NOVA ZAKONODAJA O VARSTVU OSEBNIH PODATKOV (GDPR)

NOVA ZAKONODAJA O VARSTVU OSEBNIH PODATKOV (GDPR)

USKLADITEV V PRAKSI

Mag. Renata Zatler

www.dataofficer.si

Vsebina

• Uvod – varstvo zasebnosti, osebnih podatkov

• Osnovni pojmi

• Kaj je GDPR – bistvene novosti

• Kako se uskladimo v praksi

Pravica do zasebnosti

Pravica do zasebnosti je ena temeljnih človekovih pravic, ki je varovana v 35. členu Ustave Republike Slovenije, v katerem je zagotovljena nedotakljivost človekove telesne in duševne celovitosti, njegove

zasebnosti ter osebnostnih pravic.

Varovana je tudi v mednarodnih aktih, med drugim v 8. členu Evropske konvencije o varstvu človekovih

pravic in temeljnih svoboščin (Ur. l. RS,

Mednarodne pogodbe št. 7/94), po katerem ima vsak pravico do spoštovanja svojega osebnega in

družinskega življenja, svojega doma in

dopisovanja.

Zakaj varstvo osebnih podatkov?

▪ Preprečujemo kršitve

▪ varujemo pravico do zasebnosti

▪ spoštujemo zakonodajo

▪ in posledično skrbimo za ugled organizacije

Kaj se lahko zgodi, če pride do kršitve ali druge oblike incidenta?

Možne posledice kršitve: visoke globe, kazni ali odškodnine posameznikom.

Kršitev varstva OP

KRŠITEV VARSTVA OSEBNIH PODATKOV:

• „

Kršitev varstva osebnih podatkov“ pomeni kršitev, ki povzroči nenamerno ali

nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.“

Ključna vprašanja:

Kako hitro lahko ugotovimo kršitev varstva op?

Kakšen imamo način ugotavljanja kršitev?

Kako nadziramo zaposlene, obdelovalce?

Dnevniki obdelav?

Odnosi z obdelovalci – določitev procesa ob kršitvah s pogodbo…

www.dataofficer.si

Kaj kršimo, ko ne spoštujemo zasebnosti

▪ USTAVA RS: 38. člen: „ Zagotovljeno je varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor, in varstvo tajnosti

osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.

---

GLOBA, ZAPOR, PLAČILO ODŠKODNINE …

▪ Zakon o varstvu osebnih podatkov (ZVOP-1) – 8. člen „(1)osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika). (2) Namen obdelave osebnih podatkov mora biti določen v

zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.“ – (do 25. maja 2015). V primeru kršitve je predvidena globa.

▪ Kazenski zakonik (KZ-1) – 143. člen – „ Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporom do enega leta. (2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek. …...(5) Kdor stori dejanje iz prvega odstavka tega člena tako, da posreduje v javno objavo ali javno objavi občutljive osebne podatke, se kaznuje z

zaporom do dveh let.(6) Če stori dejanje iz prejšnjih odstavkov tega člena uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do petih let…

▪ Obligacijski zakonik (OZ) 131. člen;„Kdor povzroči drugemu škodo, jo je dolžan povrniti, če ne dokaže, da je škoda nastala brez njegove krivde“. Temeljne predpostavke za odškodninsko odgovornost: 1) ravnanje povzročitelja škode mora biti protipravno oz. nedopustno, 2) tožniku mora nastati (pravno priznana) škoda, 3) podana mora biti vzročna zveza med nedopustnim ravnanjem in škodo ter 4) odgovornost oškodovalca za škodo.

IN NAJNOVEJŠE (april 2016)

▪ EU – Splošna uredba GDPR – člen 6.1. Povzetek: Pogoj za obdelavo privolitev z določenim namenom, pogodba, zakonska obveznost, javni interes (javni organ), nujno za zaščito (ogroženo življenje osebe) – uporaba

Ali ste vedeli?

