Varstvo osebnih podatkov v praksi

Prihod GDPR in priprava posodobitev slovenske zakonodaje na področju varstva osebnih podatkov so vplivali tudi na dvig zavedanja, da je treba vsaj formalno imeti urejeno varstvo osebnih podatkov.

Veliko organizacij je formalno uredilo svoje postopke in s pravilniki in politikami podprlo svoje poslovanje.

Izobraževalne konference in delovne skupine, kjer sedanji in bodoči DPO-ji nabirajo znanja in izkušnje so zagotovo dobrodošle.

Vseeno pa lahko rečemo, da trenutek resnice nastopi šele, ko se v organizaciji zgodi incident na področju varstva osebnih podatkov ali ko potrka na vrata predstavnik informacijskega pooblaščenca.

Kaj lahko naredijo organizacije, podjetja, zavodi, da se prepričajo o svoji pripravljenosti?

Kako v praksi preizkusiti in preveriti stopnjo zrelosti varstva osebnih podatkov?

Vabljeni na pogovor ob kavi.

Ponovno medresorsko usklajevanje ZAKONA O VARSTVU OSEBNIH PODATKOV (ZVOP-2)

Ministrstvo za pravosodje je dne 3. 10. 2017 objavilo Osnutek ZAKONA O  VARSTVU OSEBNIH PODATKOV (ZVOP-2).  Posredovanje komentarjev zainteresirane javnosti je bilo možno do 13.11.2017.

14.08.2019 pa je začelo potekati ponovno medresorsko usklajevanje. 

Trenutno delovno različico lahko najdete na povezavi tukaj.

https://www.gov.si/assets/ministrstva/MP/ZVOP-2-14.8.19.pdf

Kako voditi projekt za uskladitev z Uredbo?

Kaj je torej ključno pri načrtovanju in vodenju projekta ali aktivnosti za uskladitev u Uredbo?

Celotna organizacija

Upoštevati je treba celotno organizacijo.

Vsi partnerji

Vaši poslovni partnerji podizvajalci ali naročniki so pomemben del verige urejanja varstva osebnih podatkov. Kako so vpeti v vaš življenjski cikel upravljanja podatkov?

Vsi kanali

Vprašajte se o možnih komunikacijskih kanalih preko katerih je mogoče, da se pojavljajo osebni podatki v svojem življenjskem ciklu.

Vse oblike podatkov

Osebni podatki niso samo v centralnem informacijskem sistemu v strukturirani obliki. Nahajajo se tudi v nestrukturiranih oblikah kot je denimo sistem elektronske pošte, portali za izmenjavo podatkov. Ogromno podatkov se nahaja v strukturiranih in nestrukturiranih oblikah tudi v fizični – papirni obliki.

Celoten proces

Pri urejanju varstva osebnih podatkov je treba razumeti in obravnavati celoten proces – celoten življenjski cikel upravljanja podatkov.

Medsebojni vplivi različnih zakonov

Uredba ni edini okvir za urejanje varstva osebnih podatkov. Razumeti in upoštevati je treba tudi drugo zakonodajo in zahteve, ki so lahko strožje od same uredbe.

 

Glavne spremembe, ki jih prinaša uredba o varovanju osebnih podatkov

Osebni podatki so po novi uredbi tudi spletni identifikatorji, ID piškotkov, RFID oznake in IP naslovi/genetski in biometrični podatki.

Novost so psevdonimni podatki.

Vpeljan je pojem nedvoumne privolitve.

Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje moči med upravljalcem in posameznikom (primer javni sektor). Izvzeti so organi pregona.

Neposredno trženje ni nujno zakoniti interes upravljavca. Do sedaj je IP zahteval izrecno privolitev.

Piškotki niso del te uredbe. To področje bo urejal novi zakon.  Prisiljevanje v vse piškotke ni primeren pristop. Nadzor v vseh državah ni bil povsod enak in je ponekod razvodenel. Pojavilo se je vprašanje kako naprej. Nadomestil naj bi se del ZEKom-a. Smer bo enaka vendar bo končno stališče še ni oblikovano. Urejeno naj bi bilo enako kot do sedaj.

Pravice posameznika

Pravico do pozabe ureja 17. člen

  • Če posameznik ne želi, da se njegovi osebni podatki obdelujejo in ne če obstaja zakonit razlog, da jih podjetje obdrži, morajo biti izbrisani brez neupravičene zamude.
  • Izjeme so povezane s svobodo govora in javnim interesom (zdravje, statistični in zaziskovalni nameni, zakonske obveze za hrambo).

