podpora@humanet.sk +421 905 510 687 +421 905 499 052 Podpora Videonávody Príručky Školenia Novinky

22.10.2013 / Zákon o ochrane osobných údajov a mzdový a účtovný program

Zákon o ochrane osobných údajov

1. júla 2013 vstúpil do platnosti nový Zákon o ochrane osobných údajov č. 122/2013, ktorý vyvolal u spracovateľov miezd a účtovníctva mnoho otázok. V príspevku prinášame odpovede na niektoré z nich.

Koho sa Zákon o ochrane osobných údajov týka?

Zákon slúži na ochranu práv fyzických osôb pred neoprávneným zasahovaním do ich súkromného života pri spracovávaní ich osobných údajov. Nevzťahuje sa na spracovanie údajov právnických osôb a fyzických osôb živnostníkov. Inými slovami, týka sa spracovania miezd a spracovania účtovníctva, ak je medzi partnermi čo len jedna fyzická osoba (POZOR, nie živnostník fyzická osoba).

Čo znamenajú niektoré základné pojmy?

Prevádzkovateľ: Ten, kto spracováva osobné údaje pre svoju potrebu. V oblasti personalistiky a miezd je to zamestnávateľ (§ 4 ods. 2 písm. b).

Sprostredkovateľ: Ten, kto v mene iného prevádzkovateľa spracováva osobné údaje pre potreby prevádzkovateľa. Sprostredkovateľ je povinný uzatvoriť s prevádzkovateľom písomnú zmluvu, ktorej náležitosti určuje zákon (§ 4 ods. 2 písm. d).

Oprávnená osoba: Ten, kto prichádza do styku s osobnými údajmi. Musí byť riadne poučený v otázke ochrany osobných údajov (§ 4 ods. 2 písm. e).

Zodpovedná osoba: Ten, kto vykonáva dohľad nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov. Musí spĺňať podmienky podľa zákona, musí absolvovať skúšku a musí byť písomne poverený prevádzkovateľom. Zodpovednú osobu musí poveriť prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom 20 a viac oprávnených osôb (tretia hlava zákona).

Dotknutá osoba: Ten, ktorého údaje sa spracovávajú (zamestnanec, uchádzač) (§ 4 ods. 2 písm. a).

Bezpečnosť osobných údajov: Za ochranu osobných údajov je zodpovedný vždy priamo prevádzkovateľ. Ten je povinný chrániť spracované údaje pred ich poškodením, stratou, neoprávneným prístupom či sprístupnením. Pre tento účel je povinný prijať primerané bezpečnostné opatrenia, ktoré zdokumentuje v bezpečnostnej smernici alebo bezpečnostnom projekte (druhá hlava zákona).

Má zamestnávateľ povinnosť registrovať mzdový softvér?

Prevádzkovateľ, ktorý spracúva mzdy, nie je povinný registrovať informačný systém, v ktorom sa spracúvajú osobné údaje jeho zamestnancov, nakoľko pri personálnej a mzdovej agende sa uplatňuje výnimka podľa § 34 ods. 2 písm. d) zákona č. 122/2013 Z. z. Keďže sa na dané informačné systémy nevzťahuje povinnosť registrácie, bude potrebné daný informačný systém evidovať podľa § 43 zákona č. 122/2013 Z. z. Túto evidenciu je povinný viesť prevádzkovateľ.

Ako zabezpečiť osobné údaje v mzdovom a účtovnom programe?

Vzhľadom na to, že za ochranu osobných údajov je zodpovedný samotný prevádzkovateľ, dodávatelia ekonomického systému nenesú zodpovednosť za možné zneužitie osobných údajov, ktoré spracovávate v ekonomickom programe.

Zabezpečenie spracovaných údajov je plne na strane používateľa systému ako prevádzkovateľa. Ten je povinný prijať primerané opatrenia na ich zabezpečenie. Tieto by mali byť uvedené v bezpečnostnom projekte resp. smernici. Tu sa odborníkmi IT odporúča vyčerpávajúcim spôsobom popísať zabezpečenie osobných údajov, vrátane hrozieb, ktoré sa týkajú softvéru, v ktorom sa osobné údaje spracovávajú (inak povedané, analýza rizík u prevádzkovateľa, prípadne riešenie rizík spracovania u sprostredkovateľa).

Niekoľko tipov, ktoré môžete pri vytváraní bezpečnostného projektu resp. smernice použiť:

  1. Zabezpečenie objektu a priestorov, kde sa osobné údaje v listinnej resp. elektronickej podobe nachádzajú – uzamykanie dverí, elektrické zabezpečovacie systémy, mreže a pod.
  2. Vylúčiť neoprávnený prístup k spracovávaným osobným údajom. Systém Humanet používa viacere bezpečnostné prvky.
    • Zabezpečenie internetového servera protokolom HTTPS využívajúci SSL certifikát pre zabezpečenie kódovania dát pri putovaní prostredím internetu.
    • Autorizácia užívateľa – prístup do systému na základe zadania prístupového mena a hesla.
    • Možnosť meniť prístupové heslo do systému.
    • Možnosť spustiť nadstavbovú funkciu autorizácie užívateľa - emailovú notifikáciu.
    • Zálohovanie dát prevádzkovateľom servera v pravidelných intervaloch niekoľkokrát denne.
    • Možnosť zálohovať dáta systému užívateľom na vlastný dátový nosič.

Na ktoré termíny nezabudnúť?

31.12.2013 - prevádzkovateľ je povinný všetky informačné systémy zosúladiť podľa požiadaviek nového zákona, v prípade povinnosti vykonať novú registráciu resp. osobitnú registráciu informačného systému a poučiť oprávnené osoby.

31.3.2014 - prevádzkovateľ je povinný vypracovať bezpečnostný projekt, resp. smernicu a zosúladiť všetky bezpečnostné opatrenia podľa požiadaviek nového zákona.

30.6.2014 - prevádzkovateľ je povinný zosúladiť zmluvný vzťah so sprostredkovateľom podľa nového zákona a tiež je povinný písomne poveriť a nahlásiť zodpovednú osobu.