Embed Size (px)
Citation preview
NOVA ZAKONODAJA O VARSTVU OSEBNIH PODATKOV (GDPR)
USKLADITEV V PRAKSI
Mag. Renata Zatler
www.dataofficer.si
Vsebina
• Uvod – varstvo zasebnosti, osebnih podatkov
• Osnovni pojmi
• Kaj je GDPR – bistvene novosti
• Kako se uskladimo v praksi
Pravica do zasebnosti
Pravica do zasebnosti je ena temeljnih človekovih pravic, ki je varovana v 35. členu Ustave Republike Slovenije, v katerem je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove
zasebnosti ter osebnostnih pravic.
Varovana je tudi v mednarodnih aktih, med drugim v 8. členu Evropske konvencije o varstvu človekovih
pravic in temeljnih svoboščin (Ur. l. RS, Mednarodne pogodbe št. 7/94), po katerem ima vsak pravico do spoštovanja svojega osebnega in
družinskega življenja, svojega doma in dopisovanja.
www.dataofficer.si
Zakaj varstvo osebnih podatkov?
▪ Preprečujemo kršitve
▪ varujemo pravico do zasebnosti
▪ spoštujemo zakonodajo
▪ in posledično skrbimo za ugled organizacije
Kaj se lahko zgodi, če pride do kršitve ali druge oblike incidenta?
Možne posledice kršitve: visoke globe, kazni ali odškodnine posameznikom.
www.dataofficer.si
Kršitev varstva OP
KRŠITEV VARSTVA OSEBNIH PODATKOV:
• „Kršitev varstva osebnih podatkov“ pomeni kršitev, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.“
Ključna vprašanja:Kako hitro lahko ugotovimo kršitev varstva op?Kakšen imamo način ugotavljanja kršitev?
Kako nadziramo zaposlene, obdelovalce? Dnevniki obdelav?Odnosi z obdelovalci – določitev procesa ob kršitvah s pogodbo…
www.dataofficer.si
Kaj kršimo, ko ne spoštujemo zasebnosti
▪ USTAVA RS: 38. člen: „ Zagotovljeno je varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.
---------------GLOBA, ZAPOR, PLAČILO ODŠKODNINE …
▪ Zakon o varstvu osebnih podatkov (ZVOP-1) – 8. člen „(1)osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika). (2) Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.“ – (do 25. maja 2015). V primeru kršitve je predvidena globa.
▪ Kazenski zakonik (KZ-1) – 143. člen – „ Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporomdo enega leta. (2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. …... (5) Kdor stori dejanje iz prvega odstavka tega člena tako, da posreduje v javno objavo ali javno objavi občutljive osebne podatke, se kaznuje z zaporom do dveh let. (6) Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let…
▪ Obligacijski zakonik (OZ) 131. člen; „Kdor povzroči drugemu škodo, jo je dolžan povrniti, če ne dokaže, da je škoda nastala brez njegove krivde“. Temeljne predpostavke za odškodninsko odgovornost: 1) ravnanje povzročitelja škode mora biti protipravno oz. nedopustno, 2) tožniku mora nastati (pravno priznana) škoda, 3) podana mora biti vzročna zveza med nedopustnim ravnanjem in škodo ter 4) odgovornost oškodovalca za škodo.
IN NAJNOVEJŠE (april 2016)
▪ EU – Splošna uredba GDPR – člen 6.1. Povzetek: Pogoj za obdelavo privolitev z določenim namenom, pogodba, zakonska obveznost, javni interes (javni organ), nujno za zaščito (ogroženo življenje osebe) – uporaba od 25. maja 2018 dalje.
www.dataofficer.si
Ali ste vedeli?
