Click here to load reader

NOVA ZAKONODAJA O VARSTVU OSEBNIH …...Novi (dopolnjeni) definiciji osebnih podatkov Novi obliki soglasja (privolitvi) –za zakonito obdelavo (prostovoljna, informirana, dokazljiva,

  • View
    0

  • Download
    0

Embed Size (px)

Text of NOVA ZAKONODAJA O VARSTVU OSEBNIH …...Novi (dopolnjeni) definiciji osebnih podatkov Novi obliki...

  • NOVA ZAKONODAJA O VARSTVU OSEBNIH PODATKOV (GDPR)

    USKLADITEV V PRAKSI

    Mag. Renata Zatler

    www.dataofficer.si

  • Vsebina

    • Uvod – varstvo zasebnosti, osebnih podatkov

    • Osnovni pojmi

    • Kaj je GDPR – bistvene novosti

    • Kako se uskladimo v praksi

  • Pravica do zasebnosti

    Pravica do zasebnosti je ena temeljnih človekovih pravic, ki je varovana v 35. členu Ustave Republike Slovenije, v katerem je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove

    zasebnosti ter osebnostnih pravic.

    Varovana je tudi v mednarodnih aktih, med drugim v 8. členu Evropske konvencije o varstvu človekovih

    pravic in temeljnih svoboščin (Ur. l. RS, Mednarodne pogodbe št. 7/94), po katerem ima vsak pravico do spoštovanja svojega osebnega in

    družinskega življenja, svojega doma in dopisovanja.

    www.dataofficer.si

  • Zakaj varstvo osebnih podatkov?

    ▪ Preprečujemo kršitve

    ▪ varujemo pravico do zasebnosti

    ▪ spoštujemo zakonodajo

    ▪ in posledično skrbimo za ugled organizacije

    Kaj se lahko zgodi, če pride do kršitve ali druge oblike incidenta?

    Možne posledice kršitve: visoke globe, kazni ali odškodnine posameznikom.

    www.dataofficer.si

  • Kršitev varstva OP

    KRŠITEV VARSTVA OSEBNIH PODATKOV:

    • „Kršitev varstva osebnih podatkov“ pomeni kršitev, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.“

    Ključna vprašanja:Kako hitro lahko ugotovimo kršitev varstva op?Kakšen imamo način ugotavljanja kršitev?

    Kako nadziramo zaposlene, obdelovalce? Dnevniki obdelav?Odnosi z obdelovalci – določitev procesa ob kršitvah s pogodbo…

    www.dataofficer.si

  • Kaj kršimo, ko ne spoštujemo zasebnosti

    ▪ USTAVA RS: 38. člen: „ Zagotovljeno je varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.

    ---------------GLOBA, ZAPOR, PLAČILO ODŠKODNINE …

    ▪ Zakon o varstvu osebnih podatkov (ZVOP-1) – 8. člen „(1)osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika). (2) Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.“ – (do 25. maja 2015). V primeru kršitve je predvidena globa.

    ▪ Kazenski zakonik (KZ-1) – 143. člen – „ Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporomdo enega leta. (2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. …... (5) Kdor stori dejanje iz prvega odstavka tega člena tako, da posreduje v javno objavo ali javno objavi občutljive osebne podatke, se kaznuje z zaporom do dveh let. (6) Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let…

    ▪ Obligacijski zakonik (OZ) 131. člen; „Kdor povzroči drugemu škodo, jo je dolžan povrniti, če ne dokaže, da je škoda nastala brez njegove krivde“. Temeljne predpostavke za odškodninsko odgovornost: 1) ravnanje povzročitelja škode mora biti protipravno oz. nedopustno, 2) tožniku mora nastati (pravno priznana) škoda, 3) podana mora biti vzročna zveza med nedopustnim ravnanjem in škodo ter 4) odgovornost oškodovalca za škodo.

