Dunajska cesta 156, 1000 Ljubljana
Telefon: 031 692 524

Blog

Kaj pomeni zavarovanje osebnih podatkov?

KAJ POMENI ZAVAROVANJE OSEBNIH PODATKOV?

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 6. DEL

Kaj pomeni zavarovanje osebnih podatkov?

»Predstavljajte si, da so to vsi ukrepi, ki preprečujejo, da bi nepooblaščeni prišli do osebnih podatkov. Pa naj bodo to organizacijski, tehnični, logično-tehnični postopki in ukrepi – da se varujejo oprema, prostori in nenazadnje, da se podatki, ko ni več podlage (denimo ob umiku soglasja za obdelavo osebnega podatka), ustrezno uničijo, anonimizirajo, blokirajo,« pojasnjuje Informacijska pooblaščenka.

Kako zavarovati osebne podatke? S pravnega vidika predvsem z jasnimi določbami in pravilniki. Zaposleni morajo biti s pravilniki seznanjeni, točno mora biti določeno, kdo je za kakšno osebno zbirko podatkov zadolžen. V praksi se morajo dostopne pravice prilagajati in stalno ažurirati, da se izognemo uhajanju osebnih podatkov. Podeljevanje in odvzemanje pravic mora biti jasno vnaprej, dostopi se morajo omejevati. Točno mora biti jasno, kdo in na kakšen način lahko dostopa do zbirk osebnih podatkov.

GDPR zahteva še večjo varnost obdelave. »GDPR upravljavcem nalaga strahovito težko breme in pravi, da mora ves čas paziti, da je skladen z zakonom oz. da obdelava poteka na način, ki je ustrezen, tako, da upošteva najnovejši tehnološki razvoj,« pojasnjuje Prelesnikova o tehnološki nevtralnosti, ki jo zahteva GDPR. »Tehnološki razvoj je treba spremljati, paziti je treba na namen obdelovanja podatkov in na temeljne človekove pravice, da ne gre za prevelik poseg.«

Ste že poskrbeli za pravno in IT skladnost z GDPR? Zahteve so velike. Ne verjamete? Ob tem, da je potrebno upoštevati najnovejši tehnološki razvoj, stroške, naravo, obseg, okoliščine ni namen obdelave, tveganja za temeljne človekove pravice, ki ga lahko obdelava predstavlja, izvesti ustrezne tehnične in organizacijske ukrepe in s tem zagotoviti ustrezno raven varnosti glede na tveganje, je potreben še en element. In sicer – stalna zmožnost dokazovanja.

Zavarujte osebne podatke in poskrbite za troje: zmanjšajte zlorabe, lažje poiščite odgovorne v primeru zlorab ter povečajte zaupanje v organizacijo in njen ugled.

Kako zavarovati osebne podatke?

KAKO ZAVAROVATI OP?

–          Določite jasna pravila igre(omejitve dostopa in določanje pogojev za dostop),

–          zaposlene seznanjajte z vsebino pravilnikov,

–          redno preverjajte, ali se pravilnike upošteva v praksi,

–          zaposlenim omogočite dostop le do tistih OP, ki jih pri delu potrebujejo, ne več (težavo predstavljajo omejevanje pravic do datotek na strežnikih, neupoštevanje politike čiste mize, neomejen dostop do starih diskov, nezaklenjene omare),

–          sklenjene pogodbe o obdelavi OP s pogodbenimi obdelovalci naj vsebujejo določila o skrbi za zavarovanje osebnih podatkov,

–          redno pregledujte dostopne pravice(kartice, ključi, uporabniške pravice na strežnikih),

–          vzpostavite jasen sistem dodeljevanja in odvzemanja uporabniških/dostopnih pravic (kako poteka postopek dodeljevanja/odvzemanja pravic, kdo ga izvaja, kdo odobri).

–          omejite dostop do zbirk osebnih podatkov(ključi, kartice, uporabniška imena in gesla) in

–          šifrirajte in e-podpisujte prenose občutljivih osebnih podatkov prek telekomunikacijskih kanalov.

Načela obdelave osebnih podatkov

NAČELA OBDELAVE OSEBNIH PODATKOV

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 2. DEL

7 načel obdelave osebnih podatkov po 5. členu GDPR: zakonitost; omejitev namena; najmanjši obseg podatkov; točnost; omejitev shranjevanja; celovitost in zaupnost; odgovornost

 

Karkoli počnete s podatkom – ga pridobivate, vpogledate, posredujete, popravljate itd. – imeti morate ustrezno zakonsko podlago. Ta zahteva izhaja iz načela zakonitosti, torej da je pooblastilo zapisano bodisi v pravnem aktu, bodisi da se vsak posameznik, katerega podatke obdelujete, z obdelavo strinja. Potrebujete torej osebno privolitev za obdelovanje njegovih podatkov. Osebni podatek vam lahko posreduje ta posameznik ali pa vas pooblasti, da od nekje ta podatek pridobite.

Ob tem pa je potrebno vedeti še nekaj, in sicer: četudi imate podlago za obdelovanje v osebnih privolitvah in v zakonodajnih aktih, morate še vedno kot upravljavec osebne zbirke paziti, da boste te podatke obdelovali pravično in pregledno. Pridobljenih osebnih podatkov ne smete zlorabljati za namene, za katere niso bili pridobljeni. Preglednost pomeni, da boste vedno dali informacije o tem, da podatke ter posameznikov obdelujete.

»Vedno boste morali paziti tudi na namen, za katerega so bili podatki primarno zbrani. Podatki so zbrani za nek točno določen namen. Samo za ta namen, za katerega so bili zbrani, se lahko uporabljajo in za noben drug,« opozarja informacijska pooblaščenka Mojca Prelesnik.

