ GDPR, § 78 ods. 11 zákona č. 18/2018 Z. z. - aplikácia štandardov na procesy spracúvania a ochrany osobných údajov
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z., 2016/679, 2016/679
Obec mala vypracované, platné a účinne bezpečnostné dokumenty: Bezpečnostné opatrenia-Implementácia bezpečnostnej politiky, Bezpečnostnú smernicu, Bezpečnostnú smernicu informačnej bezpečnosti a Bezpečnostnú politiku obce Geča – Smernica. Ani jedna z vymenovaných smerníc, neukladala oprávneným osobám povinnosť overiť po zadaní webovej adresy a pred vložením osobných údajov do prostredia webovej stránky, či elektronická adresa (e-mailová adresa), na ktorú sa správa posiela, skutočne patrí osobe (osobám), ktorým je správa určená. Neukladala ani vykonať kontrolu presmerovania, tzn. či skutočne dochádza k presmerovaniu na požadovanú cieľovú webovú stránku.
Typ nedostatku: Formálna nezrovnalosť
Dokument Bezpečnostná politika obce Geča neobsahoval vymedzenie dokumentov, ktoré by mala obec vypracovať na zaistenie informačnej bezpečnosti ako to ukladal § 29 písm. a) bod 13 výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec neviedla evidenciu o miestach prepojenia sietí, ktoré sú v správe obce ani prepojenia s externými sieťami, ako to ukladal § 34 písm. b) výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala zabezpečenú ochranu IS pred výpadkom elektrickej energie, ako je ustanovené v § 35 písm. e) výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec neviedla evidenciu každého výpadku informačného systému a spôsobu jeho riešenia, ako to ukladal § 37 písm. d) výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala zmluvne zabezpečené, že nesplnenie bezpečnostných požiadaviek treťou stranou by obec oprávňovalo neukončiť príslušnú etapu projektu alebo neprevziať jej dielo alebo prácu, čím nezabezpečila štandard pre účasť tretích strán podľa § 43 písm. e) výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Zodpovedná osoba nevykazovala svoju činnosť a nepredkladala štatutárovi obce žiadne výkazy o svojej činnosti.
Typ nedostatku: Formálna nezrovnalosť

Obec Hermanovce nad Topľou

IČO
00332402
Sídlo
Hermanovce nad Topľou 195, 09434 Hermanovce nad Topľou
Kontrolované obdobie
2016-2019
Termín kontroly
06.08.2019 - 27.10.2019
Stav kontroly
Ukončená

Zistenia

Registratúrny poriadok bol aktualizovaný k 01.07.2019 a obsahoval postup pri spracovaní elektronických registratúrnych záznamov avšak neobsahoval informácie o ich ochrane podľa § 24a vyhlášky MV SR č. 628/2002 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 628/2002 Z.z.
Obec do októbra 2019 nemala vydaný organizačný poriadok, pracovný poriadok a poriadok odmeňovania. Podľa § 13 ods. 4 písm. d) zákona č. 369/1990 Zb. o obecnom zriadení v znení neskorších predpisov starosta obce vydáva pracovný poriadok, organizačný poriadok obecného úradu a poriadok odmeňovania zamestnancov obce.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 369/1990 Zb.
Kontrolou bolo zistené, že nedošlo k uzatvoreniu dohody podľa čl. 26 ods. 1 nariadenia GDPR medzi spoločnými prevádzkovateľmi v súvislosti s určením svojich zodpovedností za plnenie povinností najmä pokiaľ išlo o vykonávanie práv dotknutej osoby, poskytovať jej informácie uvedené v článkoch 13 a 14 podľa uvedeného nariadenia.
Typ nedostatku: Formálna nezrovnalosť
Nezabezpečením poučenia o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich pre tretie osoby kontrolovaný subjekt nepostupoval v súlade s ustanovením § 30 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
V oblasti manažmentu rizík bolo zistené, že obec neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa ustanovenia § 31 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec ako prevádzkovateľ neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v správe obce vrátane prepojení s externými sieťami, čo nebolo v súlade s ustanovením § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec mala definované intervaly pre vykonávanie záloh a ich fyzického ukladania, ale nemala zadefinované oblasti, ktoré povinne podliehali zálohovaniu a tiež nemala vypracovaný dokument podľa štandardu pre zálohovanie, čo nebolo v súlade s § 39 výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov podľa ustanovenia § 41 písm. j) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec tým, že nemala vypracovaný prevádzkový dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu č. 55/2014 Z. z. a nemala zavedené postupy ani schvaľovací proces pre zavedenie nových ISVS a IKT, nepostupovala v súlade s vyššie citovaným výnosom.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre účasť tretej strany podľa ustanovenia § 43 výnosu č. 55/2014 Z. z. a ani bližšie špecifikované procesy súvisiace s činnosťou tretej strany v IS obce.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.

Obec Hronovce

IČO
00307041
Sídlo
Levická cesta 3, 93561 Hronovce
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 23.10.2019
Stav kontroly
Ukončená

Zistenia

Obec od 25.05.2018 neaplikovala v praxi platné právne predpisy v oblasti ochrany OÚ a to nariadenie GDPR a zákon o ochrane OÚ, ale stále postupovala v zmysle už zrušeného zákona č. 122/2013 Z. z. a zákona č. 84/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nepreskúmala nové povinnosti, ktoré prinášalo nariadenie GDPR oproti zákonu č. 122/2013 Z. z., nedodržala ustanovenie čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nepreskúmala všetky IS, v ktorých spracúvala osobné údaje, neurčila okruh spracovateľských činností, ktoré mohli viesť k vysokému riziku pre práva a slobody fyzických osôb a nevykonala posúdenie vplyvu na ochranu, nedodržala ustanovenie čl. 28 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nepostupovala v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 nariadenia GDPR, keď nevypracovala pravidlá a nezdokumentovala pokyny pre oprávnené osoby
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že v interných aktoch riadenia nešpecifikovala presné pokyny pre oprávnené osoby, nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nevykonala posúdenie vplyvu kamerového systému, obec nekonala v súlade s ustanovením čl. 35 ods. 3 písm. c) nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Nakoľko obec nedostatočne posúdila, či plnenie iných úloh nepovedie ku konfliktu záujmov a nedostatočne podporoval ZO pri plnení úloh uvedených v čl. 39 nariadenia GDPR, nepostupovala v súlade s čl. 38 ods. 2 a 6 GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi (gestorovi) a nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť, nedodržala ustanovenie § 29 písm. c) a f) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Keďže obec nevykonávala pravidelnú kontrolu informačnej bezpečnosti, nedodržala ustanovenie § 31 písm. d) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Jalšové

IČO
00312592
Sídlo
Jalšové 148, 92231 Jalšové
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

Interný predpis upravujúci postup uchovávania majetkových priznaní zamestnancov, ako aj postupy pri poistení zamestnanca vyslaného na pracovnú cestu, obec v zmysle čl. 32 nariadenia GDPR nemala vypracované.
Typ nedostatku: Odchýlka od súladu
Kontrolou dokumentácie BOZP bolo zistené, že táto neobsahovala postup pri nakladaní s osobnými údajmi, ktoré by boli zaznamenané pri kontrolnej činnosti v zmysle čl. 9 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že obec v rámci implementácie opatrení nepreskúmala zmluvy v súvislosti s pozíciou sprostredkovateľa. Neanalyzovala podmienky podľa GDPR a neidentifikovala opatrenia, ktoré bolo potrebné vykonať v súvislosti s GDPR v zmysle. čl. 28, 29 a 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že bezpečnostná dokumentácia v rámci práv dotknutej osoby neobsahovala podrobnosti, ak ide o spracúvanie nevyhnutné na účely oprávnených záujmov, či a akým spôsobom prevádzkovateľ informuje dotknuté osoby o oprávnenom záujme, ktorý sleduje prevádzkovateľ alebo tretia strana v zmysle čl. 13 ods. 1 písm. d) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
V súvislosti s uplatňovaním práv dotknutej osoby bolo kontrolou NKÚ SR zistené, že pravidlá neobsahovali podrobnosti aké zmysluplné informácie má oprávnená osoba poskytnúť dotknutej osobe ak ide o rozhodnutie založené výlučne na automatizovanom spracúvaní čl. 15 ods. 1 písm. h) nariadenia GDPR, o poskytovaní dostupných informácií o zdroji, z ktorého prevádzkovateľ OÚ získal, ak ich nezískal priamo od dotknutej osoby čl .15 ods.1 písm. g) nariadenia GDPR, o výmaze, ak dotknutá osoba namieta nezákonnosť spracúvania jej osobných údajov čl. 17 ods. 1 písm. d) nariadenia GDPR, o postupe oprávnenej osoby pre prípad, že dotknutá osoba požaduje od prevádzkovateľa informáciu o príjemcoch, ktorým údaje poskytol, o postupe ako má oprávnená osoba posúdiť, či prenos údajov nemá nepriaznivé dôsledky na práva a slobody iných osôb, podmienku, že odpoveď zaslaná listovou zásielkou môže byť len vo forme doporučenej zásielky s poznámkou „do vlastných rúk, aby nemohlo dôjsť k doručeniu informácií osobe, ktorej sa netýkajú.
Typ nedostatku: Odchýlka od súladu
Obec nemá interný predpis, ktorý by upravoval oblasť upratovania priestorov vzhľadom na ochranu OÚ v zmysle § 79 ods. 2 zákona č. 18/2018 Z.z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Kontrolou základných pravidiel a pokynov pre oprávnené osoby bolo zistené, že neobsahovali povinnosť poučiť dotknutú osobu o jej právach a získať údaje, ktoré sú nevyhnuté na dosiahnutie účelu v zmysle čl. 13 nariadenia GDPR, ako aj povinnosť postupovať pri komunikácii so sprostredkovateľom len v rozsahu zmluvne dohodnutých podmienok.
Typ nedostatku: Odchýlka od súladu
Požiadavka na zložitosť hesla, nebola stanovená minimálnou početnosťou znakov v zmysle čl. 25 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Pravidlá a pokyny pre oprávnené osoby pri práci s mobilnými prostriedkami IT má obec upravené v IT Smernici, pričom bolo zistené, že táto neukladala povinnosť používateľa prenášať mobilné prostriedky IT mimo organizáciu v ochrannom obale, priebežne vykonávať zálohovanie informácií uložených v mobil. prostriedku IT na prenosné médium z dôvodu možného zlyhania systému a nezakazovala používateľovi pripájanie do nebezpečných verejných dátových sietí v zmysle čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
V rámci kontroly pokynov pre oprávnené osoby pri práci s mobilnými médiami bolo zistené, že bezpečnostná dokumentácia neukladala používateľovi povinnosť zabezpečiť, aby pri uskladnení prenosných médií nedošlo k ich poškodeniu (prachom, vlhkosťou, teplotou, pôsobením silného magnetického poľa) a nezakazovala používať prenosné médium, ktoré javí známky poruchy, alebo upozorňuje, že treba médium skontrolovať v zmysle čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Pravidlá a pokyny pre prácu s internetom a elektronickou poštou má obec upravené v IT Smernici. Kontrolou bolo zistené, že smernica neukladala používateľovi povinnosť overiť, či elektronická adresa, na ktorú sa správa posiela, skutočne patrí osobe ktorej je určená ,zasielať elektronickou poštou osobné údaje len vtedy, ak je to nevyhnuté a ich prenos je zabezpečený šifrovaním. Uvedená smernica nezakazovala používateľovi posielať v prílohe správy s príponou exe, com, bat ako aj používať počtové konto obce na súkromné účely v zmysle čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nemala spracované pravidlá, podľa ktorých by oprávnené osoby postupovali pri posudzovaní vplyvu na OÚ v zmysle čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nemá vypracované pravidlá na zavedenie šifrovacích a pseudonymizačných techník na ochranu OÚ v zmysle čl. 32 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Bezpečnostná dokumentácia obce nespĺňala štandardy pre riadenie informačnej bezpečnosti v zmysle § 29 písm. c) d), § 31 písm. f), a § 32 písm. a) výnosu č. 55/2014 Z .z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že v pozícii sprostredkovateľa bolo niekoľko dodávateľov. Obec však nepreverovala, či poskytujú dostatočné záruky na to, že príjmu primerané technické a organizačné opatrenia v súlade s GDPR podľa čl. 28 ods. 1 nariadenia GDPR ako aj, či sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov v zmysle čl. 28 ods.10 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Kotrčiná Lúčka