    IN NAJNOVEJŠE (april 2016)

    ▪ EU – Splošna uredba GDPR – člen 6.1. Povzetek: Pogoj za obdelavo privolitev z določenim namenom, pogodba, zakonska obveznost, javni interes (javni organ), nujno za zaščito (ogroženo življenje osebe) – uporaba od 25. maja 2018 dalje.

    www.dataofficer.si

  • Ali ste vedeli?

    ▪ da je lastnik spletne strani »Kuponko.si« plačal globo v všini 10.000 evrov, ker je nezakonito (brez privolitve) pridobil in hranil v svoji elektronski bazi podatke o imenu in priimku ter elektronskem naslovu dveh ose;

    ▪ da je rekordna globa v višini 112.000 evrov doletela zavarovalnici Vzajemna in Tilia (+ 20.000 evrov odgovorni osebi), ker je Vzajemna Tilii brez dovoljenja posredovala osebne podatke več nekdanjih zavarovancev;

    ▪ da si je odgovorna oseba veterinarstvo Invet samo zaradi „nedovoljenega“ vpogleda v seznam psov in njihovih lastnikov prislužila 1660 evrov kazni, veterinarstvo pa še dodatnih 8.340 evrov;

    ▪ da je bil policist kaznovan, ker je nezakonito zbral osebne podatke iz registra začasno prijavljenih fizičnih oseb (ni imel podlage na zakonu temelječi ali drugi uradni delovni nalogi) in mu je bila izrečena kazen zapora;

    ▪ da je morala delavka, ki je nezakonito vpogledala v kadrovsko mapo sodelavke in se seznanila z zdravstvenim stanjem le te, plačala odškodnino v višini 17.000 evrov zaradi nastale nematerialne škode

    www.dataofficer.si

  • Varstvo / varnost

    "You're only as secure as your weakest link“

    Varen si samo toliko kot je varen najšibkejši člen v verigi. Vsi gostitelji v omrežjih organizacije so povezani skupaj. Ta veriga je pod nadzorom skrbnika. Tako uspešno

    izkoriščanje katerega koli gostitelja, ki ga upravlja skrbnik, lahko napadalcem da vse, kar hočejo.

    www.dataofficer.si

    VARNOST ŠE NE POMENI VARSTVAPodatki so lahko odlično zaklenjeni, a kaj ko nimamo pravne podlage, da jih sploh

    smemo imeti ali pa jih uporabljamo za namene, za katere niso bili zbrani. Varstvo podatkov ni samo IT varnost in to ni nekaj, kar uredijo informatiki,

    je skrb za varstvo proces in samo nekaj, kar narediš in je končano (npr. zgolj sprejem pravilnika), je človeški faktor pogosto največje tveganje za zlorabe.

    Vir: Smernice IP

    je človeški faktor pogosto največje tveganje za zlorabe.

  • Kaj sploh je OP?

    Osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (fizične osebe), zlasti pa:• Ime in priimek,• Naslov, • TELEFONSKA ŠTEVILKA,• davčna številka, EMŠO, zdravstvena…, vozila…• + NOVO: lokacijski podatki, spletni identifikatorji - ID piškotkov, IP naslovi

    ▪ psevdonimni podatki so še vedno OP (pod GDPR)

    Strožje zahteve za varstvo POSEBNE VRSTE (občutljivih osebnih podatkov):• rasno ali etnično poreklo• politično mnenje• versko ali filozofsko prepričanje• članstvo v sindikatu• spolno življenje in usmerjenost• zdravstveni podatki, • novo: genetski, biometrični…

    www.dataofficer.si

  • Kje se OP nahajajo (pravna podlaga, roki hrambe…)?

