Dňom 1.7.2013 vstúpil do platnosti nový zákon č. 122/2013 Z.z. o ochrane osobných údajov, ktorý upravuje ochranu osobných údajov, ktoré sú systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme.
Dokumentácia prijatých bezpečnostných opatrení popisuje celý proces spracúvania osobných údajov od ich získavania až po ich likvidáciu. Obsah dokumentácie sa musí zhodovať so skutočným stavom pri spracúvaní osobných údajov. Bezpečnostné opatrenia musia zodpovedať konkrétnym podmienkam spracúvania osobných údajov v informačnom systéme osobných údajov a bezpečnostným rizikám vyplývajúcim z kategórie spracúvaných osobných údajov a zo spôsobu ich spracúvania.
Každý prevádzkovateľ IS zodpovedá za bezpečnosť osobných údajov a je povinný ich chrániť pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel je potrebné prijať príslušné opatrenia ktoré sú definované bezpečnostným projektom.
Podľa zákona o ochrane osobných údajov za bezpečnosť osobných údajov zodpovedá prevádzkovateľ, zástupca prevádzkovateľa alebo sprostredkovateľ tým, že ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou, zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými formami spracúvania. Tieto opatrenia prijme prevádzkovateľ, zástupca prevádzkovateľa alebo sprostredkovateľ vo forme bezpečnostného projektu informačného systému v prípadoch, keď sú v informačnom systéme (mzdový, či personálny systém, databáza klientov či iných fyzických osôb) spracúvané tzv. citlivé údaje. Medzi citlivé osobné údaje (odb. osobitné kategórie osobných údajov) sú zaradené napr. rodné číslo, biometrické údaje, údaje týkajúce sa zdravia alebo aj údaje o tom, či dotknutá osoba spáchala trestný čin.
Podľa zákona o ochrane osobných údajov bezpečnostný projekt obsahuje najmä:
- bezpečnostný zámer
- analýzu bezpečnosti
- bezpečnostné smernice
Bezpečnostný projekt by mal byť neustále aktualizovaný a preskúmavaný v pravidelných intervaloch. Prevádzkovateľ je taktiež povinný poučiť oprávnené osoby o ich právach a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov.