Je varstvo osebnih podatkov cokla razvoju digitalizacije?

Leta 2018 je uredba GDPR je poenotila in dopolnila  smernice, po katerih bi se morale organizacije usmeriti na področju varstva osebnih podatkov. »Tiste organizacije, ki so bile že pred tem skrbne, so se hitro prilagodile zahtevam GDPR. Nekatere so se takrat prvič poglobljeno ukvarjale z vprašanjem varstva osebnih podatkov, poznamo pa tudi primere organizacij, ki so zelo ohlapno pomislile na vse skupaj,« uvodoma pojasni Bojana Pleterski, direktorica Info hiše in strokovnjakinja za varstvo osebnih podatkov (DPO/POVOP), ki že več let opravlja funkcijo pooblaščene osebe za varstvo osebnih podatkov z začetkom v sistemu velike trgovinske verige.

Januarja letos pa je uredba GDPR dobila tudi zakonski nadzor, veljati je začel Zakon o varstvu osebnih podatkov (ZVOP-2). S tem bo izvajanje zaščite osebnih podatkov nedvomno prešlo na novo raven, saj bodo kršitelji lahko tudi kaznovani. »Razvoj poslovanja, ki je vse bolj digitalen, prispeva k temu, da smo pri ravnanju s podatki bolj skrbni, pričakujem pa tudi, da bo uveljavitev ZVOP-2 dal nov pospešek organizacijam,« tako nov zakon pozdravlja Bojana Pleterski in prav o tej tematiki bo predavala na prihajajoči konferenci 9. Dnevni prava zasebnosti in varovanja informacij - Privacy Days, ki jo Info hiša organizira v sodelovanju Uradnim listom RS. Na njej bodo priznani domači in tuji strokovnjaki med drugim spregovorili tudi o tem, kaj se je že spremenilo in kako ZVOP-2 dopolnjuje uveljavljeno prakso. »Dotaknili se bomo velikih baz podatkov državnega pomena, odprli bomo vprašanje organizacije varovanja osebnih podatkov z vidika procesa dela, pogovarjali se bomo o tem, ali je skrb za varstvo osebnih podatkov lahko konkurenčna prednost podjetja, ali lahko v naše delo vpeljemo principe mediacije, komentirali zakon o zaščiti žvižgačev, zelo zanimiv bo panel na temo informacijske varnosti in novih tehnologij skupaj z  umetno inteligenco.«

Kakšne spremembe je prinesel ZVOP-2

ZVOP-2 dejansko umesti GDPR v nacionalno zakonodajo in dodatno ureja specifična področja. Tako na primer uvaja opredelitev 'posebnih obdelav' in za informacijske sisteme, kjer se izvajajo te obdelave, opredeljuje zahteve po dodatni varnosti (sistemsko preprečiti nepooblaščen dostop in nezakonito obdelavo, omejitve pri uporabi oblačnih storitvah, prenosu podatkov zunaj Slovenije …). Poleg tega pa bolj natančno določa tudi, kdaj in kako dolgo je treba voditi dnevnike obdelav.

Tudi na področju videonadzorov so dodali nekatere novosti: nalepke ali table z informacijami o videonadzoru morajo imeti zdaj več informacij, kot je to določal ZVOP-1. »Ker bi bilo teh informacij preveč za tako obliko, lahko na nalepko ali tablo pripišemo naslov spletne strani, kjer so te informacije dostopne. Tako da je treba praktično vse oznake posodobiti,« pojasni naša sogovornica. Kamere morajo biti po novem nameščene tako, da se lahko posameznik odloči in ne vstopi v nadzorovano območje – torej pred vstopom. Na novo je urejeno snemanje na javnih površinah in na javnih prevoznih sredstvih. »Največ zagat pa nov ZVOP-2 prinaša parkiriščem na javnih površinah, saj na teh mestih prepoveduje uporabo sistemov za avtomatsko prepoznavo registrskih tablic. Isto določilo ogroža tudi vpeljavo pametnih mest, ki temelji na takih sistemih.«

V ZVOP-2 je opredeljen tudi način potrjevanja (v Splošni uredbi je uporabljen izraz certificiranje) skladnosti obdelav osebnih podatkov upravljavcev in obdelovalcev, ki bodo s tem lahko dokazovali skladnost obdelav ali informacijskih rešitev za obdelavo osebnih podatkov s Splošno uredbo. »Je pa skupna novost ta, da bo lahko informacijski pooblaščenec izrekal globe tudi po GDPR, za kar do zdaj ni bil pooblaščen. Temu je ZVOP-2 dodal še kazni za odgovorne osebe in posameznike.«

Po nasvet pooblaščeni osebi za varstvo podatkov

Z uvedbo GDPR je v Sloveniji nastal tudi nov poklic – pooblaščena oseba za varstvo podatkov (DPO), ki lahko deluje znotraj določene organizacije. »Njegova vloga je svetovati glede zahtev po skladnosti obdelav osebnih podatkov, nadzirati obdelave v organizaciji, kjer opravlja svojo funkcijo, in svetovati pri izdelavi DPIA. Je tudi kontaktna točka do informacijskega pooblaščenca v primeru postopkov,« pojasni Bojana Pleterski in doda, da DPO pomaga z nasvetom in iskanjem rešitve, končna odločitev pa vedno pripada odgovorni osebi.

»Ta poklic je resnično multidisciplinaren in zahteva od nas, da se ves čas učimo. Poglejte vse hitrejši razvoj novih tehnologij. Da prepoznamo obdelave osebnih podatkov s temi orodji, moramo intenzivno spremljati njihov razvoj. Digitalizacije brez obdelav osebnih podatkov praktično ni in pomembno je, da znamo razmišljati in raziskovati oziroma postavljati prava vprašanja, da ugotovimo dejansko stanje. Tako da je to spet en poklic, ki ga po mojem mnenju ne moreš opravljati dobro, če ga ne opravljaš rad, če te ne žene želja 'priti do konca', če nisi pripravljen pomagati in nisi samoiniciativen.«

Tudi o vlogi DPO bodo govorili na konferenci: »Namen je deliti znanje in izkušnje DPO. Program je mešanica teorije in praktičnih izkušenj, konferenca je priložnost, da si DPO izmenjamo informacije o izzivih, s katerimi se srečujemo, katere so pereče teme, ki nas obremenjujejo, in da se povezujemo med seboj. Mreženje je zaradi narave našega poklica velikega pomena, zato je dogodek pomemben tudi, ker ponuja priložnost za povezovanje vseh udeležencev in tudi članov našega kluba DPO.«

Digitalizacija je novo tveganje za osebne podatke: kibernetski vdori

Ena večjih groženj današnje družbe so kibernetski napadi, s katerimi se morajo podjetja in organizacije v luči pospešene digitalizacije spoprijeti še resneje in s pravim obrambnim mehanizmom.

In ob vdoru in kraji osebnih podatkov organizacijam grozi kazen, je jasna Bojana Pleterski. Seveda v primeru, da niso primerno poskrbeli za zaščito. Kaj sploh je ustrezna zaščita? »V naši stroki uporabljamo izraz 'risk based', kar pomeni, da je treba vpeljati ukrepe za zaščito osebnih podatkov glede na to, kako močno posegamo v zasebnost, kako občutljivi so podatki, ki jih obdelujemo, kakšno škodo lahko posamezniku povzroči kršitev varnosti njegovih podatkov.«

In ob incidentu so postopki jasni: v primeru večje kršitve prijava dogodka pri informacijskem pooblaščencu. Sledi tudi obveščanje posameznikov, ki so bili vključeni v incident. Če informacijski pooblaščenec ugotovi, da niso bili vpeljani ustrezni ukrepi, organizacijo lahko doleti kazen. »Ti ukrepi so tako tehnični kot organizacijski oziroma človeški. Že več statistik kaže, da je zgolj 10 % napadov posledica napake ali slabe konfiguracije informacijskega sistema in tehničnih informacijskovarnostnih rešitev. V preostalih primerih je posledica človeškega dejavnika, ko dejansko posameznik 'odpre vrata' za napad. Tukaj daleč najbolj prednjači phishing. Zato je še kako pomembno, da se izobražujemo o nevarnostih in ogroženosti kibernetskih vdorov in se o tem veliko pogovarjamo.«

Kako se lahko organizacije čim prej prilagodijo novi zakonodaji

Marsikatera organizacija se v tej kompleksni zakonodaji težko znajde, zato je priporočljivo, da se po strokovne nasvete obrnejo na strokovnjake, ki se vsakodnevno ukvarjajo s tem področjem. V Info hiši pomagajo tako, da organizirajo veliko izobraževanj (javna, ki so splošno naravnana, in tudi prilagojena za posamezne organizacije) ter izdajajo novice ter prakso domačih in tujih sodišč ter nadzornih organov na njihovem portalu GDPR GURU.

Pomemben del pa je svetovanje na tem področju, pri čemer pomagajo urediti področje varovanja osebnih podatkov in dokumentacijo, ki jo potrebuje vsak upravljavec ali obdelovalec osebnih podatkov (Pravilnik o zavarovanju osebnih podatkov, politika zasebnosti, evidenca dejavnosti obdelav …).

Če se za konec vrnemo k vprašanju v naslovu. Na prvi pogled se morda zdi, da so zakoni, ki urejajo varstvo osebnih podatkov, ovira razvoju digitalizacije, vendar še zdaleč ni tako. So usmeritve, ki so zelo pomembne za zagotavljanje zaupanja v digitalno okolje. Zakoni, kot sta GDPR in ZVOP-2, dajejo smernice organizacijam, da lahko dosežejo svoje poslovne cilje, hkrati pa ustrezno varujejo osebne podatke posameznikov. Slednjim pa omogočajo tudi nadzor nad tem, kako se njihovi podatki uporabljajo.

---

Naročnik oglasne vsebine je Info hiša d.o.o.