    • različnih evidencah in zbirkah • v kadrovskih mapah zaposlenih, • v računovodskih podatkih… • v excelovih tabelah, ki vsebujeje različne podatke • o strankah, kupcih, pacientih, občanih, • v posnetkih videonadzornega sistema…• spletnih straneh (zbiranje OP preko spletne strani)• elektronski pošti…• pri pogodbenih partnerjih („outsorsing“ – IT, videonadzor…)

    • Zaposleni,• Stranke,

    • Pogodbeni partnerji…

    www.dataofficer.si

  • Pomembna vprašanja

    ▪ katere podatke obdelujemo?▪ kakšen je proces obdelave (kdo zbira,

    kdo gleda, kdo briše…)▪ na kakšen način zbiramo podatke

    (fizično, spletno)?▪ kakšen je namen obdelave?▪ katere so podlage (zakon, privolitev,

    pogodba…) za obdelavo?▪ komu podatke posredujemo? ▪ kje podatke shranjujemo (posebna

    pozornost oblačnim storitvam)?...

    www.dataofficer.si

  • Kdo obdeluje osebne podatke?

    ▪ SAMI - Upravljavec (controller) –glavni akter (zaposleni –marketing, računovodstvo, kadrovska služba ipd…)

    ▪ PO POGODBI - zunanji („pogodbeni obdelovalec“ (processor) – po naročilu in izključno na podlagi zahtev upravljavca (kje se hranijo podatki?, morebitni zunanje/pogodbene storitve…)

    www.dataofficer.si

  • Obdelava osebnih podatkov

    “Obdelava” pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje,

    prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje

    ali kombiniranje, omejevanje, izbris ali uničenje.“

    www.dataofficer.si

  • Osnovno pravilo

    Osebni podatki se lahko obdelujejo:zbirajo, pridobivajo, urejajo, shranjujejo, razkrivajo, sporočajo,

    širijo ali povezujejo

    le za točno določen namen

    in samo v primeru

    obstoja ustrezne pravne podlage: zakon, pogodba, privolitev posameznika

    Pomembno: (1)USTREZNA PRAVNA PODLAGA (2) OBDELUJEŠ SAMO TISTE PODATKE, KI JIH POTREBUJEŠ (3) POSAMEZNIKOM POVEŠ KATERE PODATKE ZBIRAŠ IN ZAKAJ

    www.dataofficer.si

  • 2. Ukrepi za varstvo OPPOVZETEK

    UKREPI: PRIMERNI GLEDE NA STOPNJO TVEGANJA (količina, „občutljivi osebni podatki …)!

    ▪ PRAVNOORGANIZACIJSKI – imenovanje odgovorne osebe („DPO“), politika varovanja, notranji akti, pooblastila in odgovornosti (kdo upravlja bazo, kdo lahko vpogleda ali drugače obdeluje, sistemizacija), ustrezne privolitve posameznikov, pogodbe z zunanjimi izvajalci, usposabljanja zaposlenih, evidenca – katalog osebnih podatkov, ustrezne pogodbe (izbira) podizvajalcev oz. obdelovalcev –preverjanje---

    ▪ TEHNIČNI – fizično in IT varovanje: zaklepanje prostorov, ustrezno in učinkovito brisanje podatkov, celovito upravljanje informacijskih tehnologij (informacijska varnost), pravilno izbrana gesla, aplikativne in infrastrukturne varnostne rešitve, požarni zid, zagotavljanje revizijske sledi, psevdominizacija…

    DOKAZLJIVOST!!

    ODGOVORNA OSEBA PODJETJA JE NADZORNEMU ORGANU SPOSOBNA DOKAZATI, DA JE STORILA VSE KAR JE POTREBNO ZA USTREZNO RAVEN ZAŠČITE VARSTVA OSEBNIH PODATKOV!

