N A J V Y Š Š Í K O N T R O L N Ý Ú R A D S L O V E N S K E J R E P U B L I K Y
kontroly bezpečnostný audit nebol vykonaný, čo nebolo
v súlade s výnosom MF SR o štandardoch pre ISVS.
Kontrolovaný subjekt, Mesto Hlohovec, prevádzkoval
elektronickú podateľňu a mal v súlade s výnosom MF SR
o štandardoch pre ISVS vytvorenú e-mailovú adresu,
ktorá mala pred deliacim znakom @ tvar „podatelna“.
3.4.3 Preverenie vybraných ustanovení zákona o ochrane osobných údajov
V preverovanej oblasti bola kontrola zameraná aj na pre-
verenie súladu s vybranými ustanoveniami zákona
o ochrane osobných údajov, na kontrolu bezpečnostnej
dokumentácie (bezpečnostný projekt, bezpečnostná
smernica, atď.) a povinnosti z toho vyplývajúce. V zmysle
zákona o ochrane osobných údajov je prevádzkovateľ
povinný viesť evidenciu o informačných systémoch,
v ktorých spracúva osobné údaje, ktoré nepodliehajú
oznamovacej povinnosti alebo osobitnej registrácii.
osobných údajov a okruh dotknutých osôb, čo nebolo
v súlade so zákonom o ochrane osobných údajov. Pred-
ložené záznamy o poučení oprávnených osôb neobsaho-
vali všetky náležitosti poučenia v zmysle zákona o ochra-
ne osobných údajov.
Kontrolovaný subjekt, Mesto Galanta, predložil bezpeč-
nostný projekt schválený dňa 27. novembra 2014, analý-
zu bezpečnosti I, II a návrhy opatrení z 21. novembra
2014. Kontrolnej skupine bola predložená bezpečnostná
smernica Mesta Galanta, ktorá nadobudla platnosť
a účinnosť od 3. novembra 2014, čo znamená – ešte pred
dňom schválenia bezpečnostného projektu a pred vyko-
naním analýzy a návrhmi opatrení. V zmysle vyhlášky
o rozsahu a dokumentácii bezpečnostných opatrení má
bezpečnostná smernica obsahovať závery vyplývajúce
z bezpečnostného zámeru a analýzy bezpečnosti infor-
mačného systému na konkrétne podmienky prevádzko-
vaného informačného systému. Predložené evidenčné
listy informačných systémov, v ktorých sú spracúvané
osobné údaje kontrolovaného subjektu, Mesto Galanta,
neboli síce vypracované v zmysle vzoru evidencie zverej-
neného Úradom na ochranu osobných údajov SR, ktoré
zverejnil na svojom webovom sídle v zmysle zákona
o ochrane osobných údajov, ale spĺňali náležitosti
v rozsahu zákona o ochrane osobných údajov, pričom sa
v evidenčných listoch vyskytli len formálne nedostatky.
V jednom prípade na vybranej vzorke predložených evi-
denčných listov bol zistený nesúlad názvu informačného
systému uvedeného v bezpečnostnom projekte s názvom
uvedeným na evidenčnom liste, ku ktorému sa viazal. Na
vybranej vzorke poučení oprávnených osôb boli formálne
nedostatky.
Všetky kontrolované subjekty predložili bezpečnostný
projekt, avšak kontrolou bolo zistené, že kontrolovaný
subjekt, Mesto Holíč, nepostupoval v súlade so zákonom
o ochrane osobných údajov, keďže nezabezpečil súlad
informačného systému Mesta Holíč do 9 mesiacov od
účinnosti zákona o ochrane osobných údajov; kontrolnej
skupine neboli predložené ani evidenčné listy ku všetkým
informačným systémom identifikovaných bezpečnostným
projektom ako informačné systémy, v ktorých sú spracú-
vané osobné údaje. Ďalej kontrolovaný subjekt, Mesto
Holíč, mal vypracovanú smernicu na dodržiavanie zákon-
ných ustanovení v zmysle zákona o ochrane osobných
údajov – o bezpečnom používaní kamerového systému,
avšak evidenčný list kamerového systému kontrolnej
skupine nebol predložený, čo nebolo v súlade so záko-
nom o ochrane osobných údajov. Taktiež kontrolnej sku-
pine neboli predložené záznamy o poučení oprávnených
osôb na používanie a nakladanie s kamerovým systé-
mom. Ďalej kontrolovaný subjekt, Mesto Holíč, nepostu-
poval v súlade so zákonom o ochrane osobných údajov,
pretože predložené poučenia oprávnených osôb neobsa-
hovali všetky náležitosti poučenia oprávnenej osoby
v súlade so zákonom o ochrane osobných údajov.
Kontrolovaný subjekt, Mesto Sládkovičovo, nepredložil
evidenčné listy ku všetkým informačným systémom identi-
fikovaných v bezpečnostnom projekte ako informačné
systémy, v ktorých sú spracúvané osobné údaje, čo nebo-
lo v súlade so zákonom o ochrane osobných údajov.
Kontrolou bolo zistené, že kontrolovaný subjekt, Mesto
Sládkovičovo, nemal vypracovaný evidenčný list
k informačnému systému, v ktorom sú spracúvané osob-
né údaje, ktorého právnym základom spracúvania osob-
ných údajov je zákon o niektorých súvislostiach s ozna-
movaním protispoločenskej činnosti. Niektoré evidenčné
listy kontrolovaného subjektu, Mesto Sládkovičovo, mali
formálne nedostatky; napr. v evidenčných listoch chýbal
zoznam osobných údajov, právny základ spracúvania
Pri dvoch subjektoch (Mesto Hlohovec, Mesto Piešťany),
na základe kontroly náhodne vybranej vzorky z pred-
ložených evidenčných listov informačných systémov,
v ktorých boli spracúvané osobné údaje, kontrolná skupi-
na konštatovala, že kontrolované subjekty (Mesto Hloho-
vec, Mesto Piešťany) viedli evidenciu informačných sys-
témoch, v ktorých spracúvali osobné údaje, v súlade so
zákonom o ochrane osobných údajov. Ďalej kontrolná
skupina na základe kontroly náhodne vybranej vzorky z
predložených záznamov o poučení oprávnených osôb
konštatovala, že záznamy o poučení oprávnených osôb
dvoch kontrolovaných subjektov (Mesto Hlohovec, Mesto
Piešťany) boli v súlade so zákonom o ochrane osobných
údajov.
| 10