Pravica prenosljivosti – 18. člen

Uredba nalaga več odgovornosti upravljavcev

  • Manj birokratkih bremen: ni več registra, dovoljenj za iznos podakotv pri uporabi SPK
  • Ocena vpliva na VOP in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (33. člen)
    • pomembno je, da pogodbe vsebujejo standardne klavzule glede VOP
    • jasna mora biti odgovornost, da nič ne nasprotuje odgovornosti v celotni verigi odnosov, ki jih urejajo pogodbe
  • Oseba, zadolžena za VOP (35. in 37. člen)
  • Vgrajeno varstvo osebnih podatkov, zasebnosti prijazne začetne nastavitve (23. člen)

Upravljavec mora biti sedaj sam sposoben ugotavljati tveganja, predvideti ukrepe in jih implementirati. Ocena vpliva na VOP mora pokazati, če morebiti vsi predvideni ukrepi ne pokrijejo vseh tveganj. V tem primeru je nujen (priporočen) posvet z IP.

Osebi zadolženi za VOP uredba predpisuje pomembno vlogo.

Sankcije po trenutni ureditvi gredo na ramena odgovorne osebe pri pravni osebi. Uredba dopušča državam članicam, da si specifike uredijo same. V Sloveniji to področje ureja Ministrstvo za pravosodje.

Poročanje zahtevajo 4 organi. Z zahtevami o poročanju se določa tudi časovni okvir. Glavni okvir mora definirati Ministrstvo za pravosodje.

Sorazmernost predstavlja veliko polje za interpretacijo vendar je osnova za presojanje upravičenosti obdelave VOP in veljavnosti privolitev posameznika, da lahko upravljavec obdeluje njegove osebne podatke.

Nadzor

  • omogočena je širša ozemeljska pristojnost

Certificiranje – 43. in 44. člen Uredbe

  • priznava certificiranje kot način izkazovanja skladnost ravnanja upravljavcev z določbami Uredbe
  • certifikat lahko izdajo organi za potrjevanje ali pristojni nadzorni organi
  • potrdilo se izda upravljavcu
  • izvajala se bo akreditacija izvajalcev certificiranja
  • organ za potrjevanje mora imeti ustrezno raven strokovnega znanja v zvezi z varstvom podatkov in biti pooblaščen s strani nadzornega organa ali nacionalnega akreditacijskega organa
  • dodatni pogoji za pridobitev pooblastila vključujejo ustrezne notranje postopke, neodvisnost, potrjena  merila za certificiranje, ipd.
  • certificiranje bo prostovoljno

Zakaj prenova uredbe o varovanju osebnih podatkov?

 

Zakaj prenova z novo uredbo?

Od prve ureditve do danes se je svet precej spremenil predvsem na tehnološkem področju. Spremenil smo se tudi ljudje. Na trgu se je pojavila množica ponudnikov storitev za katere predstavljajo osebni podatki vrednost. Povečala so se tveganja zlorabe osebnih podatkov, vdori v zasebnost kakor tudi primeri terorističnih napadov, kjer so bili osebni podatki eden od vektorjev ali pogojev za izvedbo napadov.

Umetna inteligenca omogoča neslutene zmožnosti za diskriminacijo ponudbe kakor tudi cenovnih razredov storitev, ki jih fizične osebe ali organizacije prejemajo.

Podjetja načrtno zbirajo informacije o posameznikih. Kakovost teh informacij je vprašljiva pa vendar končni uporabniki – ponudniki storitev, ki uporabljajo te podatke za strukturiranje svojih produktov lahko sklepajo napačno in posamezniku na diskriminatoren način ponudijo storitev ali izdelek, ki morda sploh ne odraža dejanskega stanja ali ni izdelan na osnovi pravih vhodnih podatkov.

Posameznik v preteklosti ni imel vpogleda ne v podatke ne v algoritme, ki so pogosto osnova za parametre storitev ali izdelka, ki je posamezniku ponujena.

Z uporabo množičnega zbiranja podatkov in sodobnih tehnologij se izvaja online prodaja osebnih podatkov iz podatkovnih zbirk in iz iskalnikov.

Obstajajo ponudniki, ki v realnem času izvajajo dražbe in prodajajo osebne podatke.

Vse navedene izzive ima namen bolje urediti nova uredba.