    „Če pride do kršitve (zlorabe/incidenta) se bo v primeru, da bo kršitelj uspel z dokazili dokazati dolžno skrbnost ravnanja (skladnosti z zakonodajo, praktično izvajanje ukrepov varovanja –npr. usposabljanja zaposlenih, preverjanje izvajanja notranjih aktov…), možno izogniti sankcijam.

    www.dataofficer.si

  • Nova EU zakonodaja o varstvu OP - GDPR

    • Uredba (EU) 2016/679 EP in Sveta z dne 27.4.2016 o

    *varstvu posameznikov pri obdelavi OP in o *prostem pretoku

    OP ter o razveljavitvi Direktive 95/46/ES (GDPR)

    • 25. maja 2018 se prične neposredno v vseh državah članicah

    EU

    • ZVOP-1 preneha veljati (s tem tudi nekatere izjem do 50)

    • Prihaja ZVOP-2 (izvršitev uredbe)

    ZAKAJ NAS ČAKA „TEŽJI“ ZALOGAJ?

    www.dataofficer.si

  • Kakšno je naše trenutno stanje skladnosti?

    • Ali smo skladni z ZVOP-1?

    • Kako težek „zalogaj“ nas čaka?• Stopnja odgovornosti in osveščenosti

    vodstva in zaposlenih?• Kaj pogostokrat delamo narobe?

    • Kje se osebni podatki nahajajo; popisi zbirk, pooblastil za obdelavo?

    • Pravne podlage, roki hrambe, ukrepi za varstvo?

    • Notranji akti?

    GDPR – PRILOŽNOST ZA REVIZIJO!

    www.dataofficer.si

  • Vsebina GDPR

    • Pogoji za obdelavo osebni podatkov in načela (pridobivanja, varovanja…),

    • pravice posameznikov, • obveznosti obdelovalcev (upravljavcev in pogodbenih

    obdelovalcev),• Pooblaščena oseba za varstvo osebnih podatkov (data

    protection officer - DPO),• prenos osebnih podatkov v tretje države• nacionalni nadzorni organ (IP).

    www.dataofficer.si

  • Temaljna načela

    Delodajalec (upravljalec / obdelovalec):

    • obdeluje osebne podatke pošteno in zakonito,• zagotavlja točnost, popolnost in ažurnost zbranih osebnih

    podatkov ter• zagotavlja minimizacijo: hrani osebne podatke v obliki, ki

    omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za namene, za katere se podatki zbirajo ali obdelujejo

  • GDPR novosti - kdo je še posebej na udaru?

    ▪ Javni sektor + nosilci javnih pooblastil (vključno tehnični pregledi…) -obvezen DPO

    ▪ Javna komunalna podjetja, koncesionarji… (npr. linijski prevozniki…)▪ Večji „obdelovalci“ podatkov v zasebnem sektorju, (kriterij: število

    zaposlenih, število baz podatkov, avtomatska obdelava – trženje, profiliranje…)

    ▪ Vsi, ki obdelujejo posebne kategorije (občutljivi) osebnih podatkov –obvezen DPO

    ▪ Trgovci (spletne trgovine, „kartičarji“, profiliranje…)▪ Marketing, trženje, avtomatske obdelave podatkov (vključno profiliranje) ▪ Banke in druge finančne institucije▪ Zavarovalnice▪ Turistične agencije…

    www.dataofficer.si

  • GDPR novosti - posebno pozornost je treba nameniti

    ▪ Novi (dopolnjeni) definiciji osebnih podatkov ▪ Novi obliki soglasja (privolitvi) – za zakonito obdelavo (prostovoljna, informirana,

    dokazljiva, za določen namen)▪ Dejanskemu namenu obdelave – za kakšen namen lahko uporabljamo osebne

    podatke▪ Kakšne ukrepe za zavarovanje moramo zagotoviti (vgrajeno in prevzeto varstvo

    osebnih podatkov) - minimizacija▪ Oceni učinkov (PIA) – kdaj jo je treba izvesti▪ Imenovanju pooblaščene osebe za varstvo osebnih podatkov (DPO)▪ Novim obveznostim v primeru zunanjih (pogodbenih obdelovalcev) ▪ Pravicam posameznikov in procesu uveljavljanju pravic (tudi nove pravice)▪ Obveznostim v primeru kršitev (incidenti) ▪ Profiliranje in druge avtomatizirane obdelave (ustrezno soglasje za ta namen,

    pravica posameznika, da to prepove)▪ Stalnemu nadzoru (vzpostavljeni nadzorni mehanizmi)▪ Osveščanju, usposabljanju zaposlenih▪ Visoke globe ob morebitnih kršitvah ali neugotovitvi skladnosti (do 4% l. pr.)