IČO
00321397
Sídlo
Kotrčiná Lúčka 0, 01302 Kotrčiná Lúčka
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nekonala v súlade s čl. 24 ods. 1 a 2, čl. 25 , 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018, keď nevykonala analýzu stavu údajov do 25.05.2018.
Typ nedostatku: Formálna nezrovnalosť
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2, čl. 35 Nariadenia (EÚ) a nevzal do úvahy zásady uvedené v bodoch 84 a 90 Memoranda Nariadenia (EÚ), keď nemal vypracované postupy, podľa ktorých by oprávnené osoby vedeli, ako majú postupovať pri posúdení vplyvu na ochranu osobných údajov.
Typ nedostatku: Formálna nezrovnalosť
Obec v súvislosti s ustanovením zodpovednej osoby do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie nekonala v súlade s čl. 24 ods. 1 a 2, čl. 37, čl. 38 Nariadenia (EÚ), keď neurčila a nezabezpečila, aby zodpovedná osoba riadnym spôsobom a včas bola zapojená o všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.
Typ nedostatku: Formálna nezrovnalosť
Spracúvanie osobných údajov bez uzatvorenej sprostredkovateľskej zmluvy bolo nesúlade s ustanovením čl. 28 bod 3 Nariadenia (EÚ).
Typ nedostatku: Formálna nezrovnalosť
Obec nepreverovala, či sprostredkovateľ poskytoval dostatočné záruky, že príjme primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ). Obec sa spoliehala len na vyhlásenie sprostredkovateľa, že spĺňajú príslušné požiadavky podľa Nariadenia (EÚ).
Typ nedostatku: Formálna nezrovnalosť
Obec nekonala v súlade s § 29 výnosu MF SR, keď nevypracovala a neschválila bezpečnostnú politiku.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 30 písm. a) a c) výnosu MF SR, keď nezabezpečil pre všetkých zamestnancov a osoby, ktoré vykonávajú činnosti pre obec (povinnú osobu) vyplývajúce zo zmluvných záväzkov poučenie o schválenej bezpečnostnej politike obce a nezabezpečil, aby povinnosti vyplývajúce z bezpečnostnej politiky obce a z pracovného zaradenia zamestnanca boli uvedené v jeho pracovnej zmluve alebo inom dokumente týkajúcom sa jeho právneho vzťahu s obcou.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 31 písm. d) a f) výnosu MFSR, keď nemal upravené pravidlá pre manažment rizík pre oblasť informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 32 písm. a) výnosu MFSR, keď nevykonával vnútornú kontrolu alebo audit informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 38 výnosu MF SR, keď nevykonával periodické hodnotenie zraniteľnosti a nemal vypracovaný dokument podľa štandardu periodické hodnotenie zraniteľnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 41 písm. f) výnosu MF SR keď nemal vypracované bezpečnostné zásady pre mobilné pripojenie do ISVS a pre prácu na diaľku.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 42 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre aktualizáciu IKT podľa § 42 písm. a) výnosu MF SR a nemal zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových ISVS a IKT.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 43 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre účasť tretej strany podľa § 43 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Krasňany

IČO
00321401
Sídlo
Krasňany 0, 01303 Krasňany
Kontrolované obdobie
2016-2019
Termín kontroly
02.06.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

Registratúrny poriadok neobsahoval podrobnosti o postupe pri spracovaní elektronických registratúrnych záznamov a ich ochrane, čím došlo k porušeniu ustanovenia § 16a zákona č. 395/2002 Z. z. a ich ochrane podľa ustanovenia § 24a vyhlášky 628/2002 Z. z
Typ nedostatku: Odchýlka od súladu Porušený predpis: 395/2002 Z.z.
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to podľa zistení uvedených v tomto bode protokolu o výsledku kontroly
Typ nedostatku: Odchýlka od súladu
Obec nepreskúmala všetky IS, v ktorých spracúvala osobné údaje, neurčila okruh spracovateľských činností, ktoré môžu viesť k vysokému riziku pre práva a slobody fyzických osôb a nevykonala posúdenie vplyvu na ochranu OÚ. Uvedené nebolo v súlade s ustanovením s čl. 35 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nevykonala preskúmanie všetkých zmlúv so sprostredkovateľmi a nepreverovala, či sprostredkovateľ spĺňal všetky podmienky aj podľa nariadenia GDPR..Taktiež nebola vykonaná revízia, resp. preskúmanie zmlúv s externými subjektmi, ktoré nemali štatút sprostredkovateľa z dôvodu zisťovania, či tieto externé subjekty neprichádzajú do styku s OÚ.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to podľa zistení uvedených v tomto bode protokolu o výsledku kontroly
Typ nedostatku: Odchýlka od súladu
Obec nedodržala ustanovenie § 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú.
Typ nedostatku: Odchýlka od súladu
Porušenie ustanovenia § čl. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme. Oznámenia mali byť formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to podľa zistení uvedených v tomto bode protokolu o výsledku kontroly
Typ nedostatku: Odchýlka od súladu
Tým, že obec nevykonala opätovné poučenie oprávnených osôb, v tomto prípade najmä pri zmene legislatívy k 25.05.2018 a v súvislosti s prijatím nových pravidiel spracúvania OÚ, nekonala v súlade s čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nekonala v súlade s čl. 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú
Typ nedostatku: Odchýlka od súladu
Obec nekonala v súlade s čl. 4 bod 5 Smernice o používaní kamerového systému č. 1/2018, keď nezabezpečila poučenie o mlčanlivosti fyzických osôb – zamestnancov dodávateľa, ktoré prichádzali do kontaktu s kamerovým systémom.
Typ nedostatku: Odchýlka od súladu
Tým, že obec nevykonala posúdenie vplyvu, nepostupovala v súlade s ustanovením § 35 ods. 1 a 3 písm. a) a c) nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nezabezpečovala poučenie o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich pre tretie osoby podľa ustanovenia § 30 písm. a) výnosu č. 55/2014 Z. z. V kontrolovanom období zamestnanci tretích strán (DEUS, dodávateľ kamerového systému) fyzicky pristupovali k informačným aktívam obce bez primeraného poučenia
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Podľa Bezpečnostného projektu mala byť aspoň každé tri mesiace vykonaná kontrola a podľa Bezpečnostnej smernice na ochranu osobných údajov mal byť v každom roku vypracovaný plán kontrol informačnej bezpečnosti. Plán kontrol nebol vypracovaný a kontroly neboli vykonávané. Uvedeným došlo k porušeniu ustanovenia § 32 písm. a) výnosu č. 55/2014
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nevykonávala pravidelné hodnotenie slabých miest a ohrození informačných systémov identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne. Uvedeným došlo k porušeniu ustanovenia § 38 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Formalizovaná evidencia o všetkých miestach prepojenia sietí, ktoré boli v správe obce vrátane prepojení s externými sieťami nebola spracovaná. Uvedeným došlo k porušeniu ustanovenia § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že niektoré komponenty IS „kamerový systém“ sa nachádzali v priestore, v ktorom boli horľavé materiály a ktoré by mohli ohroziť IS umiestnený v tomto zabezpečenom priestore. Uvedeným došlo k porušeniu ustanovenia § 35 písm. c) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Zásady v oblasti zálohovania neboli aktuálne ani aktualizované. Zmenu v režime správy IT a IS možno považovať za mimoriadny dôvod revízie bezpečnostnej politiky. K jej revízii nedošlo. Uvedeným došlo k porušeniu ustanovenia § 29 písm. a) bod 14. výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
V prípade administrátorov bolo formálne zadefinované, že mali prístup len k údajom, ktoré nevyhnutne potrebovali na vykonávanie pridelených úloh. Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov. Uvedeným došlo k porušeniu ustanovenia § 41 písm. j) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nepreverovala, či ZO pri ustanovení do funkcie mala dostatočné odborné kvality a znalosti v oblasti práva a postupov ochrany OÚ a informačnej bezpečnosti podľa požiadaviek nariadenia GDPR. ZO bola určená z radov zamestnancov s prihliadnutím na obmedzené rozpočtové zdroje obce. ZO mala prístup k osobným údajov iba v rámci nej vykonávaných agend.
Typ nedostatku: Odchýlka od súladu
V roku 2018 ani v roku 2019 zostavený nebol plán kontrol a ZO nevykonala žiadnu kontrolu podľa čl. 12 Bezpečnostnej smernice na ochranu osobných údajov z 19.12.2018.
Typ nedostatku: Odchýlka od súladu
Obec porušila čl. 37 ods. 5 nariadenia GDPR, keď neurčila ZO na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti OÚ.
Typ nedostatku: Odchýlka od súladu
Porušenie čl. 37 ods. 7 nariadenia GDPR, keď obec nezverejnia kontaktné údaje ZO.
Typ nedostatku: Odchýlka od súladu
Obec porušila čl. 38 ods. 2 nariadenia GDPR tým, že obec neposkytla ZO zdroje potrebné na plnenie úloh a prístup k OÚ.
Typ nedostatku: Odchýlka od súladu
Od 25.05.2018 do 22.11.2018 obec ako prevádzkovateľ a na druhej strane sprostredkovateľ spracúvali OÚ na základe sprostredkovateľskej zmluvy, ktorej obsahové náležitosti neboli v súlade s čl. 28 ods. 3 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nepreverovala záruky a opatrenia prijaté sprostredkovateľmi, resp. na takúto činnosť a posúdenie neexistovali adekvátne personálne kapacity a teda ani žiadne relevantné záznamy. Obec nepreskúmala uzatvorené sprostredkovateľské zmluvy a neposúdila, či deklarovaný sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov, a teda či sa v súvislosti s daným spracúvaním nemal považovať za prevádzkovateľa
Typ nedostatku: Odchýlka od súladu

Obec Liešťany

IČO
00318230
Sídlo
Liešťany 0, 97227 Liešťany
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

Pracovný poriadok neobsahoval podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca, čo nebolo v súlade s ustanovením čl. 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Nakladanie s osobitnými kategóriami OÚ pri činnosti BOZP nebolo detailnejšie upravené. Tieto OÚ si vyžadovali zvýšenú ochranu a povinnosť mlčanlivosti podľa čl. 9 ods. 1 GDPR.
Typ nedostatku: Odchýlka od súladu
Organizácia nemala vypracované pravidlá v zmysle čl. 24 ods. 1 a 2 a čl. 35 GDPR ako aj § 78 ods.11 nového zákona o ochrane OÚ pri posudzovaní vplyvu na ochranu údajov.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Lutiše

IČO
00321451
Sídlo
Lutiše 66, 01305 Lutiše
Kontrolované obdobie
2016-2019
Termín kontroly
06.08.2019 - 06.10.2019
Stav kontroly
Ukončená

Zistenia

obec nedodržala ustanovenie §57a výnosu č. 55/2014 Z. z., ktorý určil štandardy pre prijímanie a čítanie podpísaných elektronických dokumentov.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Prijatý interný akt riadenia v istom rozsahu nebol aplikovateľný v podmienkach obce
Typ nedostatku: Formálna nezrovnalosť
interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby
Typ nedostatku: Formálna nezrovnalosť
výberové konanie - išlo o tzv. predzmluvný vzťah, bolo podmienené súhlasom
Typ nedostatku: Formálna nezrovnalosť
obec nevykonala posúdenie vplyvu
Typ nedostatku: Formálna nezrovnalosť
technické opatrenia obce nezahŕňali politiku šifrovania
Typ nedostatku: Formálna nezrovnalosť
obec nemala určenú ZO
Typ nedostatku: Formálna nezrovnalosť
jedna sprostredkovateľská zmluva bola uzatvorená až dňa 09.11.2018. Od 25.05.2018 do 09.11.2018 teda sprostredkovateľ spracúval OÚ bez uzatvorenej sprostredkovateľskej zmluvy podľa nariadenia GDPR
Typ nedostatku: Formálna nezrovnalosť
funkcia správcu IT a administrátora nebola v kontrolovanom období obsadená zodpovedným zamestnancom
Typ nedostatku: Formálna nezrovnalosť
obec ako orgán verejnej moci porušila ustanovenie § 1 zákona č. 177/2018 Z. z., podľa ktorého obec pri svojej úradnej činnosti je povinná používať údaje evidované v informačných systémoch verejnej správy a vyhotovovať si z nich výpisy
Typ nedostatku: Formálna nezrovnalosť
obec nezabezpečovala pravidelné preškoľovanie oprávnených osôb v rokoch 2016, 2017 a 2018 podľa čl. VII bod 6. Bezpečnostnej smernice z 01.09.2015.
Typ nedostatku: Formálna nezrovnalosť
obec neidentifikovala rozsah a obsah bezpečnostných incidentov a nezaviedla povinnosť ich hlásenia podľa ustanovenia § 37 písm. b) bod 1. a 2. výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
obec neurčila okruh bezpečnostných zásad pre mobilné pripojenie do informačného systému verejnej správy a pre prácu na diaľku, nepostupovala v súlade s ustanovením § 41 písm. f) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
umiestnenie komponentov IS kamerového systému nebolo v súlade s ustanovením § 35 písm. c) výnosu č. 55/2014 Z. z. Prevádzkové pomery obce však iné (vhodné) umiestnenie IS neumožňovali.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi (gestorovi) a nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť. - nedodržala ustanovenie § 29 písm. c) a f) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nezabezpečovala poučenie o bezpečnostnej politike a ochrane údajov zamestnancov organizácie a tretích strán pred ich prvým vstupom do IS a to ja napriek tomu, že mala vypracovaný dokument podľa štandardu pre personálnu bezpečnosť neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS a nemal vypracované (havarijné) plány na obnovu činnosti nefunkčných, zničených alebo poškodených ustanovenie § 30 písm. a) a ustanovenie § 31 písm. d) a f) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
nevykonávala pravidelný audit informačnej bezpečnosti - nedodržala ustanovenie § 32 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
nemala zavedené pravidlá pre sťahovanie súborov z externých sietí. - nedodržala ustanovenie § 33 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v správe organizácie vrátane prepojení s externými sieťami - nedodržala ustanovenie § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
nemala vypracované a implementované pravidlá pre prácu v zabezpečenom priestore a pravidlá pre údržbu, uchovávanie a evidenciu technických komponentov IS - nedodržala ustanovenie § 35 písm. h) bod 1 a ustanovenie § 35 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
nemala vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku a neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov IS - nedodržala ustanovenie § 41 písm. f) a § 41 písm. j) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
obec bezodkladne nezverejnila zmluvu so ZO, porušila ustanovenie § 5a ods. 9 zákona č. 211/2000 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 211/2000 Z.z.

