§ 15 Zodpovednosť za bezpečnosť osobných údajov
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred náhodným ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a) použiteľné technické prostriedky,
b) rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného systému,
c) dôvernosť a dôležitosť spracúvaných osobných údajov.
(2) Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len „bezpečnostný projekt“) a zabezpečí jeho vypracovanie, ak
a) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (napríklad rodné číslo) podľa § 8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť (spravidla Internet),
b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické, organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6, alebo
c) informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona.
§ 16 Bezpečnostný projekt
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.