    www.dataofficer.si

  • ZVOP 1 / GDPR• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)

    • Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)

    Stopnje:

    I: OP zaposleni

    II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),

    III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi

    IV: OP zaposleni + stranke marketing + spletna obdelava OP + tehnični pregledi + prodaja vozil, dejavnost zavarovanj…

  • GDPR - ključnih 6

    KAJ MORAMO V PRAKSI ZAGOTOVITI?

    1. Zakonitost in „proaktivna“ transparentnost – ustrezna pravna podlaga, predhodno obvestilo o obdelavi („privacy notice“ tudi v primeru nove zaposlitve delavca), objava politike varstva OP (ustrezne privolitve posameznikov za obdelavo – splet + fizične) + Evidenca dejavnosti obdelave (dostopna nadzornemu organu)

    2. Realizacijo ukrepov za ustrezno varstvo OP - pravnoorganizacijski in tehnični –primerni glede na stopnjo tveganja (cilj – skladnost z GDPR – ustrezno varstvo pred kršitvami – „privacy by design and by default“) lastnih evidenc in obdelave podatkov z vpogledi v druge evidence (pooblastila, nadzor, informacijska var. itd.)

    3. Uveljavitev odgovornosti pogodbenih obdelovalcev

    4. Uveljavitev pravic posameznikov – na zahtevo: informiranje, dostop – vpogled –seznanitev – izpis podatkov – seznam uporabnikov (kdaj, na kakšni podlagi, namen) – viri in nameni obdelave, popravek…

    5. Odziv na kršitve (evidenca kršitev, poročanje IP…)

    6. DPO – pooblaščena oseba za varstvo OP

  • OBVEZNO IMENOVANJE, ČE:

    • obdelavo izvaja javni sektor (državni organi, občine, nosilcijavnih pooblastil, javne agencije, javni skladi, javni zavodi,univerze, samostojni visokošolski zavodi, samoupravnenarodneskupnosti),

    • je obdelava OP temeljna dejavnost, kjer je zaradi naraveobsega ali namenov obdelave, treba posameznike redno insistematično spremljati (npr. direktni marketing,segmentiranje, analitika….);

    • temeljne dejavnosti zajemajo obsežno obdelavo posebnihvrst OP (t.i. „občutljivi OP“) in OP v zvezi s KE/PE

    Lahko zaposlen ali po pogodbi.Kontaktne podatke DPO objavi + sporoči IP / do 25. maja

    Pooblaščena oseba za varstvo osebnih podatkov - DPO

  • POGOJ: - javni sektor (osnutek ZVOP-2)

    • ustrezno strokovno znanje s področja varstva osebnihpoatkov in poklicne odlike - npr. integriteto

    • najmanj triletne izkušnje na področju varstva osebnihpodatkov, področja informacijske varnosti ali področjaposlovne skrivnosti po zakonu, ki ureja gospodarskedružbeali zaupnih podatkov po zakonu bančništvu)

    • univ. izobrazba ali končan magistrski študijski program

    • če opravlja tudi druge naloge ne sme biti nasprotja interesov

    Do konflikta pride, če je DPO: predstojnik, funkcionar, član organaupravljanja ali nadzora, njegove druge naloge vključujejo odločanje oobdelavi op (npr. vodja IT službe, vodja kadrovske službe ipd.), zastopaupravljalca v sodnih ali arbitražnih postopkih glede varstva osebnihpodatkov.