Upoštevati morate tudi načelo najmanjšega možnega obsega podatkov: »Če lahko nek cilj dosežete z manjšim obsegom podatkov, jih imate čim manj. Če vam zadostuje EMŠO, ne potrebujete še davčne številke, ki je tudi nedoločljiv identifikator, in en identifikator za identifikacijo mora zadoščati.«

»Ves čas boste morali skrbeti za to, da boste skladni z GDPR. Z vsemi zahtevami GDPR. To je tako težko breme za vsakega upravljavca osebnih podatkov, da mora ves čas biti skladen z vsemi zahtevami GDPR.« (Mojca Prelesnik, informacijska pooblaščenka)

Podatke morate imeti točne in ažurne, hraniti jih morate najmanjši možni čas – toliko, kolikor zakon dopušča. Pri tem velja opomniti, da imajo novejši zakoni določene roke hrambe, na kar morate biti pozorni znotraj področja, na katerem delujete. Navadno je tako za upravljavca, posameznika, katerega podatki se zbirajo, kot tudi za nadzornika najlažje, če je točno zapisano, koliko časa se lahko podatke hrani. Ne zanemarite pravnega vidika skladnosti z GDPR.

Paziti boste morali na celovitost in zaupnost teh podatkov, pa tudi na zavarovanje, da ne boste dali na razpolago teh osebnih podatkov, če ni tako zahtevano.

Nenazadnje pa ne smete pozabiti tudi na samo odgovornost za skladnost s temeljnimi načeli in pa zmožnost dokazovanja skladnosti, pri čemer so ključnega pomena preventivni oziroma proaktivni ukrepi. »Ves čas boste morali skrbeti za to, da boste skladni z GDPR. Z vsemi zahtevami GDPR. To je tako težko breme za vsakega upravljavca osebnih podatkov, da mora ves čas biti skladen z vsemi zahtevami GDPR,« zaključuje informacijska pooblaščenka.

 

 

Kaj lahko v smeri skladnosti z GDPR storite že danes?

Kaj lahko v smeri skladnosti z GDPR storite že danes?

1) Osvojite pojem osebnih podatkov in postavite osnovo za analizo svojega delovanja. Če zbirate, shranjujete ali uporabljate katerekoli informacije v zvezi z določenim ali določljivim posameznikom, naj bo to ime in priimek, naslov, podatki o lokaciji, spletni identifikator, podatki o zdravju, prihodku ali drugem dejavniku, značilnem za posameznika, morate upoštevati predpise.

2) Zavedajte se prednosti reforme splošne uredbe in postavite mentalno osnovo za skladnost. Z GDPR povezujejo povečanje zaupanja potrošnikov, pospeševanje razvoja podjetij, preprostejše in pravičnejše poslovanje, omejevanje stroškov in spodbujanje rasti podjetij.

3) Varujte pravice ljudi, ki vam zaupajo podatke. Komunicirajte preprosto in jasno podajajte svoje potrebe – zakaj obdelujete podatke, koliko časa jih hranite in kdo do njih dostopa. Pridobite soglasje, posebej bodite pozorni na otroke. Omogočite dostop in prenosljivost, obveščajte o kršitvah, omogočite »pravico do pozabe«, uporabljajte dodatne zaščitne ukrepe za zdravstvene podatke ter podatke, ki razkrivajo posameznikovo raso, spolno usmerjenost, veroizpoved in politična prepričanja. Pazite pri prenosu podatkov zunaj območja EU. Vgrajujte zaščitne ukrepe za varstvo podatkov že v prvih fazah razvoja svojih proizvodov in storitev!

4) Poskrbite za praven vidik svojega delovanja. Ste obdelovalec podatkov? Pogodbe, ki jih sklenete s svojimi strankami, naj bodo brezhibne in vsebinsko celovite. Zavarujte sebe, svoje stranke in posameznike, s podatki katerih razpolagate.

5) Preverite, ali potrebujete DPO – uradno osebo za varstvo podatkov. Veste, kakšne podatke in koliko njih zbirate?

6) Poučite se o pogojih za vodenje evidenc. Če podatke obdelujete redno, njihova obdelava ogroža pravice in svoboščine ljudi ali pa pri obdelavi ravnate z občutljivimi podatki ali kazenskimi evidencami, morate voditi evidenco.

Pa veste, kaj mora vsebovati?

Elementi evidence:
– kontaktni podatki podjetja
– razlogi za obdelovanje podatkov
– opisi kategorij osebnih podatkov in posameznikov, na katere se ti osebni podatki nanašajo
– kategorije organizacij, ki podatke prejemajo
– podatke o prenosu – v drugo organizacijo ali izven državnih meja
– rok za odstranitev podatkov
– opis varnostnih ukrepov, ki jih pri obdelavi uporabljate

7) Predvidevajte z ocenami učinkov. Nujno potrebne pri obdelavi z visokim tveganjem – uporabi novih tehnologij, samodejni in sistematični obdelavi, obsežnem nadzoru, obdelavi velikih količin občutljivih podatkov, priporočljive pa na vseh ravneh!

8) Poznajte stroške neupoštevanja predpisov. Od opozorila, opomina do prepovedi zbiranja podatkov in denarnih kazni. Izognite se učinkovitim, sorazmernim in odvračilnim sankcijam z upoštevanjem predpisov splošne uredbe.

Vir: EC.EUROPA.EU. (2017).
Varstvo podatkov: Boljši predpisi za mala podjetja.
Pridobljeno na http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_sl.htm