Obec Moštenica

IČO
00313602
Sídlo
Moštenica 77, 97613 Moštenica
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 24.11.2019
Stav kontroly
Ukončená

Zistenia

Obec nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť podľa § 29 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný postup pre disciplinárne konanie v prípade porušenia bezpečnostnej politiky alebo súvisiacich právnych predpisov o ochrane údajov v súlade s § 30 písm. d) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracované pravidlá podľa štandardu pre manažment rizík pre oblasť informačnej bezpečnosti v súlade s § 31 písm. d) a f) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla evidenciu o pripojeniach do sietí v jeho správe aj do externých sietí v súlade s § 34 písm. b) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracované a implementované pravidlá pre prácu v zabezpečenom priestore v súlade s § 35 písm. d) výnosu o štandardoch pre ISVS a zabezpečenú ochranu pred výpadkom zdroja elektrickej energie pre tie časti IS, ktoré vyžadujú nepretržitú prevádzku v súlade s § 35 písm. e) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zabezpečenú aktualizáciu verzií inštalovaného ochranného softvéru v súlade s § 36 písm. a) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedenú evidenciu každého výpadku IS a spôsobu jeho riešenia v súlade s § 37 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT v súlade s § 42 písm. a) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zamedzený prístup tretích strán k údajom v súlade § 43 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že obec nemala v kontrolovanom období uzatvorené sprostredkovateľské zmluvy. Neuzavretím zmlúv so sprostredkovateľmi obec nekonala v súlade s čl. 28 ods. 3 nariadenia GDPR, resp. s § 34 ods. 3 zákona o ochrane osobných údajov, podľa ktorého sa spracovávanie sprostredkovateľom riadi zmluvou alebo iným právnym aktom, pričom náležitosti zmluvy alebo iného právneho aktu sú uvedené v tomto odseku. ZO sa v mene obce vyjadrila, že zasielala obciam návrhy zmlúv s pokynmi na vyplnenie pre zmluvnú stranu, tie však neboli ochotné zmluvy akceptovať alebo nejako inak riešiť to, že zmluvy nie sú.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Kontrolou bolo zistené, že obec nepreverovala, či sprostredkovateľ poskytol dostatočné záruky za prijatie opatrení na ochranu OÚ, čím nepostupovala v súlade s čl. 28 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa príjmu dostatočné technické a organizačné opatrenia tak, aby spracovávanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby. Osoby, ktoré majú prístup k OÚ, spracovávajú tieto údaje len na základe pokynov prevádzkovateľa v súlade s poverením oprávnenej osoby. V prípade zistenia porušovania ustanovení legislatívy v oblasti OÚ sú oprávnené osoby sprostredkovateľa zaviazané povinnosťou bezodkladne o tejto skutočnosti prevádzkovateľa informovať.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Nezbudská Lúčka

IČO
00648256
Sídlo
Nezbudská Lúčka 130, 01324 Nezbudská Lúčka
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 30.09.2019
Stav kontroly
Ukončená

Zistenia

Obec neanalyzovala pravidlá a postupy zavedenia povinností v zmysle Nariadenia (EÚ), čím nekonala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ). Obec nepreskúmala IS, v ktorých spracúvala osobné údaje a neanalyzovala, či spracúvanie v každom z nich bolo zákonné podľa čl. 5 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nevykonala posúdenie vplyvu podľa čl. 35 Nariadenia (EÚ). Systematické kamerové monitorovanie verejných priestorov podliehalo povinnému posúdeniu vplyvu podľa usmernenia ÚOOÚ SR.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby (napr. Predpis BOZP bližšie nešpecifikoval postup nakladania s osobitnými kategóriami).
Typ nedostatku: Odchýlka od súladu
Obec neupravila konkrétne postupy pre spracúvanie osobných údajov, tým nekonala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ) (napr. prenos osobných údajov do tretích krajín a pod.),
Typ nedostatku: Odchýlka od súladu
Obec nepreukázala, že poskytovala dotknutej osobe pri získavaní osobných údajov priamo od nej informácie v rozsahu podľa čl. 13 ods. 1 až 3 Nariadenia (EÚ). Informácie, ktoré bola obec povinná poskytnúť dotknutej osobe podľa čl. 13 ods. 1 až 3 a čl. 14 ods. 1 až 4 Nariadenia (EÚ), neboli zverejnené na jej webovom sídle, čím bol porušený čl. 12 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby (napr. uplatniť právo na výmaz svojich osobných údajov, namietať proti rozhodnutiu založenom výlučne na automatizovanom spracúvaní osobných údajov a pod.)
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby. Obec neaktualizovaním bezpečnostného projektu k 25.05.2018 nekonala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to nebola špecifikovaná metodika tzv. balančného testu, resp. miera posúdenia.
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nemal v bezpečnostnom projekte zadefinované kritéria v zmysle čl. 33 ods. 1 a čl. 34 ods. 1 Nariadenia (EÚ)
Typ nedostatku: Odchýlka od súladu
Tým, že prevádzkovateľ neurčil zodpovednú osobu od 25.05.2018, nekonal v súlade s čl. 37 ods. 1 písm. a) Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Spracúvanie osobných údajov bez uzatvorenej sprostredkovateľskej zmluvy bolo v nesúlade s ustanovením čl. 28 bod 3 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nepreverovala, či sprostredkovatelia poskytovali dostatočné záruky na to, že príjmu primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ) a spoliehala sa na ich vyhlásenie, čím nebolo zaručené, že sprostredkovatelia prijali primerané opatrenia tak, ako deklarovali svojim vyhlásením podľa čl. 28 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nedodržala ustanovenie § 57a výnosu č. 55/2014 Z. z., ktorý určil štandardy pre prijímanie a čítanie podpísaných elektronických dokumentov.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi a neustanovila osobu zodpovednú za informačnú bezpečnosť, čím nedodržala ustanovenie § 29 písm. f) a písm. c) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec porušila ustanovenie § 30 písm. a) a b) výnosu č. 55/2014 Z. z. tým, že obec nezabezpečila poučenie o bezpečnostnej politike a ochrane údajov zamestnancov tretích strán pred ich prvým vstupom do IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec porušila § 31 písm. d) výnosu č. 55/2014 Z. z. tým, že nestanovila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Bezpečnostný projekt stanovil povinnosť vykonávať bezpečnostné kontroly (audity) v závislosti od predmetu kontroly raz za mesiac, resp. štvrťrok, ale v praxi žiadne kontroly neboli vykonávané, tým obec porušila ustanovenie § 32 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie § 34 písm. b) výnosu č. 55/2014 Z. z. tým, že neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v jej správe vrátane prepojení s externými sieťami.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie § 41 písm. c) a j) výnosu č. 55/2014 Z. z. tým, že nemala určený postup a zodpovednosť pre prideľovanie prístupových práv a neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Oslany

IČO
00318396
Sídlo
Nám. Slobody 2, 97247 Oslany
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 20.10.2019
Stav kontroly
Ukončená

Zistenia

Pracovný poriadok neobsahoval podmienku, že majetkové priznania zametnancov sa spracúvajp v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca, čo nebolo v súlade s ustanovením čl. 24 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Nakladanie s osobitnými kategóriami osobných údajov pri činnosti BOZP nebolo detailnejšie upravené. Tieto osobné údaje si vyžadovali zvýšenú ochranu a povinnosť mlčanlivosti podľa čl .9 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nekonal v súlade s § 29 písm. a) výnosu o štandardoch ISVS, keď nevypracoval bezpečnostnú politiku.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nemal vypracované pravidlá podľa štandardov pre: - manažment rizík pre oblasť informačnej bezpečnosti podľa § 31 písm. d) a f) výnosu o štandardoch ISVS, - kontrolný mechanizmus riadenia informačnej bezpečnosti podľa § 32 výnosu o štandardoch ISVS a taktiež nevykonával vnútornú kontrolu / audit informačnej bezpečnosti podľa § 32 písm. a) výnosu o štandardoch ISVS, - fyzickú bezpečnosť a bezpečnosť prostredia a to pre údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu o štandardoch ISVS, pre narábanie s údajmi v elektronickej podobe, dokumentáciou systému a pamäťovými médiami, aby sa zabránilo ich neoprávnenému zverejneniu, odstráneniu, poškodeniu, modifikácii podľa § 35 písm. h) bod 6 výnosu o štandardoch ISVS a pre vymazávanie, vyraďovanie a likvidáciu zariadení IS a všetkých záloh podľa § 35 písm. h) bod 4 výnosu o štandardoch ISVS, - monitorovanie a manažment bezpečnostných incidentov podľa § 37 výnosu o štandardoch ISVS, - riadenie prístupu podľa § 41 výnosu MF SR, nemal vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku podľa § 41 písm. f) výnosu MF SR, a nemal ani zabezpečené, aby fyzické osoby zodpovedné za správu a prevádzku IS VS mali prístup len k údajom, ktoré nevyhnutne potrebujú na vykonávanie pridelených úloh podľa § 41 písm. h) výnosu o štandardoch ISVS a taktiež neviedol formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu o štandardoch ISVS, - aktualizáciu IKT podľa § 42 písm. a) výnosu o štandardoch ISVS, - a nemal zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT, - účasť tretej strany podľa § 43 výnosu o štandardoch ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie čl. 28 ods. 3 nariadenia GDPR, keď nemala prijaté vhodné technické a organizačné opatrenia, aby zabezpečila a bola schopná preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením.
Typ nedostatku: Odchýlka od súladu

Obec Petrovce

IČO
00332674
Sídlo
Petrovce 89, 09431 Petrovce
Kontrolované obdobie
2016-2019
Termín kontroly
06.08.2019 - 27.10.2019
Stav kontroly
Ukončená

Zistenia

Registratúrny poriadok neobsahoval podrobnosti o postupe pri spracovaní elektronických registratúrnych záznamov a ich ochrane, čím nebol dodržaný súlad s § 16a zákona č. 395/2002 Z. z. a § 24a vyhlášky 628/2002 Z. z
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 628/2002 Z.z.
Nezabezpečením poučenia o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich pre tretie osoby kontrolovaný subjekt nepostupoval v súlade s ustanovením § 30 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
V oblasti manažmentu rizík bolo zistené, že obec neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa ustanovenia § 31 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Kontrolnej skupine neboli predložené žiadne záznamy z vykonaných kontrol, ani plán kontrol a v tejto súvislosti bolo zistené, že Plán kontrol nebol prevádzkovateľom vypracovaný a kontroly neboli vykonávané, čo nebolo v súlade s ustanovením § 32 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Smernicu podľa štandardu pre sieťovú bezpečnosť obec vypracovanú nemala a ako prevádzkovateľ neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v správe obce vrátane prepojení s externými sieťami, čo nebolo v súlade s ustanovením § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec mala definované intervaly pre vykonávanie záloh a ich fyzického ukladania, ale nemala zadefinované oblasti, ktoré povinne podliehali zálohovaniu a tiež nemala vypracovaný dokument podľa štandardu pre zálohovanie, čo nebolo v súlade s § 39 výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov podľa ustanovenia § 41 písm. j) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný prevádzkový dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu č. 55/2014 Z. z. a nemala zavedené postupy ani schvaľovací proces pre zavedenie nových ISVS a IKT.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre účasť tretej strany podľa ustanovenia § 43 výnosu č. 55/2014 Z. z. a ani bližšie špecifikované procesy súvisiace s činnosťou tretej strany v IS obce.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.