    DPO pogoji

  • DPO naloge

    Naloge: - najpomembnejše: na neodvisen način pomaga prizagotavljanju skladnosti obdelave OP vskladu s pravili GDPR

    • obvešča upravljavca+ svetuje o VOP in zahtevah GDPR,

    • spremlja skladnosti obdelave OP po GDPR idr. predpisi,

    • izvaja izobraževanja za zaposlene in sodeluje pri revizijah,

    • sodeluje z IP,

    • kontaktna točka glede obdelave OP.

  • Varovan položaj DPO

    • ustrezno + pravočasno vključen v vse zadeve VOP,

    • zagotovljeno: *sredstva, *dostop do OP in dejanj obdelave,

    *ohranjanje strokovnega znanja,

    • pri opravljanju nalog ne sme prejemati nobenih navodil,

    • ne razrešen ali kaznovan zaradi opravljanja nalog,

    • neposredno poroča najvišji upravi upravljavca/obdelovalca,

    • posamezniki lahko z DPO stopijo v stik glede vseh vprašanj gledeobdelave njihovih OP, in uresničevanjem njihovih pravic,

    • dolžnost varovati skrivnost ali zaupnost po pravu EU ali DČ.

    • druge naloge, če upravljavec zagotovi, da ni nasprotja interesov.

    27

  • GDPR – koraki do uskladitve

    1. ANALIZA STANJA

    2. SEZNAM UKREPOV

    – uskladitev z GDPR

    4. IZVEDBA

    UKREPOV – GDPR SKLADNI

    5. REVIZIJA (1x letno)

  • ZVOP 1 / GDPR• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)

    • Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)

    Stopnje:

    I: OP zaposleni

    II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),

    III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi

    IV: OP zaposleni + stranke marketing + spletna obdelava OP + tehnični pregledi + prodaja vozil, dejavnost zavarovanj…

  • ZVOP 1 / GDPR

    Stopnja I in II:

    Najmanj!

    • Notranja pravila varstva (na primer notranji akt)

    • Osnovni popis obdelave OP

    • Pooblastila za obdelavo, vodje zbirk OP

    • Aneksi - pogodbe z zunanjimi

  • PROJEKT USKLADITVE Z GDPR

    1. Analiza - vsebina:

    • Dejavnosti obdelave OP (zaposleni, zunanji, avtomatizirana obdelava…) – seznam • Zakonitost obdelave osebnih podatkov zaposlenih in strank (pravne podlage za obdelavo)• Pravnih aktov, politike varstva osebnosti (transparentnost), pooblastila zaposlenih za obdelavo osebnih

    podatkov • Uveljavitve pravic posameznikov (seznanitev, prepoved, izbris…)• Izvajanja ukrepov za ustrezno varstvo („vgrajeno in prevzeto varstvo osebnih podatkov)• Videonadzor (podlage, ustrezno izvajanje, pooblastila…)• Obdelave pri pogodbenih obdelovalcih (analiza pogodb)• Spletne strani… (piškoti, drugo posredovanje osebnih podatkov, e vloge…)

    Po potrebi še: analiza informacijske varnostiRezultat: Seznam ukrepov za uskladitev z GDPR

    2. Izvedba ukrepov:

    • Uskladitev internih zavezujočih aktov – paket (zavezujoča pravila, pravice posameznikov, varnostni incidenti…)

    • Politike varstva osebnih podatkov za objavo na spletu,• Vzpostavitev ustrezne „evidence obdelave v skladu z GDPR“ (pooblastila, roki hrambe, način varstva…)• Uskladitev spletnega in fizičnega zbiranja osebnih podatkov (informirana obdelava)• Uskladitev pogodb s pogodbenimi obdelovalci• Uskladitev sistema obdelave preko videonadzora,• Informacijska varnostna politika + ukrepi in orodja za IT varnost• Usposabljanje zaposlenih

  • Aktivnost št. 1: ANALIZA STANJA

    www.dataofficer.si

    Zakonita podlaga za obdelavo osebnih podatkov

    Evidenca dejavnosti obdelave osebnih podatkov

    Notranji akti, politike, izjave in pooblastila za obdelavo osebnih podatkov

    Pravice posameznikov

    Vgrajeno in privzeto varstvo osebnih podatkov

    Pogodbena obdelava osebnih podatkov

    Informacijska varnostna politika

    Obveščanje o kršitvah

    Fizično varovanje

    Spletna stran

    Videonadzor

    Pooblaščena oseba za varstvo osebnih podatkov

    Povzetek ukrepov za uskladitev GDPR

  • Kaj pogostokrat delamo narobe?