▪ da je lastnik spletne strani »Kuponko.si« plačal globo v všini 10.000 evrov, ker je nezakonito (brez privolitve) pridobil in hranil v svoji elektronski bazi podatke o imenu in priimku ter elektronskem naslovu dveh ose;

▪ da je rekordna globa v višini 112.000 evrov doletela zavarovalnici Vzajemna in Tilia (+

20.000 evrov odgovorni osebi), ker je Vzajemna Tilii brez dovoljenja posredovala osebne podatke več nekdanjih zavarovancev;

▪ da si je odgovorna oseba veterinarstvo Invet samo zaradi „nedovoljenega“ vpogleda v seznam psov in njihovih lastnikov prislužila 1660 evrov kazni, veterinarstvo pa še

dodatnih 8.340 evrov;

▪ da je bil policist kaznovan, ker je nezakonito zbral osebne podatke iz registra začasno prijavljenih fizičnih oseb (ni imel podlage na zakonu temelječi ali drugi uradni delovni nalogi) in mu je bila izrečena kazen zapora;

▪ da je morala delavka, ki je nezakonito vpogledala v kadrovsko mapo sodelavke in se

seznanila z zdravstvenim stanjem le te, plačala odškodnino v višini 17.000 evrov

zaradi nastale nematerialne škode

Varstvo / varnost

" You're only as secure as your weakest link“

Varen si samo toliko kot je varen najšibkejši člen v verigi. Vsi gostitelji v omrežjih organizacije so povezani skupaj. Ta veriga je pod nadzorom skrbnika. Tako uspešno izkoriščanje katerega koli gostitelja, ki ga upravlja skrbnik, lahko napadalcem da vse, kar

hočejo.

VARNOST ŠE NE POMENI VARSTVA

Podatki so lahko odlično zaklenjeni, a kaj ko nimamo pravne podlage, da jih sploh smemo imeti ali pa jih uporabljamo za namene, za katere niso bili zbrani.

Varstvo podatkov ni samo IT varnost in to ni nekaj, kar uredijo informatiki,

je skrb za varstvo proces in samo nekaj, kar narediš in je končano (npr. zgolj sprejem pravilnika), je človeški faktor pogosto največje tveganje za zlorabe.

Vir: Smernice IP

je človeški faktor pogosto največje tveganje za zlorabe.

Kaj sploh je OP?

Osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom (fizične osebe), zlasti pa:

• Ime in priimek,

• Naslov,

• TELEFONSKA ŠTEVILKA,

• davčna številka, EMŠO, zdravstvena…, vozila…

• + NOVO: lokacijski podatki, spletni identifikatorji - ID piškotkov, IP naslovi

▪ psevdonimni podatki so še vedno OP (pod GDPR)

Strožje zahteve za varstvo POSEBNE VRSTE (občutljivih osebnih podatkov):

• rasno ali etnično poreklo

• politično mnenje

• versko ali filozofsko prepričanje

• članstvo v sindikatu

• spolno življenje in usmerjenost

• zdravstveni podatki,

• novo: genetski, biometrični…

Kje se OP nahajajo (pravna podlaga, roki hrambe…)?

• različnih evidencah in zbirkah

• v kadrovskih mapah zaposlenih,

• v računovodskih podatkih…

• v excelovih tabelah, ki vsebujeje različne podatke

• o strankah, kupcih, pacientih, občanih,

• v posnetkih videonadzornega sistema…

• spletnih straneh

(zbiranje OP preko spletne strani)

• elektronski pošti…

• pri pogodbenih partnerjih

(„outsorsing“ – IT, videonadzor…)

• Zaposleni,

• Stranke,

• Pogodbeni partnerji…

Pomembna vprašanja

▪ katere podatke obdelujemo?

▪ kakšen je proces obdelave (kdo zbira, kdo gleda, kdo briše…)

▪ na kakšen način zbiramo podatke (fizično, spletno)?