Obec Podkonice

IČO
00313670
Sídlo
Podkonice 0, 97641 Podkonice
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 24.11.2019
Stav kontroly
Ukončená

Zistenia

Obec vyžadovala súhlas dotknutej osoby so spracovaním OÚ pri výberových konaniach na pracovné pozície obce aj napriek tomu, že na ich spracúvanie nebol potrebný súhlas v zmysle článku 6 ods. 1 písm. b/ nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec doteraz nevykonala balančný test (test proporcionality) pre kamerový systém a OÚ dotknutých osôb spracúvala prostredníctvom kamerového systému bez dôkladného posúdenia, či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá nariadenie GDPR a zdôrazňuje sa v recitáli 47 k nariadeniu GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť podľa § 29 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nevykonával vnútornú kontrolu alebo audit informačnej bezpečnosti podľa § 32 písm. a) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Ochrana pred prístupom z vonkajšieho prostredia do internej siete obecného úradu nebola zabezpečená firewallmi v súlade s § 34 písm. a) výnosu o štandardoch pre ISVS. Obec neviedla evidenciu o pripojeniach do sietí v jeho správe aj do externých sietí v súlade s § 34 písm. b) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracované pravidlá pre údržbu, uchovávanie a evidenciu technických komponentov IS V súlade s § 35 písm. h) bod 1 výnosu MF SR a zabezpečenú ochranu pred výpadkom zdroja elektrickej energie pre tie časti IS, ktoré vyžadujú nepretržitú prevádzku v súlade s § 35 písm. e) výnosu MF SR o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT podľa § 42 písm. a) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že napriek tomu, že ZO vypracovala návrhy zmlúv pre sprostredkovateľa, obec so sprostredkovateľmi nemala uzatvorené sprostredkovateľské zmluvy. Neuzavretím zmlúv so sprostredkovateľmi obec nekonala v súlade s čl. 28 ods. 3 nariadenia GDPR, resp. s § 34 ods. 3 zákona o ochrane OÚ, podľa ktorého sa spracovávanie sprostredkovateľom riadi zmluvou alebo iným právnym aktom, pričom náležitosti zmluvy alebo iného právneho aktu sú uvedené v tomto odseku. ZO sa v mene obce vyjadrila, že zasielala obciam návrhy zmlúv s pokynmi na vyplnenie pre zmluvnú stranu, tie však neboli ochotné zmluvy akceptovať alebo iným spôsobom riešiť skutočnosť, že sprostredkovateľský vzťah funguje bez existencie zmluvy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Kontrolou bolo zistené, že obec nepreverovala, či sprostredkovateľ poskytol dostatočné záruky za prijatie opatrení na ochranu OÚ, čím nepostupovala v súlade s čl. 28 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ využíva len sprostredkovateľov poskytujúcich dostatočné záruky na to, že sa príjmu dostatočné technické a organizačné opatrenia tak, aby spracovávanie spĺňalo požiadavky tohto nariadenia a aby sa zabezpečila ochrana práv dotknutej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Pohronský Ruskov

IČO
00307394
Sídlo
Hlavná 74, 93562 Pohronský Ruskov
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Odchýlka od súladu
Obec nekonala v súlade s čl. 24 ods. 1 nariadenia GDPR, keď nepreskúmala nové povinnosti, ktoré prinášalo nariadenie GDPR oproti zákonu č. 122/2013 Z. z.
Typ nedostatku: Odchýlka od súladu
Obec nepreskúmala všetky IS, v ktorých spracúvala OÚ, neurčila však okruh spracovateľských činností, ktoré mohli viesť k vysokému riziku pre práva a slobody fyzických osôb a nevykonala posúdenie vplyvu na ochranu OÚ, čo nebolo v súlade s čl. 35 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Odchýlka od súladu
Porušenie ustanovenia čl. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme.
Typ nedostatku: Odchýlka od súladu
Obec spracúvala OÚ prostredníctvom kamerového systému bez balančného testu, resp. testu proporcionality, či nad záujmami prevádzkovateľa neprevažovali záujmy dotknutých osôb tak, ako to predpokladá nariadenie GDPR.
Typ nedostatku: Odchýlka od súladu
Tým, že obec nemala vypracované postupy v súvislosti s nahlasovaním porušenia ochrany OÚ dozornému orgánu a dotknutým osobám a postupy, podľa ktorých mali oprávnené osoby postupovať pri posúdení vplyvu, obec nekonala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Odchýlka od súladu
Tým, že obec nevykonala posúdenie vplyvu, nekonala v súlade s ustanovením čl. 35 ods. 1 a 3 písm. c) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že obec nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť, čím nedodržala ustanovenie § 29 písm. c) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec nezabezpečila poučenie o bezpečnostnej politike a ochrane OÚ, nedodržala ustanovenie § 30 písm. a) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec neurčila okruh kritických procesov a nemala vypracované havarijné plány, nepostupovala v súlade s § 31 písm. d) a s § 31 písm. f) výnosu o štandardoch pre IS .
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec nevykonávala kontrolu informačnej bezpečnosti, nepostupovala v súlade s ustanovením § 32 písm. a) výnosu o štandardoch pre IS.
Typ nedostatku: Finančná nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nevykonávala pravidelné hodnotenie slabých miest a ohrození IS VS identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne podľa ustanovenia § 38 výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec v oblasti fyzickej bezpečnosti a bezpečnosti prostredia nemala upravené niektoré postupy, nepostupovala v súlade s § 35 písm. h bod 1, 4 a 6 výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec nemala vypracované postupy v oblasti zálohovania, nepostupovala v súlade s § 39 písm. a) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov podľa ustanovenia § 41 písm. j) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala upravené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IT v nadväznosti na § 42 výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
ZO, ktorá bola zároveň aj prednostkou obecného úradu a ktorá bola taktiež zodpovedná za evidenciu daní a poplatkov, bola jednoznačne v konflikte záujmov, čím došlo k porušeniu čl. 38 ods. 6 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Sprostredkovateľ od 25.05.2018 do 01.08.2019 spracúval OÚ bez uzatvorenej sprostredkovateľskej zmluvy, čo nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Povrazník

IČO
00313742
Sídlo
Povrazník 22, 97655 Povrazník
Kontrolované obdobie
2016-2019
Termín kontroly
11.07.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

Obec neviedla záznamy o spracovateľských činnostiach, čím nepostupovala v súlade s § 37 ods. 1 zákona o ochrane OÚ, podľa ktorého prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala vypracované pravidlá bezpečnosti a ochrany zdravia pri práci, čo nebolo v súlade s § 6 ods. 1 písm. l) zákona o bezpečnosti a ochrane zdravia pri práci, podľa ktorého zamestnávateľ v záujme zaistenia bezpečnosti a ochrany zdravia pri práci je povinný vydávať vnútorné predpisy, pravidlá o bezpečnosti a ochrane zdravia pri práci a dávať pokyny na zaistenie bezpečnosti a ochrany zdravia pri práci.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 124/2006 Z.z.
Obec nemala vypracovanú a schválenú bezpečnostnú politiku (bezpečnostnú dokumentáciu), čo nebolo v súlade s § 78 ods. 11 zákona o ochrane OÚ a následne s § 29 písm. a) výnosu o štandardoch ISVS, podľa ktorého štandardom pre riadenie informačnej bezpečnosti je vypracovanie a schválenie bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala v rokoch 2016-2019 a ani ku dňu začatia kontroly určenú zodpovednú osobu, čím nekonala v súlade s § 44 ods. 1 písm. a) zákona o ochrane OÚ, podľa ktorého prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Slovenská Ľupča

IČO
00313823
Sídlo
Nám. SNP 13, 97613 Slovenská Ľupča
Kontrolované obdobie
2016-2019
Termín kontroly
11.07.2019 - 24.11.2019
Stav kontroly
Ukončená

Zistenia

Obec neurčila kritické procesy, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa § 31 písm. d) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedenú evidenciu každého výpadku IS a spôsobu jeho riešenia podľa § 37 písm. c) výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu MF SR o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Napriek tomu, že zodpovedná osoba plnila pre obec poradnú funkciu pre oblasť GPDR neoficiálne už skôr, tým, že obec určila ZO až po nadobudnutí účinnosti nariadenia GDPR, nepostupovala v súlade s čl. 37 ods. 1 písm. a) nariadenia GDPR, resp. § 44 ods. 1 písm. a) zákona o ochrane OÚ, podľa ktorých je prevádzkovateľ povinný určiť ZO.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Sokoľany

IČO
00690741
Sídlo
Sokoľany 193, 04457 Sokoľany
Kontrolované obdobie
2016-2019
Termín kontroly
16.07.2019 - 06.11.2019
Stav kontroly
Ukončená

Zistenia

kontrolovaný subjekt nepredložil kontrolnej skupine NKÚ SR vykonanú Analýzu procesov a povinností vyžadovaných podľa nariadenia GDPR v písomnej podobe.
Typ nedostatku: Finančná nezrovnalosť
Obec nepostupovala v súlade s čl. 24 ods. 1 a ods. 2 nariadenia GDPR tým, že pre nemala vypracované pravidlá, podľa ktorých oprávnené osoby prevádzkovateľa postupujú pri spracúvaní OÚ nevyhnutných na plnenie zmluvy,
Typ nedostatku: Odchýlka od súladu
Obec tým, že nemala upravené procesy súvisiace s ohlasovaním porušenia ochrany OÚ podľa nariadenia GDPR, nevykonala posúdenie vplyvu na ochranu údajov v rámci informačných systémov, nevypracovala pravidlá na zavedenie pseudonymizačných techník na ochranu OÚ v IS a nemala zavedené šifrovacie techniky, konala v rozpore s čl. 24 ods.1 a 2 nariadenia GDPR
Typ nedostatku: Finančná nezrovnalosť
Obec tým, že nevypracovala dokument „Bezpečnostná politika“ a ďalšie dokumenty vyplývajúce z bezpečnostnej politiky konala v rozpore s § 28 písm. a) a § 30 až § 43 výnosu MF SR .
Typ nedostatku: Finančná nezrovnalosť
Obec uhradila ZO odmenu za jej činnosť napriek tomu, že s ňou neuzatvorila zmluvu o poskytovaní služieb, súvisiacich s ochranou OÚ. Obec konala v rozpore s čl. 37 ods. 6 nariadenia GDPR, podľa ktorého ZO môže plniť úlohy na základe zmluvy o poskytovaní služieb.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt konal v rozpore s § 34 ods. 3 zákona o ochrane OÚ tým, že uzatvoril sprostredkovateľskú zmluvu v ktorej nebol ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah OÚ, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa a sprostredkovateľa.
Typ nedostatku: Finančná nezrovnalosť

Obec Staré Hory

IČO
00313831
Sídlo
Staré Hory 0, 97602 Staré Hory
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 29.09.2019
Stav kontroly
Ukončená

Zistenia

Obec na svojom webovom sídle neposkytovala relevantné informácie týkajúce sa ochrany OÚ a práv dotknutých osôb, čím si neplnila informačnú povinnosť v rozsahu § 19 a 20 zákona o ochrane OÚ, resp. čl. 13 a 14 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala vypracované pravidlá pre údržbu, uchovávanie a evidenciu technických komponentov IS, čím nepostupovala v zmysle § 35 písm. h) bod 1 výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument pre aktualizáciu IKT, čím nepostupovala v zmysle § 42 výnosu o štandardoch pre ISVS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec ku dňu účinnosti zákona o ochrane OÚ nemala určenú ZO, čím nepostupovala v zmysle § 44 ods. 1 písm. a) zákona o ochrane OÚ.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Trakovice

IČO
00313092
Sídlo
Trakovice 38, 91933 Trakovice
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

: Kontrolou interných predpisov bolo zistené, že vnútorný predpis vypracovaný v zmysle zákona o slobodnom prístupe k informáciám neobsahoval ustanovenia zamerané na obmedzenie sprístupňovania OÚ v zmysle čl. 32 nariadenia GDPR. Interný predpis upravujúci predkladanie a uchovávanie majetkových priznaní zamestnancov v zmysle čl. 32 nariadenia GDPR, ako aj postupy pri poistení zamestnanca vyslaného na pracovnú cestu obec vypracovaný nemala.
Typ nedostatku: Odchýlka od súladu
Kontrolou dokumentácie BOZP bolo zistené, že táto neobsahovala postup pri nakladaní s osobnými údajmi, ktoré by boli zaznamenané pri kontrolnej činnosti v zmysle čl. 9 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec neanalyzovala a nepreskúmala sprostredkovateľské zmluvy a zmluvy s externými subjektami, ktorí mali postavenie sprostredkovateľa, či spĺňajú podmienky v zmysle čl. 28,29 a 32 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že bezpečnostná dokumentácia neobsahovala postupy prenosu osobných údajov do tretích krajín v zmysle čl.44 až 46 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Pravidlá pre oprávnené osoby neobsahovali podrobnosti o tom, za akých okolností oprávnené osoby informácie dotknutej osobe neoznamujú v zmysle čl. 14 ods. 5 GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že obec Trakovice nemá interný predpis, z ktorého by vyplývalo, že osoby ktoré upratujú priestory so spismi sú oprávnenými osobami, resp. sú zaviazané povinnosťou mlčanlivosti v zmysle § 79 ods. 2 zákona č. 18/2018.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Základné pravidlá a pokyny pre prácu s pracovnou stanicou má obec upravené v bezpečnostnej smernici bod 3, pričom bolo zistené, že smernica neobsahovala podmienku, že pracovná stanica nesmie zároveň slúžiť ako server pre iných používateľov v zmysle čl. 24 ods.1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bezpečnostnej dokumentácie bolo zistené, že táto neobsahovala pravidlá pre oprávnené osoby pri spracúvaní OÚ v papierovej forme v zmysle čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Konkrétnu osobu, zodpovednú za oznamovanie porušenia ochrany OÚ dotknutým osobám podľa čl. 34 nariadenia GDPR, obec v zmysle čl. 24 ods. 1 nariadenia GDPR stanovenú nemala.
Typ nedostatku: Odchýlka od súladu
Bezpečnostná dokumentácia obce nespĺňala štandardy pre riadenie informačnej bezpečnosti v zmysle § 29 písm. c) d), § 31 písm. f), a § 32 písm. a) výnosu č. 55/2014 Z .z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že obec Trakovice nezverejnila kontaktné údaje ZO v zmysle čl. 37 ods. 7 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
V súvislosti so spracovaním a ochranou osobných údajov zodpovedná osoba nepredložila vedeniu obce žiadne návrhy, odporúčania, rady ani konzultácie podľa článku 39 ods.1 písm. a) b) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že v pozícii sprostredkovateľa bolo niekoľko dodávateľov. Obec však nepreverovala, či poskytujú dostatočné záruky na to, že príjmu primerané technické a organizačné opatrenia v súlade s GDPR podľa čl. 28 ods. 1 nariadenia GDPR ako aj, či sprostredkovateľ sám neurčil účely a prostriedky spracúvania osobných údajov v zmysle čl. 28 ods.10 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Varín

IČO
00321711
Sídlo
Námestie sv. Floriána 1, 01303 Varín
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď interné akty riadenia neobsahovali postup pri predkladaní a uchovávaní majetkových priznaní, ktorý by obsahoval aj podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca
Typ nedostatku: Odchýlka od súladu
Obec nekonala v súlade s čl. 24 ods. 1 a 2, čl. 25 , 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018, keď nevykonala analýzu stavu údajov do 25.05.2018, neaktualizovala bezpečnostnú dokumentáciu z roku 2015 alebo nevypracovala novú bezpečnostnú dokumentáciu.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia (EÚ), keď nevypracovala pravidlá (metodiku), resp. nezdokumentovala pokyny pre oprávnené osoby ako majú postupovať - pri spracúvaní osobných údajov na základe zmluvy, - pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby, ktoré by obsahovali podrobnosti o informáciách, ktoré sú povinné oznámiť dotknutej osobe a postupoch, ktoré sú povinné plniť pri spracúvaní v rôznych situáciách a pri odvolaní súhlasu, - na aplikáciu kritérií stanovených v čl. 6 ods. 4 Nariadenia (EÚ) a pre prípady, kedy dochádza k spracúvaniu osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia (EÚ), - pre prípady, kedy dochádza (mohlo by dôjsť) k prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenie (EÚ), keď nevypracoval pravidlá a nezdokumentoval pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2, čl. 35 Nariadenia (EÚ) a nevzal do úvahy zásady uvedené v bodoch 84 a 90 Memoranda Nariadenia (EÚ), keď nemal vypracované postupy, podľa ktorých by oprávnené osoby vedeli, ako majú postupovať pri posúdení vplyvu na ochranu osobných údajov.
Typ nedostatku: Odchýlka od súladu
Obec v súvislosti s ustanovením zodpovednej osoby do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie bola v konflikte záujmov, čo bolo v nesúlade s čl. 38 ods. 6 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 35 ods. 1 až 3 Nariadenia (EÚ) a Usmernením WP 29 týkajúcom sa posúdenia vplyvu, keďže pred účinnosťou Nariadenia (EÚ) ani neskôr nevykonala posúdenie vplyvu na ochranu osobných údajov a v tejto súvislosti sa neradila so zodpovednou osobou
Typ nedostatku: Odchýlka od súladu
Obec v prípadoch, keď nepreverovala sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupovala v súlade s čl. 28 ods. 1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Obec nevydala pravidlá a pokyn pre oprávnené osoby, ako nakladať s osobnými údajmi, zaznamenané pri kontrolnej činnosti (§ 9 ods. 1 písm. b) zákona o BOZP.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 124/2006 Z.z.
Prevádzkovateľ nekonal v súlade s § 29 písm. f) výnosu MF SR, keď nemal upravený postup pre určenie konkrétnej zodpovednosti za jednotlivé aktíva a vyvodenie zodpovednosti pri zistení porušenia bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala určenú zodpovednú osobu za informačnú bezpečnosť, čo nebolo v súlade s § 29 písm. c) výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 30 písm. d) výnosu MF SR, keď nemal upravený postup pre vyvodenie zodpovednosti pri zistení porušenia bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 31 písm. d) a f) výnosu MFSR, keď nemal upravené pravidlá pre manažment rizík pre oblasť informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 32 výnosu MFSR, keď nemal vypracovaný dokument podľa štandardu pre kontrolný mechanizmus riadenia informačnej bezpečnosti a tiež § 32 písm. a) výnosu MF SR, keď nevykonával vnútornú kontrolu alebo audit informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade v súlade s § 33 výnosu MF SR, keď nemal vypracovaný dokument podľa štandardu pre ochranu proti škodlivému kódu.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade v súlade s § 35 výnosu MF SR, keď nemal vypracovaný dokument pre údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu MF SR, nemal vypracované pre vymazávanie, vyraďovanie a likvidáciu zariadení IS a všetkých záloh podľa § 35 písm. h) bod 4 výnosu MF SR a nemal vypracované ani pravidlá pre narábanie s údajmi v elektronickej podobe, dokumentáciou systému a pamäťovými médiami, aby sa zabránilo ich neoprávnenému zverejneniu, odstráneniu, poškodeniu alebo modifikácii podľa § 35 písm. h) bod 6 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 37 výnosu MF SR, keď nemal postup pre ohlasovanie bezpečnostných incidentov, ktorý by obsahoval postup riešenia jednotlivých typov bezpečnostných incidentov a spôsob ich vyhodnotenia podľa § 37 písm. a) bod 2 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 38 výnosu MF SR, keď nevykonával periodické hodnotenie zraniteľnosti a nemal vypracovaný dokument podľa štandardu periodické hodnotenie zraniteľnosti.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 39 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre zálohovanie.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 41 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre riadenie prístupu, nemal vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku podľa § 41 písm. f) výnosu MF SR, pravidlá pre administrátorov systému, ktoré by upravovali, že budú mať len prístup k údajom, ktoré nevyhnutne potrebujú na vykonávanie pridelených údajov podľa § 41 písm. h) výnosu MF SR a taktiež neviedol formalizovanú dokumentáciu prístupových práv všetkých používateľov ISVS podľa § 41 písm. j) výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 42 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre aktualizáciu IKT podľa § 42 písm. a) výnosu MF SR a nemal zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových ISVS a IKT.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Prevádzkovateľ nekonal v súlade s § 43 výnosu MF SR, keď nemal vypracované pravidlá podľa štandardu pre účasť tretej strany podľa § 43 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Vyšný Žipov

IČO
00332950
Sídlo
Vyšný Žipov 83, 09433 Vyšný Žipov
Kontrolované obdobie
2016-2019
Termín kontroly
06.08.2019 - 27.10.2019
Stav kontroly
Ukončená

Zistenia

Registratúrny poriadok síce obsahoval podrobnosti o postupe pri spracovaní elektronických registratúrnych záznamov avšak neobsahoval informácie o ich ochrane, podľa § 24a vyhlášky MV SR č. 628/2002 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 628/2002 Z.z.
Obec nepreskúmala nové povinnosti ktoré prinášalo nariadenie GDPR oproti zákonu č. 122/2013 Z. z a to do času uzatvorenia zmluvy s externou ZO t. j. od 25.05.2018 do 19.12.2018, čo nebolo v súlade s čl. 24 ods. 1 nariadenia GDPR.
Typ nedostatku: Formálna nezrovnalosť
Kontrolou bolo zistené, že nedošlo k uzatvoreniu dohody podľa čl. 26 ods. 1 Nariadenia GDPR medzi spoločnými prevádzkovateľmi v súvislosti s určením ich zodpovedností za plnenie povinností najmä pokiaľ išlo o vykonávanie práv dotknutej osoby, poskytovať jej informácie uvedené v článkoch 13 a 14 podľa tohto nariadenia.
Typ nedostatku: Formálna nezrovnalosť
Kontrolou bolo zistené, že obec nezabezpečovala poučenie o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich pre tretie osoby podľa ustanovenia § 30 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nepostupovala v súlade s ustanovením § 31 písm. d) výnosu č. 55/2014 Z. z. tým, že neurčila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec ako prevádzkovateľ neviedla evidenciu o všetkých miestach prepojenia sietí, ktoré boli v správe obce vrátane prepojení s externými sieťami, čo nebolo v súlade s ustanovením § 34 písm. b) výnosu č. 55/2014 Z. z.
Typ nedostatku: Finančná nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec mala definované intervaly pre vykonávanie záloh a ich fyzického ukladania, ale nemala zadefinované oblasti, ktoré povinne podliehali zálohovaniu a tiež nemala vypracovaný dokument podľa štandardu pre zálohovanie, čo nebolo v súlade s § 39 výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec neviedla formalizovanú dokumentáciu prístupových práv všetkých používateľov podľa ustanovenia § 41 písm. j) výnosu č. 55/2014 Z. z., čo nebolo v súlade s citovanými ustanoveniami výnosu.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec tým, že nemala vypracovaný prevádzkový dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu č. 55/2014 Z. z. a nemala zavedené postupy ani schvaľovací proces pre zavedenie nových ISVS a IKT, nepostupovala v súlade s vyššie citovaným výnosom.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre účasť tretej strany podľa ustanovenia § 43 výnosu č. 55/2014 Z. z. a ani bližšie špecifikované procesy súvisiace s činnosťou tretej strany v IS obce.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.

Obec Zalaba

IČO
00587648
Sídlo
Zalaba 84, 93573 Zalaba
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 27.10.2019
Stav kontroly
Ukončená

Zistenia

Obec od 25.05.2018 neaplikovala v praxi platné právne predpisy v oblasti ochrany OÚ, a to nariadenie GDPR a zákon č. 18/2018 Z. z., ale stále postupovala v zmysle už zrušeného zákona č. 122/2013 Z. z.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby
Typ nedostatku: Odchýlka od súladu
Obec tým, že nepreskúmala nové povinnosti, ktoré prinášalo nariadenie GDPR oproti zákonu č. 122/2013 Z. z., nedodržala ustanovenie čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby
Typ nedostatku: Odchýlka od súladu
Tým, že obec neaktualizovala interné pravidlá v súvislosti s nariadením GDPR, a teda neboli precizované viaceré postupy, ktoré mala obec v tejto súvislosti aplikovať, nebolo dodržané ustanovenie čl. 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú
Typ nedostatku: Odchýlka od súladu
Porušenie ustanovenia č. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme.
Typ nedostatku: Odchýlka od súladu
Obec nekonala v súlade s čl. 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú
Typ nedostatku: Odchýlka od súladu
Tým, že obec neaktualizovala Bezpečnostný projekt a nemala vypracované pravidlá a postupy pri nahlasovaní bezpečnostných incidentov dozornému orgánu a dotknutým osobám, ani pravidlá pri posudzovaní vplyvu na ochranu OÚ, obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby
Typ nedostatku: Odchýlka od súladu
Obec tým, že nepriradila zodpovednosť za bezpečnosť a obsah každého významného aktíva konkrétnemu vlastníkovi (gestorovi) a nemala ustanovenú osobu zodpovednú za informačnú bezpečnosť, nedodržala ustanovenie § 29 písm. c) a f) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec však nevykonávala vnútornú kontrolu, resp. audit informačnej bezpečnosti, čo nebolo v súlade s ustanovením § 32 písm. a) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nekonala v súlade s § 38 výnosu o štandardoch pre IS tým, že nevykonávala pravidelné hodnotenie slabých miest a ohrození IS VS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zabezpečenú ochranu pred výpadkom zdroja elektrickej energie pre tie časti IS, ktoré vyžadujú nepretržitú prevádzku v zmysle § 35 písm. e) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Kontrolou bolo zistené, že obec nevytvárala zálohy v zmysle § 39 písm. a) výnosu o štandardoch pre IS, podľa ktorého mala vytvárať prevádzkovú zálohu najmenej raz za týždeň a archivačnú zálohu najmenej raz za 2 mesiace
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec vytvárala zálohovanie dát raz za mesiac na externé zariadenie. Archivačná záloha nemala 2 kópie, čo nebolo v súlade s § 39 písm. b) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT, ktorý zahŕňa bezpečnostné požiadavky, podľa § 42 písm. a) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec nemala určenú ZO, došlo k porušeniu ustanovenia čl. 37 bod 1 písm. a) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nepreverovala, či sprostredkovatelia prijali primerané technické a organizačné opatrenia v súlade s nariadením GDPR a spoliehala sa iba na ich vyhlásenie. To však nezaručovalo istotu, že sprostredkovatelia prijmú primerané opatrenia tak, ako deklarovali svojim vyhlásením podľa čl. 28 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu

Obec Zbrojníky

IČO
00307688
Sídlo
Zbrojníky 166, 93555 Zbrojníky
Kontrolované obdobie
2016-2019
Termín kontroly
23.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nedisponuje príslušným vnútorným predpisom, ktorý bližšie upravuje konanie a postup pri sprístupňovaní informácií podľa zákona o slobode informácií.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 211/2000 Z.z.
Pracovný poriadok obce neobsahoval podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a majetkové priznania sa nezakladajú do osobného spisu zamestnanca, čím bolo porušené ustanovenie § 107 ods. 1., resp. §114 ods. 8. Výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Pracovný poriadok obce neobsahoval informáciu o nakladaní s osobitnými osobnými údajmi pracovníkov, zistené pri kontrolnej činnosti (alkohol, psychotropné látky), čím bol porušený čl. 9 ods. 3 Nariadenia GDPR, ustanovenie týkajúce sa najmä utajovania, resp. oboznamovania sa so zisteniami, čo možno najmenším okruhom oprávnených osôb
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
neidentifikovanie okruhu spracovateľských činností a nepreskúmanie všetkých IS nebolo v súlade s čl. 35 ods. 1 nariadenia GDPR. Nevypracovanie analýzy v oblasti ochrany OÚ čl.24 nariadenia GDPR a následné prijaté vnútorné normy a opatrenia sa mohli bez spomínanej analýzy minúť účinku a nereflektovať na aktuálny stav.
Typ nedostatku: Odchýlka od súladu
Podriadená organizácie obce výberové konanie podmieňovala udelením súhlasu dotknutej osoby, čím konala nad rámec ustanovenia čl. 6 ods. 1 písm. b) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Porušenie ustanovenia čl. 12 ods. 1 nariadenia GDPR, podľa ktorého prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe informácie, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme. Oznámenia mali byť formulované jasne a jednoducho. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby,
Typ nedostatku: Odchýlka od súladu
k 25.05.2018 obec nesplnila svoju povinnosť v oblasti zabezpečenia poučení pre oprávnené osoby v zmysle § 36 zákona o ochrane osobných údajov a zároveň čl. 29 Nariadenia GDPR, avšak k 30.6. 2019 tieto poučenia mala obec k dispozícii.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Bezpečnostný projekt nebol k 25.05.2018 aktualizovaný, resp. k aktualizácii bezpečnostných opatrení došlo až po podpise spolupráce s externou spoločnosťou zabezpečujúcou plnenie povinností vyplývajúcich zo spracovania a ochrany údajov GDPR. Platnosť a účinnosť Bezpečnostného projektu bola odo dňa 10.01.2019, čo nie je v súlade s čl. 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú.
Typ nedostatku: Odchýlka od súladu
Obec nezabezpečila prijatie smernice a ďalších povinností, upravujúcich rozsah a podmienky používania kamerového systému porušila § 78 zákona o ochrane osobných údajov, ktorý vyžaduje prijať bezpečnostné opatrenia primerane podľa štandardov bezpečnosti, v nadväznosti na čl. 24 ods 1 smernice GDPR a čl. 25 smernice GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
Obec nemala vypracované pravidlá, podľa ktorých oprávnené osoby postupovali pri posúdení vplyvu, tým obec nekonala v súlade s čl. 24 ods. 1 a 2 nariadenia GDP, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby.
Typ nedostatku: Finančná nezrovnalosť
Obec nevykonala posúdenie vplyvu na ochranu osobných údajov, obec nekonala v súlade s ustanovením čl. 35 ods. 3 písm. c) nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
v oblasti Bezpečnostných štandardov bolo identifikovaných viac porušení uvádzaných vyššie. NKÚ SR konštatuje porušenie výnosu o štandardoch pre ISVS a to konkrétne ustanovení:
Typ nedostatku: Odchýlka od súladu
Neurčenie zodpovednej osoby pred dňom 25.05.2018 podľa vtedy platných predpisov t.j. §23 ods. 2 zákon ochrane osobných údajov v príslušnom období.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
k dátumu 30.06.2019 obec nemala nahlásenú zodpovednú osobu na ÚOOU SR v zmysle § 44, ods.8 zákona o ochrane osobných údajov.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.
spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Zemianske Kostoľany

IČO
00651001
Sídlo
4. apríla 60/28, 97243 Zemianske Kostoľany
Kontrolované obdobie
2016-2019
Termín kontroly
10.07.2019 - 06.11.2019
Stav kontroly
Ukončená

Zistenia

Preverením štandardov pre riadenie informačnej bezpečnosti bolo zistené, že obec v bezpečnostnej politike neurčila dokumenty, ktoré vypracuje na zaistenie informačnej bezpečnosti a zodpovednosť za bezpečnosť a obsah každého významného aktíva nepriradilo konkrétnemu vlastníkovi (gestorovi) čo nebolo v súlade s ustanovením § 29 písm. a) bod 13. a písm. f) výnosu, podľa ktorého štandardom pre riadenie informačnej bezpečnosti je určenie dokumentov, ktoré povinná osoba na zaistenie informačnej bezpečnosti vypracuje a uvedie ich zoznam a určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Určenie kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS nemala obec stanovené, čo nebolo v súlade s ustanovením § 31 písm. d) výnosu, podľa ktorého štandardom pre manažment rizík pre oblasť informačnej bezpečnosti je analyzovanie procesov povinnej osoby, ktoré sú podstatné pre plnenie činnosti povinnej osoby z hľadiska ich závislosti na informačných systémoch verejnej správy a určenie procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných informačných systémov verejnej správy; tieto procesy sú kritickými procesmi.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Preverením jednotlivých pravidiel a činností bolo zistené, že obec nemá zavedené pravidlá pre sťahovanie súborov z externých sietí a šifrovanie elektronických dokumentov, čo nebolo v súlade s ustanovením § 33 písm. d) a f) výnosu, podľa ktorých štandardom pre ochranu proti škodlivému kódu je určenie pravidiel pre sťahovanie súborov prostredníctvom externých sietí a podpora šifrovania elektronických dokumentov.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Evidenciu o všetkých miestach prepojenia sietí, ktoré sú v správe obce vrátane prepojení s externými sieťami obec neviedla, čo nebolo v súlade s ustanovením § 34 písm. b) výnosu, podľa ktorého štandardom pre sieťovú bezpečnosť je vedenie evidencie o všetkých miestach prepojenia sietí v správe povinnej osoby vrátane prepojení s externými sieťami, ktorými sú všetky prepojenia, ktoré nemá povinná osoba pod svojou správou.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Formalizovanú dokumentáciu prístupových práv všetkých používateľov obec neviedla, čo nebolo v súlade s ustanovením § 41 písm. j) výnosu, podľa ktorého štandardom pre riadenie prístupu je vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov informačného systému verejnej správy.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Čavoj

IČO
00318035
Sídlo
Čavoj 0, 97229 Čavoj
Kontrolované obdobie
2016-2019
Termín kontroly
17.07.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Pracovný poriadok neobsahoval podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca, čo nebolo v súlade s ustanovením čl. 24 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nemala spracované pravidlá BOZP, kde by mala bližšie špecifikované nakladanie s osobitnými kategóriami OÚ pri činnosti BOZP, ktoré vyžadovali zvýšenú ochranu a povinnosť mlčanlivosti, čo nebolo v súlade s ustanovením čl. 24 ods. 1 a 2 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď nemala komplexne upravené pravidlá a pokyny pri používaní kamerového systému.
Typ nedostatku: Odchýlka od súladu
Obec nemala spracované pravidlá, podľa ktorých oprávnené osoby postupujú pri nahlasovaní porušenia ochrany osobných údajov dozornému orgánu. Uvedeným spôsobom obec nepostupovala v súlade s čl. 24 ods. 1 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nemal vypracované pravidlá podľa štandardov pre: - manažment rizík pre oblasť informačnej bezpečnosti podľa § 31 písm. f) výnosu o štandardoch ISVS, - fyzickú bezpečnosť a bezpečnosť prostredia a to pre údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu o štandardoch ISVS, pre vymazávanie, vyraďovanie a likvidáciu zariadení IS a všetkých záloh podľa § 35 písm. h) bod 4 výnosu o štandardoch ISVS, - periodické hodnotenie zraniteľnosti podľa § 38 výnosu o štandardoch ISVS, - aktualizáciu IKT podľa § 42 písm. a) výnosu o štandardoch ISVS a nemal zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec pri určení ZO neskúmala, či výkon funkcie ZO nepovedie ku konfliktu záujmov. Prípadný konflikt záujmov ZO mal byť obcou preskúmaný k dátumu účinnosti nariadenia GDPR, pretože konflikt záujmov bol novým právnym inštitútom, zavedený týmto predpisom., čo nebolo s súlade s ustanovením čl. 38 ods. 6 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu
Neexistovali žiadne formalizované výstupy z monitorovania ochrany osobných údajov, ktoré mala zodpovedná osoba vykonávať. Zodpovedná osoba nevypracúvala ani žiadne záznamy o svojej činnosti (napríklad na ročnej báze), čo nebolo v súlade s čl. 39 nariadenia GDPR.
Typ nedostatku: Odchýlka od súladu

Obec Čaňa

IČO
00324060
Sídlo
Osloboditeľov 22, 04414 Čaňa
Kontrolované obdobie
2016-2019
Termín kontroly
04.08.2019 - 17.10.2019
Stav kontroly
Ukončená

Zistenia

Prevádzkovateľ neurčil pravidlá upravujúce postup oprávnených osôb pri prenose OÚ do tretích krajín alebo medzinárodným organizáciám. Prevádzkovateľ tým, že nemá vypracované pravidlá, podľa ktorých oprávnené osoby rozhodujú (pri akomkoľvek právnom základe spracúvania - čl. 6 alebo čl. 9 GDPR) o tom, či prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám je možný (oprávnený) a pri prenosoch vyžadujúcich primerané záruky (čl. 46 GDPR) posudzujú, či pre daný prenos primerané záruky skutočne existujú, nepostupoval v súlade s čl. 6 a čl. 9 v nadväznosti na čl. 44 až 46 Nariadenia /EÚ)
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 18/2018 Z.z.
Bezpečnostné smernice prevádzkovateľa neobsahovali pokyn pre oprávnenú osobu viesť evidenciu alebo vyznačiť v spise, z ktorého dokument obsahujúci OÚ pochádza, že bola vyhotovená, napr. kópia životopisu, kedy bola vyhotovená a na aký účel (resp. pre koho). Smernica neukladala používateľovi povinnosť zmeniť heslo pridelené príslušným zamestnancom (administrátorom napr. pri vytvorení užívateľského účtu, zabudnutí hesla používateľom) po prvom prihlásení a zadať svoje nové heslo. Smernica neobsahovala zákaz používania jedného užívateľského účtu (prihlasovacie meno a heslo) alebo iného autentizačného prostriedku (napr. čipová karta) viacerými používateľmi a zákaz zasielať autentizačné prostriedky (užívateľský účet, PIN a pod.) elektronickou poštou alebo faxom vo forme voľne čitateľného textu. • Práca s pracovnou stanicou Pri práci s pracovnou stanicou prevádzkovateľ neuložil v smernici oprávneným osobám povinnosti povinnosť antivírusovým programom testovať ukladané súbory na pevný disk, prenosné médiá kontrolovať antivírusovým programom pri ich vkladaní, oprávnenej osobe ktorá z rôznych dôvodov pracuje na PC (notebooku) pridelenom inému používateľovi, prihlasovať sa do systému výlučne pod svojim užívateľským účtom. Smernica nezakazovala používateľovi odnímať kryt PC alebo periférnych zariadení ani vykonávať technické zásahy do vnútorných častí PC a periférnych zariadení. Smernica neobsahovala podmienku, že pracovná stanica pridelená používateľovi nesmie zároveň slúžiť ako server pre iných používateľov. • Práca s mobilnými prostriedkami IT Smernica neukladala používateľovi povinnosť uchovávať údaje lokálne na mobilnom prostriedku IT získané z IS organizácie, s ktorými nevyhnutne potrebuje pracovať mimo organizácie a musí ich mať v bezprostrednom dosahu. Smernica nezakazovala používateľovi vykonávať technické zásahy do mobilného prostriedku IT (technickým zásahom nie je výmena batérie, manipulácia so SIM kartou a pod.), zasahovať do bezpečnostnej konfigurácie softvéru nainštalovaného na mobilného prostriedku IT, umožniť prístup cez svoj mobilný prostriedok IT do informačného systému obsahujúceho OÚ osobám (zamestnancom), ktoré nie sú v postavení oprávnenej osoby a inštalovať a používať na mobilnom prostriedku IT neautorizovaný softvér. • Práca s prenosnými médiami Smernica neukladala používateľovi povinnosť uchovávať údaje lokálne na prenosnom médiu z IS organizácie, ktoré nevyhnutne potrebuje k svojej práci a potrebuje ich mať v bezprostrednom dosahu. Smernica nezakazovala použiť v prostriedkoch IT prenosné médium, ktoré je poškodené, javí známky poruchy alebo upozorňuje používateľa, že treba médium skontrolovať, ponechávať prenosné médium vložené do mobilného prostriedku IT alebo PC bez dozoru (voľne prístupné) po ich vypnutí. Obec tým, že ňou vydané smernice neukladali vyššie uvedené povinnosti, resp. nezakazovali zdržať sa nejakej činnosti, nepostupovala v súlade s čl. 24 ods. 1 a 2 a čl. 25 ods. 1 a 2 Nariadenia (EÚ) a § 78 ods. 11 zákona o ochrane OÚ - aplikácia štandardov na procesy spracúvania a ochrany OÚ
Typ nedostatku: Odchýlka od súladu Porušený predpis: 18/2018 Z.z.