▪ da je lastnik spletne strani »Kuponko.si« plačal globo v všini 10.000 evrov, ker je nezakonito (brez privolitve) pridobil in hranil v svoji elektronski bazi podatke o imenu in priimku ter elektronskem naslovu dveh ose;
▪ da je rekordna globa v višini 112.000 evrov doletela zavarovalnici Vzajemna in Tilia (+ 20.000 evrov odgovorni osebi), ker je Vzajemna Tilii brez dovoljenja posredovala osebne podatke več nekdanjih zavarovancev;
▪ da si je odgovorna oseba veterinarstvo Invet samo zaradi „nedovoljenega“ vpogleda v seznam psov in njihovih lastnikov prislužila 1660 evrov kazni, veterinarstvo pa še dodatnih 8.340 evrov;
▪ da je bil policist kaznovan, ker je nezakonito zbral osebne podatke iz registra začasno prijavljenih fizičnih oseb (ni imel podlage na zakonu temelječi ali drugi uradni delovni nalogi) in mu je bila izrečena kazen zapora;
▪ da je morala delavka, ki je nezakonito vpogledala v kadrovsko mapo sodelavke in se seznanila z zdravstvenim stanjem le te, plačala odškodnino v višini 17.000 evrov zaradi nastale nematerialne škode
www.dataofficer.si
Varstvo / varnost
"You're only as secure as your weakest link“
Varen si samo toliko kot je varen najšibkejši člen v verigi. Vsi gostitelji v omrežjih organizacije so povezani skupaj. Ta veriga je pod nadzorom skrbnika. Tako uspešno
izkoriščanje katerega koli gostitelja, ki ga upravlja skrbnik, lahko napadalcem da vse, kar hočejo.
www.dataofficer.si
VARNOST ŠE NE POMENI VARSTVAPodatki so lahko odlično zaklenjeni, a kaj ko nimamo pravne podlage, da jih sploh
smemo imeti ali pa jih uporabljamo za namene, za katere niso bili zbrani. Varstvo podatkov ni samo IT varnost in to ni nekaj, kar uredijo informatiki,
je skrb za varstvo proces in samo nekaj, kar narediš in je končano (npr. zgolj sprejem pravilnika), je človeški faktor pogosto največje tveganje za zlorabe.
Vir: Smernice IP
je človeški faktor pogosto največje tveganje za zlorabe.
Kaj sploh je OP?
Osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (fizične osebe), zlasti pa:• Ime in priimek,• Naslov, • TELEFONSKA ŠTEVILKA,• davčna številka, EMŠO, zdravstvena…, vozila…• + NOVO: lokacijski podatki, spletni identifikatorji - ID piškotkov, IP naslovi
▪ psevdonimni podatki so še vedno OP (pod GDPR)
Strožje zahteve za varstvo POSEBNE VRSTE (občutljivih osebnih podatkov):• rasno ali etnično poreklo• politično mnenje• versko ali filozofsko prepričanje• članstvo v sindikatu• spolno življenje in usmerjenost• zdravstveni podatki, • novo: genetski, biometrični…
www.dataofficer.si
Kje se OP nahajajo (pravna podlaga, roki hrambe…)?
• različnih evidencah in zbirkah • v kadrovskih mapah zaposlenih, • v računovodskih podatkih… • v excelovih tabelah, ki vsebujeje različne podatke • o strankah, kupcih, pacientih, občanih, • v posnetkih videonadzornega sistema…• spletnih straneh (zbiranje OP preko spletne strani)• elektronski pošti…• pri pogodbenih partnerjih („outsorsing“ – IT, videonadzor…)
• Zaposleni,• Stranke,
• Pogodbeni partnerji…
www.dataofficer.si
Pomembna vprašanja
▪ katere podatke obdelujemo?▪ kakšen je proces obdelave (kdo zbira,
kdo gleda, kdo briše…)▪ na kakšen način zbiramo podatke
(fizično, spletno)?▪ kakšen je namen obdelave?▪ katere so podlage (zakon, privolitev,
pogodba…) za obdelavo?▪ komu podatke posredujemo? ▪ kje podatke shranjujemo (posebna
pozornost oblačnim storitvam)?...
www.dataofficer.si
Kdo obdeluje osebne podatke?