▪ kakšen je namen obdelave?

▪ katere so podlage (zakon, privolitev, pogodba…) za obdelavo?

▪ komu podatke posredujemo?

▪ kje podatke shranjujemo (posebna pozornost oblačnim storitvam)?...

www.dataofficer.si

Kdo obdeluje osebne podatke?

▪ SAMI - Upravljavec (controller) – glavni akter (zaposleni –

marketing, računovodstvo, kadrovska služba ipd…)

▪ PO POGODBI - zunanji („pogodbeni obdelovalec“

(processor) – po naročilu in izključno na podlagi zahtev upravljavca (kje se hranijo podatki?, morebitni

zunanje/pogodbene storitve…)

Obdelava osebnih podatkov

“ Obdelava” pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje,

prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s

posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje

ali kombiniranje, omejevanje, izbris ali uničenje.“

Osnovno pravilo

Osebni podatki se lahko obdelujejo:

zbirajo, pridobivajo, urejajo, shranjujejo, razkrivajo, sporočajo, širijo ali povezujejo

le za točno določen namen in samo v primeru

obstoja ustrezne pravne podlage: zakon, pogodba, privolitev posameznika

Pomembno: (1)USTREZNA PRAVNA PODLAGA (2) OBDELUJEŠ SAMO

TISTE PODATKE, KI JIH POTREBUJEŠ (3) POSAMEZNIKOM POVEŠ KATERE

PODATKE ZBIRAŠ IN ZAKAJ

2. Ukrepi za varstvo OP

POVZETEK

UKREPI: PRIMERNI GLEDE NA STOPNJO TVEGANJA (količina, „občutljivi osebni podatki …)!

▪ PRAVNOORGANIZACIJSKI – imenovanje odgovorne osebe („DPO“), politika

varovanja, notranji akti, pooblastila in odgovornosti (kdo upravlja bazo, kdo lahko vpogleda ali drugače obdeluje, sistemizacija), ustrezne privolitve posameznikov, pogodbe z zunanjimi izvajalci, usposabljanja zaposlenih, evidenca – katalog osebnih podatkov, ustrezne pogodbe (izbira) podizvajalcev oz. obdelovalcev – preverjanje---

▪ TEHNIČNI – fizično in IT varovanje: zaklepanje prostorov, ustrezno in učinkovito brisanje podatkov, celovito upravljanje informacijskih tehnologij (informacijska varnost), pravilno izbrana gesla, aplikativne in infrastrukturne varnostne rešitve, požarni zid, zagotavljanje revizijske sledi, psevdominizacija…

DOKAZLJIVOST!!

ODGOVORNA OSEBA PODJETJA JE NADZORNEMU ORGANU SPOSOBNA DOKAZATI, DA JE STORILA VSE KAR JE POTREBNO ZA USTREZNO RAVEN ZAŠČITE VARSTVA OSEBNIH PODATKOV!

„Če pride do kršitve (zlorabe/incidenta) se bo v primeru, da bo kršitelj uspel z dokazili dokazati dolžno skrbnost ravnanja (skladnosti z zakonodajo, praktično izvajanje ukrepov varovanja – npr. usposabljanja zaposlenih, preverjanje izvajanja notranjih aktov…), možno izogniti

sankcijam.

Nova EU zakonodaja o varstvu OP - GDPR

• Uredba (EU) 2016/679 EP in Sveta z dne 27.4.2016 o

*varstvu posameznikov pri obdelavi OP in o *prostem pretoku OP ter o razveljavitvi Direktive 95/46/ES (GDPR)

• 25. maja 2018 se prične neposredno v vseh državah članicah EU

• ZVOP-1 preneha veljati (s tem tudi nekatere izjem do 50)

• Prihaja ZVOP-2 (izvršitev uredbe)

ZAKAJ NAS ČAKA „TEŽJI“ ZALOGAJ?

Kakšno je naše trenutno stanje skladnosti?