Obec Červeník

IČO
00312355
Sídlo
Červeník 26, 92042 Červeník
Kontrolované obdobie
2016-2019
Stav kontroly
Ukončená

Zistenia

V oblasti manažmentu rizík bolo zistené, že obec určila okruh kritických procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných IS podľa ustanovenia § 31 písm. d) výnosu č. 55/2014 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala vypracovaný dokument podľa štandardu pre aktualizáciu IKT podľa § 42 výnosu MFSR 55/2014 Z. z ani postupy schvaľovacieho procesu pre zmeny existujúcich a zavedenie nových informačných systémom ISVS a IKT, ktorý zahŕňa bezpečnostné požiadavky podľa § 42 výnosu 55/2014 Z. z.Kontrolovaný subjekt nemal bližšie špecifikované procesy súvisiace s činnosťou tretej strany v IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Šarovce

IČO
00307521
Sídlo
Šarovce 128, 93552 Šarovce
Kontrolované obdobie
2016-2019
Termín kontroly
22.07.2019 - 23.10.2019
Stav kontroly
Ukončená

Zistenia

Obec nekonala v súlade s čl. 24 ods. 1 nariadenia GDPR, keď nepreskúmala nové povinnosti , ktoré prinášalo GDPR oproti zákonu č. 122/2013 Z. z
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nepostupovala v súlade s čl. 24 ods. 1 a 2 nariadenia GDPR, keď interné akty riadenia neobsahovali a nešpecifikovali presné pokyny pre oprávnené osoby, a to podľa nedostatkov uvedených v bodoch 2.1.1.,2.1.3 a 2.1.4 protokolu o výsledku kontroly
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec spracúvala osobné údaje prostredníctvom kamerového systému bez balančného testu, resp. testu proporcionality, či nad záujmami prevádzkovateľa neprevažovali záujmy dotknutých osôb tak, ako to predpokladá nariadenie GDPR a zdôrazňuje sa v recitáli 47 k nariadeniu GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Posúdenie vplyvu neobsahovalo náležitosti podľa čl. 35 ods. 7 písm. a) b) a d) nariadenia GDPR, ako účel spracúvania, vrátane oprávneného záujmu, posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu, ani opatrenia na riešenie rizík.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nekonala v súlade s čl. 38 ods. 2, podľa ktorého „Prevádzkovateľ ... podporuje zodpovednú osobu pri plnení úloh a to tak, že poskytuje zdroje potrebné na plnenie jej úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zdroje na udržiavanie jej odborných znalostí“
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Spracúvanie OÚ bez uzatvorenej sprostredkovateľskej zmluvy nebolo v súlade s ustanovením čl. 28 bod 3 nariadenia GDPR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Tým, že obec neupravila postup tretej strany pri použití prenosného média s možnosťou zápisu v prostredí informačno-komunikačných systémov obce, nedodržala ustanovenie § 43 písm. c) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie § 29 písm. c) výnosu o štandardoch pre IS, nakoľko „Štandardom pre riadenie informačnej bezpečnosti je určenie osoby alebo osôb zodpovedných za informačnú bezpečnosť povinnej osoby vrátane zodpovednosti za bezpečnosť všetkých IS VS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nedodržala ustanovenie § 30 písm. a) výnosu o štandardoch pre IS, nakoľko „Štandardom pre personálnu bezpečnosť je zabezpečenie, aby boli všetci zamestnanci povinnej osoby a osoby, ktoré vykonávajú činnosti pre povinnú osobu vyplývajúce zo zmluvných záväzkov (tretia strana) poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nevykonala kontrolu v určenom intervale, nekonala v súlade s § 32 písm. a) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nevykonávala pravidelné hodnotenie slabých miest a ohrození IS VS, nekonala v súlade s § 38 písm. a) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že neviedla evidenciu o všetkých miestach prepojenia sietí, porušila ustanovenie § 34 písm. b) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec tým, že nemala vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku, nedodržala ustanovenie § 41 písm. f) výnosu o štandardoch pre IS.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec nemala zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IT, ktorý zahŕňa bezpečnostné požiadavky podľa ustanovenia § 42 písm. a) výnosu o štandardoch pre IS
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Obec Ždaňa

IČO
00324973
Sídlo
Ždaňa 118, 04411 Ždaňa
Kontrolované obdobie
2016-2019
Termín kontroly
25.07.2019 - 28.10.2019
Stav kontroly
Ukončená

Zistenia

Prevádzkovateľ (obec) neinformoval o lehote, v ktorej bude žiadosť dotknutej osoby o uplatnenie práva vybavená a ani o podrobnostiach, za akých okolností môže byť lehota na vybavenie žiadosti predĺžená a tiež, že o predĺžení je prevádzkovateľ povinný dotknutú osobu informovať, čím nepostupoval v súlade s čl. 12 ods. 1 až 3 Nariadenia EÚ GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ (obec) neinformoval o tom, za akých okolností môže prevádzkovateľ odmietnuť konať na základe žiadosti (o uplatnenie práva) dotknutej osoby, čím nepostupoval v súlade s čl. 12 ods. 1, 2 a 5 Nariadenia EÚ GDPR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 2016/679
Prevádzkovateľ (obec) neinformoval o tom, v akých IS osobné údaje spracúva, na akom právnom základe a na aký účel, čo bolo v rozpore s čl. 12 ods. 1 a ods. 2 Nariadenia EÚ GDPR a čl. 13 ods. 1 písm. c) Nariadenia EÚ GDPR.
Typ nedostatku: Odchýlka od súladu, Odchýlka od súladu Porušený predpis: 2016/679, 2016/679
Obec mala vypracované, platné a účinne bezpečnostné dokumenty (Bezpečnostné opatrenia-Implementácia bezpečnostnej politiky, Bezpečnostnú smernicu, Bezpečnostnú smernicu informačnej bezpečnosti a Bezpečnostnú politiku obce Ždaňa – Smernica). Ani jedna z vyššie vymenovaných smerníc, neukladala oprávneným osobám povinnosť overiť po zadaní webovej adresy a pred vložením osobných údajov do prostredia webovej stránky, či elektronická adresa (e-mailová adresa), na ktorú sa správa posiela, skutočne patrí osobe (osobám), ktorým je správa určená. Neukladala ani vykonať kontrolu presmerovania, tzn. či skutočne dochádza k presmerovaniu na požadovanú cieľovú webovú stránku
Typ nedostatku: Formálna nezrovnalosť
Dokument Bezpečnostná politika obce Ždaňa neobsahoval vymedzenie dokumentov, ktoré by mala obec vypracovať na zaistenie informačnej bezpečnosti, ako to ukladal § 29 písm. a) bod 13 výnosu MF SR
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec neviedla evidenciu o miestach prepojenia sietí, ktoré sú v správe obce ani prepojenia s externými sieťami, ako to ukladal § 34 písm. b) výnosu MF SR.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
Obec pred poverením zodpovednej osoby, (ekonómku ZŠ Ždaňa), nepreverovala jej bezúhonnosť, ako to ukladal § 23 ods. 6 a 7 zákona č. 122/2013 Z. z.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 122/2013 Z.z.

Sociálna poisťovňa

IČO
30807484
Sídlo
29. augusta 8 - 10, 81363 Bratislava-Staré Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
14.07.2019 - 10.10.2019
Stav kontroly
Ukončená

Zistenia

SP síce zabezpečila vypracovanie Kyberbezpečnostnej štúdie do 25.5.2018 ale vyššie uvedené nedostatky neodstránila do 25.05.2018 t. j. ešte pred nadobudnutím účinnosti Nariadenia (EÚ) a zákona 18/2018, čím nezabezpečila súlad s čl. 12 ods. 1 a 2, čl. 24 ods. 1 a 2, čl. 25, 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018.
Typ nedostatku: Odchýlka od súladu
SP nekonala v súlade s čl. 24 ods. 1 druhá veta Nariadenia (EÚ), keď nepreskúmala a neaktualizovala Bezpečnostný projekt IS z roku 2016.
Typ nedostatku: Odchýlka od súladu
SP v súvislosti s ustanovením zodpovednej osoby do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie (zodpovedná osoba je v konflikte záujmov) nekonala v súlade s čl. 38 ods. 3 a 6 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ vyžadoval súhlas dotknutej osoby so spracúvaním jej osobných údajov pre zaistenie pracovnoprávnych vzťahov a povinností pred podpisom zmluvy a výberové konania podmieňoval súhlasom uchádzačov so spracúvaním osobných údajov. To nebolo v súlade s čl. 6 bod 1 písm. b) Nariadenia (EÚ), podľa ktorého spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená podmienka, že spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.
Typ nedostatku: Odchýlka od súladu
SP nepostupovala v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracovala pravidlá a nezdokumentovala pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa v súvislosti s opravou a vymazaním osobných údajov alebo obmedzením spracúvania.
Typ nedostatku: Odchýlka od súladu
SP v súvislosti s monitorovaním elektronickej pošty zamestnancov v pracovnej dobe, nekonala v súlade s § 13 ods. 4 Zákonníka práce, keď dôvody monitorovania vopred neprerokovala so zástupcami zamestnancov.
Typ nedostatku: Odchýlka od súladu
SP neprijala pravidlá a nevydala pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 Nariadenia (EÚ), ako nakladať s osobnými údajmi, ktoré boli zaznamenané pri kontrolnej činnosti podľa § 9 ods.1 písm. b) zákona o BOZP.
Typ nedostatku: Odchýlka od súladu
SP v tých prípadoch, keď nepreveroval sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupoval v súlade s čl. 28 ods.1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nemal vypracované pravidlá podľa štandardov pre: • vypracovanie plánov na obnovu činnosti nefunkčných, poškodených alebo zničených kritických systémov IS VS podľa § 31 písm. f) výnosu MF SR, • zabezpečenie archivácie, ochrany a vyhodnocovania auditných správ podľa § 32 písm. b) výnosu MF SR, • zabezpečenie aktualizácií inštalovaného ochranného softvéru podľa štandardu pre aktualizáciu SW v súlade s § 36 výnosu MF SR. • umožnenie fyzickým osobám zodpovedným za správu a prevádzku IS, prístup iba k takým údajom a funkciám v týchto IS, ktoré nevyhnutne potrebujú na vykonávanie pridelených úloh podľa § 41 písm. h) výnosu MF SR.
Typ nedostatku: Odchýlka od súladu

Všeobecná zdravotná poisťovňa, a.s.

IČO
35937874
Sídlo
Panónska cesta 2, 85104 Bratislava-Petržalka
Kontrolované obdobie
2016-2019
Termín kontroly
11.07.2019 - 24.10.2019
Stav kontroly
Ukončená

Úrad geodézie, kartografie a katastra Slovenskej republiky

IČO
00166260
Sídlo
Chlumeckého 2, 82012 Bratislava-Ružinov
Kontrolované obdobie
2016-2019
Termín kontroly
26.05.2019 - 20.08.2019
Stav kontroly
Ukončená