▪ SAMI - Upravljavec (controller) –glavni akter (zaposleni –marketing, računovodstvo, kadrovska služba ipd…)
▪ PO POGODBI - zunanji („pogodbeni obdelovalec“ (processor) – po naročilu in izključno na podlagi zahtev upravljavca (kje se hranijo podatki?, morebitni zunanje/pogodbene storitve…)
www.dataofficer.si
Obdelava osebnih podatkov
“Obdelava” pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje,
prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje
ali kombiniranje, omejevanje, izbris ali uničenje.“
www.dataofficer.si
Osnovno pravilo
Osebni podatki se lahko obdelujejo:zbirajo, pridobivajo, urejajo, shranjujejo, razkrivajo, sporočajo,
širijo ali povezujejo
le za točno določen namen
in samo v primeru
obstoja ustrezne pravne podlage: zakon, pogodba, privolitev posameznika
Pomembno: (1)USTREZNA PRAVNA PODLAGA (2) OBDELUJEŠ SAMO TISTE PODATKE, KI JIH POTREBUJEŠ (3) POSAMEZNIKOM POVEŠ KATERE PODATKE ZBIRAŠ IN ZAKAJ
www.dataofficer.si
2. Ukrepi za varstvo OPPOVZETEK
UKREPI: PRIMERNI GLEDE NA STOPNJO TVEGANJA (količina, „občutljivi osebni podatki …)!
▪ PRAVNOORGANIZACIJSKI – imenovanje odgovorne osebe („DPO“), politika varovanja, notranji akti, pooblastila in odgovornosti (kdo upravlja bazo, kdo lahko vpogleda ali drugače obdeluje, sistemizacija), ustrezne privolitve posameznikov, pogodbe z zunanjimi izvajalci, usposabljanja zaposlenih, evidenca – katalog osebnih podatkov, ustrezne pogodbe (izbira) podizvajalcev oz. obdelovalcev –preverjanje---
▪ TEHNIČNI – fizično in IT varovanje: zaklepanje prostorov, ustrezno in učinkovito brisanje podatkov, celovito upravljanje informacijskih tehnologij (informacijska varnost), pravilno izbrana gesla, aplikativne in infrastrukturne varnostne rešitve, požarni zid, zagotavljanje revizijske sledi, psevdominizacija…
DOKAZLJIVOST!!
ODGOVORNA OSEBA PODJETJA JE NADZORNEMU ORGANU SPOSOBNA DOKAZATI, DA JE STORILA VSE KAR JE POTREBNO ZA USTREZNO RAVEN ZAŠČITE VARSTVA OSEBNIH PODATKOV!
„Če pride do kršitve (zlorabe/incidenta) se bo v primeru, da bo kršitelj uspel z dokazili dokazati dolžno skrbnost ravnanja (skladnosti z zakonodajo, praktično izvajanje ukrepov varovanja –npr. usposabljanja zaposlenih, preverjanje izvajanja notranjih aktov…), možno izogniti sankcijam.
www.dataofficer.si
Nova EU zakonodaja o varstvu OP - GDPR
• Uredba (EU) 2016/679 EP in Sveta z dne 27.4.2016 o
*varstvu posameznikov pri obdelavi OP in o *prostem pretoku
OP ter o razveljavitvi Direktive 95/46/ES (GDPR)
• 25. maja 2018 se prične neposredno v vseh državah članicah
EU
• ZVOP-1 preneha veljati (s tem tudi nekatere izjem do 50)
• Prihaja ZVOP-2 (izvršitev uredbe)
ZAKAJ NAS ČAKA „TEŽJI“ ZALOGAJ?
www.dataofficer.si
Kakšno je naše trenutno stanje skladnosti?
• Ali smo skladni z ZVOP-1?
• Kako težek „zalogaj“ nas čaka?• Stopnja odgovornosti in osveščenosti
vodstva in zaposlenih?• Kaj pogostokrat delamo narobe?
• Kje se osebni podatki nahajajo; popisi zbirk, pooblastil za obdelavo?
• Pravne podlage, roki hrambe, ukrepi za varstvo?
• Notranji akti?
GDPR – PRILOŽNOST ZA REVIZIJO!
www.dataofficer.si
Vsebina GDPR
• Pogoji za obdelavo osebni podatkov in načela (pridobivanja, varovanja…),
• pravice posameznikov, • obveznosti obdelovalcev (upravljavcev in pogodbenih
obdelovalcev),• Pooblaščena oseba za varstvo osebnih podatkov (data
protection officer - DPO),• prenos osebnih podatkov v tretje države• nacionalni nadzorni organ (IP).
www.dataofficer.si
Temaljna načela
Delodajalec (upravljalec / obdelovalec):
• obdeluje osebne podatke pošteno in zakonito,• zagotavlja točnost, popolnost in ažurnost zbranih osebnih
podatkov ter• zagotavlja minimizacijo: hrani osebne podatke v obliki, ki
omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za namene, za katere se podatki zbirajo ali obdelujejo
GDPR novosti - kdo je še posebej na udaru?
▪ Javni sektor + nosilci javnih pooblastil (vključno tehnični pregledi…) -obvezen DPO
▪ Javna komunalna podjetja, koncesionarji… (npr. linijski prevozniki…)▪ Večji „obdelovalci“ podatkov v zasebnem sektorju, (kriterij: število
zaposlenih, število baz podatkov, avtomatska obdelava – trženje, profiliranje…)
▪ Vsi, ki obdelujejo posebne kategorije (občutljivi) osebnih podatkov –obvezen DPO
▪ Trgovci (spletne trgovine, „kartičarji“, profiliranje…)▪ Marketing, trženje, avtomatske obdelave podatkov (vključno profiliranje) ▪ Banke in druge finančne institucije▪ Zavarovalnice▪ Turistične agencije…
www.dataofficer.si
GDPR novosti - posebno pozornost je treba nameniti
▪ Novi (dopolnjeni) definiciji osebnih podatkov ▪ Novi obliki soglasja (privolitvi) – za zakonito obdelavo (prostovoljna, informirana,
dokazljiva, za določen namen)▪ Dejanskemu namenu obdelave – za kakšen namen lahko uporabljamo osebne
podatke▪ Kakšne ukrepe za zavarovanje moramo zagotoviti (vgrajeno in prevzeto varstvo
osebnih podatkov) - minimizacija▪ Oceni učinkov (PIA) – kdaj jo je treba izvesti▪ Imenovanju pooblaščene osebe za varstvo osebnih podatkov (DPO)▪ Novim obveznostim v primeru zunanjih (pogodbenih obdelovalcev) ▪ Pravicam posameznikov in procesu uveljavljanju pravic (tudi nove pravice)▪ Obveznostim v primeru kršitev (incidenti) ▪ Profiliranje in druge avtomatizirane obdelave (ustrezno soglasje za ta namen,
pravica posameznika, da to prepove)▪ Stalnemu nadzoru (vzpostavljeni nadzorni mehanizmi)▪ Osveščanju, usposabljanju zaposlenih▪ Visoke globe ob morebitnih kršitvah ali neugotovitvi skladnosti (do 4% l. pr.)
www.dataofficer.si
ZVOP 1 / GDPR• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)
• Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)
Stopnje:
I: OP zaposleni
II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),
III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi
IV: OP zaposleni + stranke marketing + spletna obdelava OP + tehnični pregledi + prodaja vozil, dejavnost zavarovanj…
GDPR - ključnih 6
KAJ MORAMO V PRAKSI ZAGOTOVITI?
1. Zakonitost in „proaktivna“ transparentnost – ustrezna pravna podlaga, predhodno obvestilo o obdelavi („privacy notice“ tudi v primeru nove zaposlitve delavca), objava politike varstva OP (ustrezne privolitve posameznikov za obdelavo – splet + fizične) + Evidenca dejavnosti obdelave (dostopna nadzornemu organu)
2. Realizacijo ukrepov za ustrezno varstvo OP - pravnoorganizacijski in tehnični –primerni glede na stopnjo tveganja (cilj – skladnost z GDPR – ustrezno varstvo pred kršitvami – „privacy by design and by default“) lastnih evidenc in obdelave podatkov z vpogledi v druge evidence (pooblastila, nadzor, informacijska var. itd.)
