- IČO
- 36063606
- Sídlo
- Sabinovská 16, 82005 Bratislava-Ružinov
- Kontrolované obdobie
- 2016-2019
- Termín kontroly
- 15.07.2019 - 05.11.2019
- Stav kontroly
- Ukončená
Zistenia
BSK zabezpečil vypracovanie GAP analýzy do 25.5.2018 ale opatrenia prijaté na odstránenie nedostatkov neboli do 25.5.2018 splnené, čím nezabezpečil súlad s čl. 12 ods. 1 a 2, čl. 24 ods. 1 a 2, čl. 35 Nariadenia (EÚ) a § 78 ods. 11 zákona 18/2018.
BSK nepostupoval v súlade s čl. 35 ods. 1 až 3 Nariadenia (EÚ) a Usmernením WP 29 týkajúcom sa posúdenia vplyvu, keďže pred nadobudnutím účinnosti Nariadenia (EÚ) ani neskôr nevykonal posúdenie vplyvu na ochranu údajov a v tejto súvislosti sa neradil so zodpovednou osobou.
BSK spracúval osobné údaje prostredníctvom kamerových systémov bez dôkladného posúdenia (balančného testu, resp. testu proporcionality), či nad záujmami prevádzkovateľa neprevažujú záujmy dotknutých osôb tak, ako to predpokladá Nariadenie (EÚ).
BSK nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá (metodiku), resp. nezdokumentoval pokyny pre oprávnené osoby:
- pri spracúvaní osobných údajov na základe súhlasu dotknutej osoby, ktoré by obsahovali podrobnosti o informáciách, ktoré sú povinné oznámiť dotknutej osobe a postupoch, ktoré sú povinné plniť pri uplatňovaní práv dotknutej osoby, - na aplikáciu kritérií ustanovených v čl. 6 ods. 4 Nariadenia (EÚ),
- pre prípady, kedy dochádza k spracúvaniu osobitných kategórií osobných údajov podľa čl. 9 ods. 1 Nariadenia (EÚ),
- pre prípady, kedy dochádza k prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám.
BSK nepostupoval v súlade s čl. 12 ods. 1 až 7 a čl. 24 ods. 1 a 2 Nariadenia (EÚ), keď nevypracoval pravidlá a nezdokumentoval pokyny pre oprávnené osoby, ktoré by komplexne riešili postupy pri získavaní osobných údajov, uplatňovaní práv dotknutých osôb a plnení oznamovacej povinnosti prevádzkovateľa v súvislosti s opravou a vymazaním osobných údajov alebo obmedzením spracúvania.
BSK nepostupoval v súlade s čl. 24 ods. 1 a 2 Nariadenia (EÚ), keďže podrobne a komplexne neformalizoval prístupové práva používateľov do IS obsahujúcich osobné údaje, ich oprávnenia na vykonávanie spracovateľských operácií a ani základné pravidlá a pokyny pre bezpečné spracúvanie osobných údajov oprávnenými osobami.
BSK nemal vypracovaný interný akt riadenia, v ktorom by upravil postupy pre oprávnené osoby, ako aplikovať ustanovenia § 9 ods. 1 až 3 zákona o slobode informácií a za akých podmienok by mali poskytnúť informáciu, ak obsahuje osobné údaje fyzickej osoby.
Interný akt riadenia prevádzkovateľa pre oblasť bezpečnosti a ochrany zdravia pri práci neobsahoval podrobnosti o nakladaní s osobnými údajmi, ktoré boli zaznamenané pri kontrolnej činnosti podľa § 9 ods.1 písm. b) zákona o BOZP.
BSK tým, že nepreveroval sprostredkovateľov, či poskytujú dostatočné záruky na to, že prijmú primerané technické a organizačné opatrenia v súlade s Nariadením (EÚ), nepostupoval v súlade s čl. 28 ods.1 Nariadenia (EÚ).
Osobou zodpovednou za informačnú bezpečnosť podľa § 29 písm. c) výnosu MF SR, tzv. manažér bezpečnosti, bol v BSK vedúci oddelenia informatiky BSK, čo nebolo v súlade s § 78 ods. 11 zákona 18/2018 a dobrou praxou (Best Practice).
Prevádzkovateľ nemal vypracované pravidlá alebo zdokumentované pokyny podľa štandardov pre:
- sieťovú bezpečnosť podľa § 34 výnosu MF SR,
- fyzickú bezpečnosť a bezpečnosť prostredia podľa § 35 výnosu MF SR, prácu v zabezpečenom priestore v súlade s § 35 písm. d) výnosu MF SR, údržbu, uchovávanie a evidenciu technických komponentov IS podľa § 35 písm. h) bod 1 výnosu MF SR.
- aktualizáciu softvéru podľa § 36 výnosu MF SR,
- postup riešenia jednotlivých typov bezpečnostných incidentov a spôsob ich vyhodnotenia podľa § 37 písm. a) bod 2 výnosu MF SR,
- zabezpečenie fyzického ukladania druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú technické prostriedky IS VS podľa § 40 písm. b) výnosu MF SR,
- bezpečnostné zásady pre mobilné pripojenie do IS VS a pre prácu na diaľku podľa § 41 písm. f) výnosu MF SR,
- účasť tretej strany podľa § 43 výnosu MF SR.