Zistenia

ÚGKK SR nekonal v súlade s čl. 12 ods. 1 a 2, čl. 24 ods. 1 a 2, čl. 25, 28 a 30 a čl. 32 až 39 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018, keď „Analýzu stavu údajov voči GDPR“ nevykonal a vyššie uvedené nedostatky neodstránil do 25.05.2018 ešte pred nadobudnutím účinnosti Nariadenia (EÚ) a zákona 18/2018.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nekonal v súlade s čl. 24 ods. 1 a 2 a čl. 33 a 34 Nariadenia (EÚ), keď nevypracoval postup pre vyhodnotenie závažnosti porušenia ochrany osobných údajov pre prípad potreby oznámenia porušenia dozornému orgánu resp. dotknutej osobe a neupravil postup a spôsob oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe, napríklad v bezpečnostnej smernici.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nesplnil povinnosť ustanovenú prevádzkovateľovi v čl. 33 ods. 5 Nariadenia (EÚ), keď nezaviedol dokumentáciu porušenia ochrany osobných údajov, v ktorej je povinný zadokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nekonal v súlade s čl. 24 ods. 1 druhá veta Nariadenia (EÚ), keď nepreskúmal a neaktualizoval Bezpečnostný projekt IS z roku 2016 alebo nevypracoval novú bezpečnostnú dokumentáciu - Analýzu bezpečnosti IS a Bezpečnostnú smernicu.
Typ nedostatku: Odchýlka od súladu
Určenie osoby, ktorá je vo funkcii riaditeľa odboru informatiky do funkcie manažéra informačnej bezpečnosti, nie je v súlade s § 78 ods. 11 zákona 18/2018 a s dobrou praxou (Best Practice), ktorá vyplýva z medzinárodných bezpečnostných štandardov, napríklad STN ISO/IEC 27001:2014, STN ISO/IEC 27002:2014.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR v súvislosti s ustanovením zodpovednej osoby do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie (zodpovedná osoba je v konflikte záujmov) nekonal v súlade s čl. 38 ods. 3 a 6 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nezabezpečil plnenie úloh zodpovednou osobou v súlade s čl. 39 ods. 1 písm. a), b) a e) Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nepostupoval v súlade s čl. 35 ods. 1 až 3 Nariadenia (EÚ) a Usmernením WP 29 týkajúcom sa posúdenia vplyvu, keďže pred nadobudnutím účinnosti Nariadenia (EÚ) ani neskôr nevykonal posúdenie vplyvu na ochranu údajov a v tejto súvislosti sa neradil so zodpovednou osobou.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR spracúval osobné údaje prostredníctvom kamerových systémov bez dôkladného posúdenia (balančného testu, resp. testu proporcionality), či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá Nariadenie (EÚ) a zdôrazňuje sa v recitáli 47 k Nariadeniu (EÚ).
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá (metodiku), resp. nezdokumentoval pokyny pre oprávnené osoby: - pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby, ktoré by obsahovali podrobnosti o informáciách, ktoré sú povinné oznámiť dotknutej osobe a postupoch, ktoré sú povinné plniť pri spracúvaní v rôznych situáciách a pri odvolaní súhlasu, - na aplikáciu kritérií ustanovených v čl. 6 ods. 4 Nariadenia (EÚ), - pre prípady, kedy dochádza k spracúvaniu osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia (EÚ), - pre prípady, kedy dochádza (mohlo by dôjsť) k prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nepostupoval v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá a nezdokumentoval pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa v súvislosti s opravou a vymazaním osobných údajov alebo obmedzením spracúvania.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nekonal v súlade s čl. 24 ods. 1 posledná veta a čl. 32 ods. 4 Nariadenia (EÚ), keď bezpečnostné opatrenia v Záznamoch o poučení oprávnených osôb vypracované podľa zákona 122/2013 neaktualizoval minimálne v tom rozsahu, aby do záznamu o poučení zapracoval nové povinnosti podľa Nariadenia (EÚ), odkazy na právny predpis uviedol do súladu s novým právnym stavom a s takto aktualizovaným záznamom opätovne oboznámil oprávnené osoby a zaviazať ich jeho dodržiavaním.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR v súvislosti s monitorovaním elektronickej pošty zamestnancov a prístupom zamestnancov na webové stránky v pracovnej dobe, nekonal v súlade s § 13 ods. 4 Zákonníka práce, keď dôvody monitorovania vopred neprerokoval so zástupcami zamestnancov.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keďže podrobne a komplexne neformalizoval prístupové práva používateľov do IS obsahujúcich osobné údaje, ich oprávnenia na vykonávanie spracovateľských operácií a ani základné pravidlá a pokyny pre bezpečné spracúvanie osobných údajov oprávnenými osobami, používateľmi, neautomatizovanými a automatizovanými prostriedkami spracúvania.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR nekonal v súlade s § 22 ods.1 a § 109 ods.1 zákona o štátnej službe, keď nevydal služobný poriadok po jeho predchádzajúcom odsúhlasení zástupcami zamestnancov.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR neprijal pravidlá a nevydal pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 Nariadenia (EÚ), ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje fyzickej osoby.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR neprijal pravidlá a nevydal pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 Nariadenia (EÚ), ako nakladať s osobnými údajmi, ktoré boli zaznamenané pri kontrolnej činnosti podľa § 9 ods.1 písm. b) zákona o BOZP.
Typ nedostatku: Odchýlka od súladu
ÚGKK SR v prípadoch, keď nepreveroval sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupoval v súlade s čl. 28 ods.1 Nariadenia (EÚ).
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nekonal v súlade s § 29 výnosu MF SR, keď nevypracoval bezpečnostnú politiku.
Typ nedostatku: Odchýlka od súladu
Prevádzkovateľ nemal vypracované pravidlá podľa štandardov pre: • personálnu bezpečnosť podľa § 30 písm. a) a c) výnosu MF SR, • manažment rizík pre oblasť informačnej bezpečnosti podľa § 31 písm. d) a f) výnosu MF SR, • kontrolný mechanizmus riadenia informačnej bezpečnosti podľa § 32 výnosu MF SR a taktiež nevykonával vnútornú kontrolu / audit informačnej bezpečnosti podľa § 32 písm. a) výnosu MF SR, • ochranu proti škodlivému kódu podľa § 33 výnosu MF SR, • fyzickú bezpečnosť a bezpečnosť prostredia a to pre údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu MF SR, pre narábanie s údajmi v elektronickej podobe, dokumentáciou systému a pamäťovými médiami, aby sa zabránilo ich neoprávnenému zverejneniu, odstráneniu, poškodeniu, modifikácii podľa § 35 písm. h) bod 6 výnosu MF SR a pre vymazávanie, vyraďovanie a likvidáciu zariadení IS a všetkých záloh podľa § 35 písm. h) bod 4 výnosu MF SR, • periodické hodnotenie zraniteľnosti podľa § 38 výnosu MF SR, • zálohovanie podľa § 39 výnosu MF SR, a nemal zabezpečené ani fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú technické prostriedky IS VS v podľa s § 40 písm. b) výnosu MF SR, • riadenie prístupu podľa § 41 výnosu MF SR, nemal vypracované bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku podľa § 41 písm. f) výnosu MF SR, a nemal ani zabezpečené, aby fyzické osoby zodpovedné za správu a prevádzku IS VS mali prístup len k údajom, ktoré nevyhnutne potrebujú na vykonávanie pridelených úloh podľa § 41 písm. h) výnosu MF SR a taktiež neviedol formalizovanú dokumentáciu prístupových práv všetkých používateľov IS VS podľa § 41 písm. j) výnosu MF SR, • aktualizáciu IKT podľa § 42 písm. a) výnosu MF SR a nemal zavedené postupy a schvaľovací proces pre zmeny existujúcich a zavedenie nových IS VS a IKT, • účasť tretej strany podľa § 43 výnosu MF SR.
Typ nedostatku: Odchýlka od súladu

Ústredie práce, sociálnych vecí a rodiny

IČO
30794536
Sídlo
Špitálska 8, 81267 Bratislava-Staré Mesto
Kontrolované obdobie
2016-2019
Termín kontroly
11.07.2019 - 29.10.2019
Stav kontroly
Ukončená

Zistenia

ÚPSVaR tým, že Štúdiu uskutočniteľnosti GDPR nevykonalo v termíne do 25.05.2018, neidentifikovalo rozdiely a nedostatky, nenavrhlo technické, organizačné opatrenia potrebné na elimináciu zistených nedostatkov a neprijalo adekvátne opatrenia na plné zabezpečenie spracúvania osobných údajov pred nadobudnutím účinnosti GDPR a zákona, nepostupovalo v zmysle čl. 24 ods. 1 a 2 GDPR a ustanovenia § 31 ods. 1 zákona 18/2018.
Typ nedostatku: Odchýlka od súladu
ÚPSVaR nekonalo v súlade s čl. 24 ods. 1 GDPR, tým že nepreskúmalo a neaktualizovalo Bezpečnostný projekt IS z roku 2014 alebo nevypracovalo novú bezpečnostnú dokumentáciu t. j. Analýzu bezpečnosti IS a Bezpečnostnú smernicu.
Typ nedostatku: Odchýlka od súladu
ÚPSVaR v súvislosti s ustanovením ZO do funkcie a určením jej postavenia a pôsobnosti v rámci organizácie nekonalo v súlade s čl. 38 ods. 3 GDPR. Prevádzkovateľ a sprostredkovateľ zabezpečia, aby ZO v súvislosti s plnením týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. ZO podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.
Typ nedostatku: Odchýlka od súladu
Úrad práce v Bratislave nepostupoval v zmysle ustanovení §§ 6 ods. 3 a 107 ods. 1 zákona o štátnej službe, keď nevypracoval opis štátnozamestnaneckého miesta na predpísanom tlačive a nezaložil písomnosti týkajúce sa štátnozamestnaneckého pomeru štátneho zamestnanca do jeho osobného spisu.
Typ nedostatku: Odchýlka od súladu
Úrad práce v Bratislave nepostupoval v zmysle ustanovení §§ 6 ods. 3 a 107 ods. 1 zákona o štátnej službe, keď nevypracoval opis štátnozamestnaneckého miesta na predpísanom tlačive a nezaložil písomnosti týkajúce sa štátnozamestnaneckého pomeru štátneho zamestnanca do jeho osobného spisu.
Typ nedostatku: Odchýlka od súladu
ÚPSVaR nepostupovalo správne, podľa článku 37 ods. 1 písm. b) a podľa ods. 3 GDPR, keď stanovil vyšší počet ZO než bolo právnymi normami stanovené.
Typ nedostatku: Odchýlka od súladu
ÚPSVaR neprijalo pravidlá a nevydalo pokyn pre oprávnené osoby na 46 úradoch práce, sociálnych vecí a rodiny v súlade s čl. 32 ods. 4 GDPR, ako aplikovať ustanovenia týkajúce sa majetkových priznaní.
Typ nedostatku: Odchýlka od súladu
ÚPSVaR neprijalo pravidlá a nevydalo pokyn pre oprávnené osoby v súlade s čl. 32 ods. 4 GDPR, ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje FO.
Typ nedostatku: Odchýlka od súladu
Kontrolovaný subjekt nekonal v súlade s ustanoveniami § 29 až § 43 výnosu MF SR, keď neaktualizoval Bezpečnostný projekt. Zároveň mal kontrolovaný subjekt vypracovať aktualizovanú Bezpečnostnú smernicu na ochranu osobných údajov, ktorá by vychádzala z prijatej Bezpečnostnej politiky a bola by súčasťou aktualizovaného Bezpečnostného projektu.
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.

Žilinský samosprávny kraj

IČO
37808427
Sídlo
Komenského 2622/48, 01109 Žilina
Kontrolované obdobie
2016-2019
Termín kontroly
28.05.2019 - 30.09.2019
Stav kontroly
Ukončená

Zistenia

Bezpečnostná smernica na ochranu osobných údajov a smernica Oznamovanie porušenia osobných údajov boli účinné od 01.02.2019, t. j. od 25.05.2018 do 01.02.2019 neboli v ŽSK precizované viaceré postupy, ktoré mali oprávnené osoby ŽSK aplikovať v súvislosti s nariadením GDPR. To bolo spôsobené dĺžkou interného schvaľovacieho procesu smerníc. Zároveň došlo k porušeniu ustanovenia § 24 ods. 1 nariadenia GDPR, podľa ktorého prijaté opatrenia sa podľa potreby preskúmajú a aktualizujú.
Typ nedostatku: Formálna nezrovnalosť
Pracovný poriadok neobsahoval podmienku, že majetkové priznania zamestnancov sa spracúvajú v osobitnom IS a nezakladajú sa do osobného spisu zamestnanca.
Typ nedostatku: Formálna nezrovnalosť
nakladanie s osobitnými kategóriami OÚ pri činnosti BOZP nebolo detailnejšie upravené. Tieto OÚ si vyžadovali zvýšenú ochranu a povinnosť mlčanlivosti.
Typ nedostatku: Formálna nezrovnalosť
ŽSK neplnil k 25.05.2018 požiadavky nariadenia GDPR v rozsahu - oblasti spracúvania osobných údajov podľa čl. 5 nariadenia GPDR, - oblasti podmienok vyjadrenia súhlasu podľa čl. 7 nariadenia GDPR, - oblasti transparentnosti informácií, oznámenia a postupov výkonu práv dotknutej osoby podľa čl. 12 nariadenia GDPR, - oblasti informácií, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby podľa čl. 13 nariadenia GDPR, - oblasti informácií, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby podľa čl. 14 nariadenia GDPR, - oblasti práva dotknutej osoby na prístup k údajom podľa čl. 15 nariadenia GDPR, - oblasti práva na opravu, vymazanie a na obmedzenie spracúvania podľa čl. 16, 17 a 18 nariadenia GDPR, - oblasti oznamovacej povinnosti podľa čl. 19 nariadenia GDPR, - oblasti práva na prenosnosť údajov a práva namietať podľa čl. 20 a 21 nariadenia GDPR, - oblasti zodpovednosti prevádzkovateľa podľa čl. 24 nariadenia GDPR, - oblasti sprostredkovateľov podľa čl. 28 nariadenia GDPR, - oblasti záznamov o spracovateľských činnostiach podľa čl. 30 nariadenia GDPR, - oblasti bezpečnosti spracúvania osobných údajov podľa čl. 32 nariadenia GDPR, - oblasti oznámenia porušenia ochrany osobných údajov dozornému orgánu a dotknutej osobe podľa čl. 33 a 34 nariadenia GDPR, - oblasti posúdenia vplyvu na ochranu osobných údajov podľa čl. 35 nariadenia GDPR
Typ nedostatku: Formálna nezrovnalosť
Údaje na pevných diskoch prenosných zariadení neboli šifrované a to aj napriek tomu, že to bolo odporučené bezpečnostným auditom.
Typ nedostatku: Formálna nezrovnalosť
smernica ani príkladom neuvádzala, akým spôsobom by oprávnená osoba mohla zabezpečiť distribúciu príslušných hesiel príjemcovi informácie v prípade zasielanie údajov emailom
Typ nedostatku: Formálna nezrovnalosť
ŽSK nevykonal balančný test oprávneného záujmu prevádzkovateľa pre kamerový IS. Ten bol esenciálnou podmienkou pre zákonné spracúvanie OÚ, ak bol právnym základom oprávnený záujem.
Typ nedostatku: Formálna nezrovnalosť
ŽSK pri určení ZO neskúmal, či výkon funkcie ZO nepovedie ku konfliktu záujmov. Prípadný konflikt záujmov ZO mal byť ŽSK preskúmaný k dátumu účinnosti nariadenia GDPR, pretože konflikt záujmov bol novým právnym inštitútom, zavedený týmto predpisom.
Typ nedostatku: Formálna nezrovnalosť
neexistovali žiadne formalizované výstupy z monitorovania ochrany OÚ, ktoré mala ZO vykonávať. ZO nevypracúvala ani žiadne záznamy o svojej činnosti (napríklad na ročnej báze).
Typ nedostatku: Formálna nezrovnalosť
ŽSK nepreveroval, či sprostredkovatelia prijali primerané technické a organizačné opatrenia v súlade s nariadením GDPR a spoliehal na iba na ich vyhlásenie. To však nezaručovalo istotu, že sprostredkovatelia prijmú primerané opatrenia tak, ako deklarovali svojim vyhlásením podľa čl. 28 ods. 1 nariadenia GDPR. ŽSK nemal precizované postupy pre uzatváranie zmlúv so sprostredkovateľmi.
Typ nedostatku: Formálna nezrovnalosť
Neboli vytvorené postupy (metodiky) pre: -začlenenie požiadaviek na ochranu údajov do požiadaviek pre nové systémy a do pravidiel pre vývoj a nákup systémov, -začlenenie požiadaviek na ochranu údajov do zmluvných vzťahov s dodávateľmi a tretími stranami, -monitorovanie a pravidelné preskúmavanie úrovne bezpečnosti služieb poskytovaných dodávateľmi a tento stav pretrvával aj počas výkonu kontroly NKU SR, čo nebolo v súlade s ustanovením § 42 písm. a) výnosu č. 55/2014 Z. z.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 55/2014 Z.z.
Späť