    • uporabljamo vzorec pravilnika o zavarovanju brez prilagoditve dejanskemu stanju,• Ne vemo sploh kje vse so osebni podatki zaposlenih, strank, kupcev…• dostopne pravice uporabnikov (zaposlenih) niso opredeljene (pooblastila?) in ne ustrezajo

    naravi dela, • sredstva za avtentikacijo in avtorizacijo se posojajo, • pravice dostopa do OP niso omejene na določene osebe v podjetju (vsi vse?)• sistem ne zagotavlja sledljivosti obdelave osebnih podatkov, • sledljivost obstaja, ne zabeležijo pa se izvozi (PRENOSI) podatkov (seznam uporabnikov !)• pogostokrat niti ne vemo kje vse so osebni podatki shranjeni, kje se obdelujejo..• ne usposabljamo zaposlenih, pogodbenih izvajalcev…,• ne polagamo pozornosti osebnim podatkom (tudi občutljivim), ki jih imajo zaposleni na

    mobilnih telefonih, prenosnih računalnikih in drugih napravah,• v praksi ne izvajamo sprejetih pravil – npr. pravil uporabe gesel (skupna uporaba ipd…) – gesla

    so prava obrambna linija (pravila glede dolžine, redno spreminjanje vsakih 30-60 dni…),• ne posodabljamo protivirusne opreme,• najemamo neprimerne „pogodbene izvajalce“ brez ustrezne pogodbe“ • običajno zbiramo preveč podatkov samo zato, ker "bomo to morda potrebovali kasneje" in

    "shranjevanje je poceni„…• neustrezen videonadzorni sistem• nimamo nadzornih mehanizmov

    www.dataofficer.si

  • Aktivnost št. 1: ANALIZA STANJA

    Popis evidenc in druge obdelave OP

    - po dejavnostih podjetja- notranje /zaposleni- stranke, kupci…

    - začetni popis (analiza)- končni popis (uskladitev z gdpr)

    www.dataofficer.si

  • Popis evidenc in druge obdelave OP

    Pravnapodlaga -pogodba

    Naenobdela

    ve

    Vrstaobdelave

    Način

    obdelave

    Kategorija

    posameznikov

    Vrstaosebnihpodatko

    v

    Posebnakategorij

    aosebnihpodatkov

    Številoposamezniko

    v

    Virpodatkov

    Oddelek in

    odgovorna

    oseba za

    evidenco

    Uporabniki / Kategor

    ijeuporabnikov -notranj

    i

    Omejitve

    dostopa(notran

    ji)

    Uporabniki /

    kategorije

    uporabnikov -prenos zunanji

    m

    Uporabniki -

    pogodbena

    obdelavo(podizvaja

    nje)

    Čezmejna

    obdelava

    Obdelava

    izvenEU

    Način

    hrambepodatkov

    Rok hrambe

    osebnih

    podatkovali(če

    to nimožn

    o) merila zahrambo

    Pravice

    posameznikov

    Tehnični in organizacijsk

    i ukrepi

    za varnos

    t podatk

    ov

    Razno/

    Opombe

    www.dataofficer.si

  • Uskladitev z GDPR - primeri

    • Končni popis – Evidenca dejavnosti obdelave OP v skladu s 30. členom GDPR

    • Pravila varstva OP (npr. pravilnik, navodila...)

    • Usklajene pogodbe z zunanjimi obdelovalci…

    • Ustrezne pravn podlage za obdelavo (npr. privolitve)…

  • Ukrepi – uskladitev z GDPR – od stopnje III. stopnje tveganja naprej

    Kakšno je trenutno stanje skladnosti z ZVOP-1?