3. Uveljavitev odgovornosti pogodbenih obdelovalcev
4. Uveljavitev pravic posameznikov – na zahtevo: informiranje, dostop – vpogled –seznanitev – izpis podatkov – seznam uporabnikov (kdaj, na kakšni podlagi, namen) – viri in nameni obdelave, popravek…
5. Odziv na kršitve (evidenca kršitev, poročanje IP…)
6. DPO – pooblaščena oseba za varstvo OP
OBVEZNO IMENOVANJE, ČE:
• obdelavo izvaja javni sektor (državni organi, občine, nosilcijavnih pooblastil, javne agencije, javni skladi, javni zavodi,univerze, samostojni visokošolski zavodi, samoupravnenarodneskupnosti),
• je obdelava OP temeljna dejavnost, kjer je zaradi naraveobsega ali namenov obdelave, treba posameznike redno insistematično spremljati (npr. direktni marketing,segmentiranje, analitika….);
• temeljne dejavnosti zajemajo obsežno obdelavo posebnihvrst OP (t.i. „občutljivi OP“) in OP v zvezi s KE/PE
Lahko zaposlen ali po pogodbi.Kontaktne podatke DPO objavi + sporoči IP / do 25. maja
Pooblaščena oseba za varstvo osebnih podatkov - DPO
POGOJ: - javni sektor (osnutek ZVOP-2)
• ustrezno strokovno znanje s področja varstva osebnihpoatkov in poklicne odlike - npr. integriteto
• najmanj triletne izkušnje na področju varstva osebnihpodatkov, področja informacijske varnosti ali področjaposlovne skrivnosti po zakonu, ki ureja gospodarskedružbeali zaupnih podatkov po zakonu bančništvu)
• univ. izobrazba ali končan magistrski študijski program
• če opravlja tudi druge naloge ne sme biti nasprotja interesov
Do konflikta pride, če je DPO: predstojnik, funkcionar, član organaupravljanja ali nadzora, njegove druge naloge vključujejo odločanje oobdelavi op (npr. vodja IT službe, vodja kadrovske službe ipd.), zastopaupravljalca v sodnih ali arbitražnih postopkih glede varstva osebnihpodatkov.
DPO pogoji
DPO naloge
Naloge: - najpomembnejše: na neodvisen način pomaga prizagotavljanju skladnosti obdelave OP vskladu s pravili GDPR
• obvešča upravljavca+ svetuje o VOP in zahtevah GDPR,
• spremlja skladnosti obdelave OP po GDPR idr. predpisi,
• izvaja izobraževanja za zaposlene in sodeluje pri revizijah,
• sodeluje z IP,
• kontaktna točka glede obdelave OP.
Varovan položaj DPO
• ustrezno + pravočasno vključen v vse zadeve VOP,
• zagotovljeno: *sredstva, *dostop do OP in dejanj obdelave,
*ohranjanje strokovnega znanja,
• pri opravljanju nalog ne sme prejemati nobenih navodil,
• ne razrešen ali kaznovan zaradi opravljanja nalog,
• neposredno poroča najvišji upravi upravljavca/obdelovalca,
• posamezniki lahko z DPO stopijo v stik glede vseh vprašanj gledeobdelave njihovih OP, in uresničevanjem njihovih pravic,
• dolžnost varovati skrivnost ali zaupnost po pravu EU ali DČ.
• druge naloge, če upravljavec zagotovi, da ni nasprotja interesov.
27
GDPR – koraki do uskladitve
1. ANALIZA STANJA
2. SEZNAM UKREPOV
– uskladitev z GDPR
4. IZVEDBA
UKREPOV – GDPR SKLADNI
5. REVIZIJA (1x letno)
ZVOP 1 / GDPR• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)
• Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)
Stopnje:
I: OP zaposleni
II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),
III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi
IV: OP zaposleni + stranke marketing + spletna obdelava OP + tehnični pregledi + prodaja vozil, dejavnost zavarovanj…
ZVOP 1 / GDPR
Stopnja I in II:
Najmanj!