• Ali smo skladni z ZVOP-1?

• Kako težek „zalogaj“ nas čaka?

• Stopnja odgovornosti in osveščenosti vodstva in zaposlenih?

• Kaj pogostokrat delamo narobe?

• Kje se osebni podatki nahajajo; popisi zbirk, pooblastil za obdelavo?

• Pravne podlage, roki hrambe, ukrepi za varstvo?

• Notranji akti?

GDPR – PRILOŽNOST ZA REVIZIJO!

Vsebina GDPR

• Pogoji za obdelavo osebni podatkov in načela (pridobivanja, varovanja…),

• pravice posameznikov,

• obveznosti obdelovalcev (upravljavcev in pogodbenih obdelovalcev),

• Pooblaščena oseba za varstvo osebnih podatkov (data protection officer - DPO),

• prenos osebnih podatkov v tretje države

• nacionalni nadzorni organ (IP).

Temaljna načela

Delodajalec (upravljalec / obdelovalec):

• obdeluje osebne podatke pošteno in zakonito,

• zagotavlja točnost, popolnost in ažurnost zbranih osebnih podatkov ter

• zagotavlja minimizacijo: hrani osebne podatke v obliki, ki

omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je to potrebno za

namene, za katere se podatki zbirajo ali obdelujejo

GDPR novosti - kdo je še posebej na udaru?

▪ Javni sektor + nosilci javnih pooblastil (vključno tehnični pregledi…) - obvezen DPO

▪ Javna komunalna podjetja, koncesionarji… (npr. linijski prevozniki…)

▪ Večji „obdelovalci“ podatkov v zasebnem sektorju, (kriterij: število zaposlenih, število baz podatkov, avtomatska obdelava – trženje, profiliranje…)

▪ Vsi, ki obdelujejo posebne kategorije (občutljivi) osebnih podatkov – obvezen DPO

▪ Trgovci (spletne trgovine, „kartičarji“, profiliranje…)

▪ Marketing, trženje, avtomatske obdelave podatkov (vključno profiliranje)

▪ Banke in druge finančne institucije

▪ Zavarovalnice

▪ Turistične agencije…

GDPR novosti - posebno pozornost je treba nameniti

▪ Novi (dopolnjeni) definiciji osebnih podatkov

▪ Novi obliki soglasja (privolitvi) – za zakonito obdelavo (prostovoljna, informirana, dokazljiva, za določen namen)

▪ Dejanskemu namenu obdelave – za kakšen namen lahko uporabljamo osebne podatke

▪ Kakšne ukrepe za zavarovanje moramo zagotoviti (vgrajeno in prevzeto varstvo osebnih podatkov) - minimizacija

▪ Oceni učinkov (PIA) – kdaj jo je treba izvesti

▪ Imenovanju pooblaščene osebe za varstvo osebnih podatkov (DPO)

▪ Novim obveznostim v primeru zunanjih (pogodbenih obdelovalcev)

▪ Pravicam posameznikov in procesu uveljavljanju pravic (tudi nove pravice)

▪ Obveznostim v primeru kršitev (incidenti)

▪ Profiliranje in druge avtomatizirane obdelave (ustrezno soglasje za ta namen, pravica posameznika, da to prepove)

▪ Stalnemu nadzoru (vzpostavljeni nadzorni mehanizmi)

▪ Osveščanju, usposabljanju zaposlenih

▪ Visoke globe ob morebitnih kršitvah ali neugotovitvi skladnosti (do 4% l. pr.)

ZVOP 1 / GDPR

• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)

• Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)

Stopnje:

I: OP zaposleni

II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),

III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi

IV: OP zaposleni + stranke marketing + spletna obdelava OP +

tehnični pregledi + prodaja vozil, dejavnost zavarovanj…

GDPR - ključnih 6

KAJ MORAMO V PRAKSI ZAGOTOVITI?