    Najmanj kar je treba storiti:

    • imenovanje pooblaščene osebe za varstvo osebnih podatkov

    • popis dejavnosti OP– evidenca dejavnosti obdelave osebnih podatkov

    • prilagoditev notranjih aktov in ustrezna implementacija načela vgrajenega in prevzetega varstva (vključno minimizacijo; količina OP, obseg obdelave, obdobje hrambe, kdo jih obdeluje), informacijska varnostna politika…

    • Prilagoditev varnostnih politik in ukrepov za ustrezno varstvo / IT

    • prilagoditev pogodb s pogodbenimi obdelovalci

    • določitev procesa ob kršitvah („data breach“)

    • določitev procesa za uveljavitev pravic posameznikov

    • prilagoditev oddaje vlog kjer so osebni podatki (obvestilo o obdelavi)

    • prilagoditev osebnih privolitev za obdelavo, uskladiti stare privolitve/izjave,

    • preveriti in uskladiti način morebitnega profiliranja ali druge oblika avtomatizirane obdelave,

    • prilagoditev spletnih strani (obvestilo o obdelavi,

    politika varstva, piškotki)

    PROCES: (1) ANALIZA – (2) SEZNAM UKREPOV – (3) IMPLEMENTACIJA (USKLAJENI- GDPR) –

    (4) REDNA LETNA REVIZIJA /NADZOR - NALOGE DPO

  • GDPR – koraki do uskladitve

    IMENOVANJE DPO / ODGOVORNE OSEBE ZA OP

    1. ANALIZA STANJA

    2. SEZNAM UKREPOV

    – uskladitev z GDPR

    4. IZVEDBA

    UKREPOV – GDPR SKLADNI

    5. REVIZIJA (1x letno)

    IN IZVAJANJE STORITEV DPO / ODGOVORNE OSEBE

  • O podjetju Dataofficer d.o.o.

    • Podjetje Dataofficer d. o. o. javnim in zasebnim poslovni subjektom nudi storitev pooblaščene osebe za varstvo osebnih podatkov (DPO) in drugo strokovno pomoč za zagotovitev ustrezne ravni varstva osebnih podatkov zaposlenih, strank, kupcev, pacientov in drugih oseb, skladno z nacionalnimi pravili in pravili nove evropske zakonodaje o varstvu osebnih podatkov.

    • Ekipo podjetja Dataofficer d. o. o. sestavljata Jerneja Merva in Renata Zatler. Imata bogate izkušnje in strokovno znanje ter kompetence s področja varstva osebnih podatkov. Obe se lahko pohvalita tudi z mednarodnim certifikatom CIPP/E . Mednarodni certifikat CIPP/E dokazuje, da ima oseba, ki je certifikat pridobila celovito poznavanje področja varstva osebnih podatkov v skladu z najnovejšo evropsko zakonodajo (GDPR) in tako zagotavlja kompetentnega in uspešnega pooblaščenca za varstvo osebnih podatkov ter strokovnjaka s področja varovanja osebnih podatkov.

    • Na področju informacijske varnosti Dataofficer d. o. o. sodeluje s strokovnjaki podjetja S&T Slovenija, Informacijske rešitve in storitve d.d., ki je že več kot 25 let eden vodilnih ponudnikov celovitih rešitev informacijskih tehnologij na slovenskem trgu.

    Več na www.dataofficer.si

    https://www.credential.net/evx5i6qf?key=c4f347751fabf3c87139a6a27ba918a559be69b808d34da6016a73363c32ffc6C:/Users/Jerneja/Desktop/Documents/Altovahttps://www.credential.net/48n7cf4t?key=a34478028ac3901bff900e3041f62c64f709fb607d75bd094fec36fca5551706https://iapp.org/certify/cippe/http://www.snt.si/http://www.dataofficer.si/