Vzor

Smernica o riešení bezpečnostných prípadov (incidentov)

v Neziskovej organizácii ..........

Článok I
Úvodné ustanovenia

Smernica upravuje povinnosti všetkých zamestnancov Neziskovej organizácie ........... (upraví sa interne, ďalej vo vzorovej smernici ako „Prevádzkovateľ“) pri hlásení a riešení bezpečnostných prípadov – incidentov pri disponovaní s programovým či softvérovým alebo iným vybavením technického charakteru vo vzťahu k ochrane osobných údajov v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a Smernice č. ...... zo dňa ....... o ochrane osobných údajov (upraví sa interne, ak je u vás spracovaná a účinná). Smernica nadväzuje na normatívny právny akt, a to Nariadenie Európskeho parlamentu a Rady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES, je nariadenie Európskej únie, ktorého cieľom je výrazné zvýšenie ochrany v oblasti osobných údajov.

Táto smernica nadväzuje na Bezpečnostný projekt (pozn. autora: ak bol v minulosti spracovaný a je u vás stále v účinnosti).

Pozn.: Bezpečnostný incident na informačnom systéme je úmyselné využitie zraniteľnosti na spôsobenie škody alebo straty na aktívach informačného systému, alebo neúmyselné vykonanie akcie, ktorej výsledkom je škoda na aktívach.

Článok II

Základné pojmy tejto smernice

1. Aktíva informačných technológií (IT aktíva) – všetky technické a softvérové prostriedky, ktoré slúžia na ukladanie, prenos a spracovanie informácií v digitálnej podobe, bez ohľadu na účel tohto spracovania.

2. Autentizácia je nástroj, pomocou ktorého sa zabezpečuje prístup určených osôb k IT aktívu a zároveň zamedzuje prístup ostatným osobám k IT aktívu.

3. Bezpečnostný incident – situácia, stav, kedy môže dôjsť, dochádza alebo došlo k narušeniu existujúcej ochrany osobných údajov.

4. Dotknutá osoba je každá fyzická osoba, ktorej sa osobné údaje spracovávajú.

5. Hrozby – vplyvy okolia, iných osôb, zariadení a prostriedkov, ktoré úmyselne alebo neúmyselne vplývajú na aktíva organizácie tak, že ich organizácia nemôže využívať, alebo inak ohrozujú oprávnené záujmy organizácie.

6. Oprávnená osoba je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení oprávnenej osoby o právach, povinnostiach a o zodpovednosti za ich porušenie (ďalej len „poučenie“). Oprávnená osoba zodpovedá za spracúvanie a náležitú ochranu osobných údajov v rozsahu svojej pracovnej činnosti.

7. Osobné údaje – údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu, alebo sociálnu ...