• Notranja pravila varstva (na primer notranji akt)
• Osnovni popis obdelave OP
• Pooblastila za obdelavo, vodje zbirk OP
• Aneksi - pogodbe z zunanjimi
PROJEKT USKLADITVE Z GDPR
1. Analiza - vsebina:
• Dejavnosti obdelave OP (zaposleni, zunanji, avtomatizirana obdelava…) – seznam • Zakonitost obdelave osebnih podatkov zaposlenih in strank (pravne podlage za obdelavo)• Pravnih aktov, politike varstva osebnosti (transparentnost), pooblastila zaposlenih za obdelavo osebnih
podatkov • Uveljavitve pravic posameznikov (seznanitev, prepoved, izbris…)• Izvajanja ukrepov za ustrezno varstvo („vgrajeno in prevzeto varstvo osebnih podatkov)• Videonadzor (podlage, ustrezno izvajanje, pooblastila…)• Obdelave pri pogodbenih obdelovalcih (analiza pogodb)• Spletne strani… (piškoti, drugo posredovanje osebnih podatkov, e vloge…)
Po potrebi še: analiza informacijske varnostiRezultat: Seznam ukrepov za uskladitev z GDPR
2. Izvedba ukrepov:
• Uskladitev internih zavezujočih aktov – paket (zavezujoča pravila, pravice posameznikov, varnostni incidenti…)
• Politike varstva osebnih podatkov za objavo na spletu,• Vzpostavitev ustrezne „evidence obdelave v skladu z GDPR“ (pooblastila, roki hrambe, način varstva…)• Uskladitev spletnega in fizičnega zbiranja osebnih podatkov (informirana obdelava)• Uskladitev pogodb s pogodbenimi obdelovalci• Uskladitev sistema obdelave preko videonadzora,• Informacijska varnostna politika + ukrepi in orodja za IT varnost• Usposabljanje zaposlenih
Aktivnost št. 1: ANALIZA STANJA
www.dataofficer.si
Zakonita podlaga za obdelavo osebnih podatkov
Evidenca dejavnosti obdelave osebnih podatkov
Notranji akti, politike, izjave in pooblastila za obdelavo osebnih podatkov
Pravice posameznikov
Vgrajeno in privzeto varstvo osebnih podatkov
Pogodbena obdelava osebnih podatkov
Informacijska varnostna politika
Obveščanje o kršitvah
Fizično varovanje
Spletna stran
Videonadzor
Pooblaščena oseba za varstvo osebnih podatkov
Povzetek ukrepov za uskladitev GDPR
Kaj pogostokrat delamo narobe?
• uporabljamo vzorec pravilnika o zavarovanju brez prilagoditve dejanskemu stanju,• Ne vemo sploh kje vse so osebni podatki zaposlenih, strank, kupcev…• dostopne pravice uporabnikov (zaposlenih) niso opredeljene (pooblastila?) in ne ustrezajo
naravi dela, • sredstva za avtentikacijo in avtorizacijo se posojajo, • pravice dostopa do OP niso omejene na določene osebe v podjetju (vsi vse?)• sistem ne zagotavlja sledljivosti obdelave osebnih podatkov, • sledljivost obstaja, ne zabeležijo pa se izvozi (PRENOSI) podatkov (seznam uporabnikov !)• pogostokrat niti ne vemo kje vse so osebni podatki shranjeni, kje se obdelujejo..• ne usposabljamo zaposlenih, pogodbenih izvajalcev…,• ne polagamo pozornosti osebnim podatkom (tudi občutljivim), ki jih imajo zaposleni na
mobilnih telefonih, prenosnih računalnikih in drugih napravah,• v praksi ne izvajamo sprejetih pravil – npr. pravil uporabe gesel (skupna uporaba ipd…) – gesla
so prava obrambna linija (pravila glede dolžine, redno spreminjanje vsakih 30-60 dni…),• ne posodabljamo protivirusne opreme,• najemamo neprimerne „pogodbene izvajalce“ brez ustrezne pogodbe“ • običajno zbiramo preveč podatkov samo zato, ker "bomo to morda potrebovali kasneje" in
"shranjevanje je poceni„…• neustrezen videonadzorni sistem• nimamo nadzornih mehanizmov
www.dataofficer.si
Aktivnost št. 1: ANALIZA STANJA
Popis evidenc in druge obdelave OP
- po dejavnostih podjetja
- notranje /zaposleni- stranke, kupci…
- začetni popis (analiza)- končni popis (uskladitev z gdpr)
www.dataofficer.si
Popis evidenc in druge obdelave OP
Pravnapodlaga -pogodba
Naenobdela
ve
Vrstaobdelave
Način
obdelave
Kategorija
posameznikov
Vrstaosebnihpodatko
v
Posebnakategorij
aosebnihpodatkov
Številoposamezniko
v
Virpodatkov
Oddelek in
odgovorna
oseba za
evidenco
Uporabniki / Kategor
ijeuporabnikov -notranj
i
Omejitve
dostopa(notran
ji)
Uporabniki /
kategorije
uporabnikov -prenos zunanji
m
Uporabniki -
pogodbena
obdelavo(podizvaja
nje)
Čezmejna
obdelava
Obdelava
izvenEU
Način
hrambepodatkov
Rok hrambe
osebnih
podatkovali(če
to nimožn
o) merila zahrambo
Pravice
posameznikov
Tehnični in organizacijsk
i ukrepi
za varnos
t podatk
ov
Razno/
Opombe
www.dataofficer.si
Uskladitev z GDPR - primeri
• Končni popis – Evidenca dejavnosti obdelave OP v skladu s 30. členom GDPR
• Pravila varstva OP (npr. pravilnik, navodila...)
• Usklajene pogodbe z zunanjimi obdelovalci…
• Ustrezne pravn podlage za obdelavo (npr. privolitve)…
Ukrepi – uskladitev z GDPR – od stopnje III. stopnje tveganja naprej
Kakšno je trenutno stanje skladnosti z ZVOP-1?
Najmanj kar je treba storiti:
• imenovanje pooblaščene osebe za varstvo osebnih podatkov
• popis dejavnosti OP– evidenca dejavnosti obdelave osebnih podatkov
• prilagoditev notranjih aktov in ustrezna implementacija načela vgrajenega in prevzetega varstva (vključno minimizacijo; količina OP, obseg obdelave, obdobje hrambe, kdo jih obdeluje), informacijska varnostna politika…
• Prilagoditev varnostnih politik in ukrepov za ustrezno varstvo / IT
• prilagoditev pogodb s pogodbenimi obdelovalci
• določitev procesa ob kršitvah („data breach“)
• določitev procesa za uveljavitev pravic posameznikov
• prilagoditev oddaje vlog kjer so osebni podatki (obvestilo o obdelavi)
• prilagoditev osebnih privolitev za obdelavo, uskladiti stare privolitve/izjave,
• preveriti in uskladiti način morebitnega profiliranja ali druge oblika avtomatizirane obdelave,
• prilagoditev spletnih strani (obvestilo o obdelavi,
politika varstva, piškotki)
PROCES: (1) ANALIZA – (2) SEZNAM UKREPOV – (3) IMPLEMENTACIJA (USKLAJENI- GDPR) –
(4) REDNA LETNA REVIZIJA /NADZOR - NALOGE DPO
GDPR – koraki do uskladitve
IMENOVANJE DPO / ODGOVORNE OSEBE ZA OP
1. ANALIZA STANJA
2. SEZNAM UKREPOV
– uskladitev z GDPR
4. IZVEDBA
UKREPOV – GDPR SKLADNI
5. REVIZIJA (1x letno)
IN IZVAJANJE STORITEV DPO / ODGOVORNE OSEBE
O podjetju Dataofficer d.o.o.
• Podjetje Dataofficer d. o. o. javnim in zasebnim poslovni subjektom nudi storitev pooblaščene osebe za varstvo osebnih podatkov (DPO) in drugo strokovno pomoč za zagotovitev ustrezne ravni varstva osebnih podatkov zaposlenih, strank, kupcev, pacientov in drugih oseb, skladno z nacionalnimi pravili in pravili nove evropske zakonodaje o varstvu osebnih podatkov.
• Ekipo podjetja Dataofficer d. o. o. sestavljata Jerneja Merva in Renata Zatler. Imata bogate izkušnje in strokovno znanje ter kompetence s področja varstva osebnih podatkov. Obe se lahko pohvalita tudi z mednarodnim certifikatom CIPP/E . Mednarodni certifikat CIPP/E dokazuje, da ima oseba, ki je certifikat pridobila celovito poznavanje področja varstva osebnih podatkov v skladu z najnovejšo evropsko zakonodajo (GDPR) in tako zagotavlja kompetentnega in uspešnega pooblaščenca za varstvo osebnih podatkov ter strokovnjaka s področja varovanja osebnih podatkov.
• Na področju informacijske varnosti Dataofficer d. o. o. sodeluje s strokovnjaki podjetja S&T Slovenija, Informacijske rešitve in storitve d.d., ki je že več kot 25 let eden vodilnih ponudnikov celovitih rešitev informacijskih tehnologij na slovenskem trgu.
Več na www.dataofficer.si