1. Zakonitost in „proaktivna“ transparentnost – ustrezna pravna podlaga,

predhodno obvestilo o obdelavi („privacy notice“ tudi v primeru nove zaposlitve delavca), objava politike varstva OP (ustrezne privolitve posameznikov za

obdelavo – splet + fizične) + Evidenca dejavnosti obdelave (dostopna nadzornemu organu)

2. Realizacijo ukrepov za ustrezno varstvo OP - pravnoorganizacijski in tehnični – primerni glede na stopnjo tveganja (cilj – skladnost z GDPR – ustrezno varstvo pred kršitvami – „privacy by design and by default“) lastnih evidenc in obdelave podatkov z vpogledi v druge evidence (pooblastila, nadzor, informacijska var. itd.) 3. Uveljavitev odgovornosti pogodbenih obdelovalcev

4. Uveljavitev pravic posameznikov – na zahtevo: informiranje, dostop – vpogled – seznanitev – izpis podatkov – seznam uporabnikov (kdaj, na kakšni podlagi,

namen) – viri in nameni obdelave, popravek…

5. Odziv na kršitve (evidenca kršitev, poročanje IP…)

6. DPO – pooblaščena oseba za varstvo OP

OBVEZNO IMENOVANJE, ČE:

• obdelavo izvaja javni sektor (državni organi, občine, nosilci javnih pooblastil, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, samoupravne narodneskupnosti),

• je obdelava OP temeljna dejavnost, kjer je zaradi narave obsega ali namenov obdelave, treba posameznike redno in sistematično spremljati (npr. direktni marketing, segmentiranje, analitika….);

• temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst OP (t.i. „občutljivi OP“) in OP v zvezi s KE/PE

Lahko zaposlen ali po pogodbi.

Pooblaščena oseba za varstvo osebnih

podatkov - DPO

POGOJ: - javni sektor (osnutek ZVOP-2)

• ustrezno strokovno znanje s področja varstva osebnih poatkov in poklicne odlike - npr. integriteto

• najmanj triletne izkušnje na področju varstva osebnih podatkov , področja informacijske varnosti ali področja poslovne skrivnosti po zakonu, ki ureja gospodarskedružbe ali zaupnih podatkov po zakonu bančništvu)

• univ. izobrazba ali končan magistrski študijski program

• če opravlja tudi druge naloge ne sme biti nasprotja interesov

Do konflikta pride, če je DPO: predstojnik, funkcionar, član organa upravljanja ali nadzora, njegove druge naloge vključujejo odločanje o obdelavi op (npr. vodja IT službe, vodja kadrovske službe ipd.), zastopa upravljalca v sodnih ali arbitražnih postopkih glede varstva osebnih

DPO pogoji

DPO naloge

Naloge: - najpomembnejše: na neodvisen način pomaga pri zagotavljanju skladnosti obdelave OP vskladu s pravili GDPR

• obvešča upravljavca+ svetuje o VOP in zahtevah GDPR,

• spremlja skladnosti obdelave OP po GDPR idr. predpisi,

• izvaja izobraževanja za zaposlene in sodeluje pri revizijah,

• sodeluje z IP,

• kontaktna točka glede obdelave OP.

Varovan položaj DPO

• ustrezno + pravočasno vključen v vse zadeve VOP,

• zagotovljeno: *sredstva, *dostop do OP in dejanj obdelave,

*ohranjanje strokovnega znanja,

• pri opravljanju nalog ne sme prejemati nobenih navodil,

• ne razrešen ali kaznovan zaradi opravljanja nalog,

• neposredno poroča najvišji upravi upravljavca/obdelovalca,

• posamezniki lahko z DPO stopijo v stik glede vseh vprašanj glede obdelave njihovih OP, in uresničevanjem njihovih pravic,

• dolžnost varovati skrivnost ali zaupnost po pravu EU ali DČ.

• druge naloge, če upravljavec zagotovi, da ni nasprotja interesov.

GDPR – koraki do uskladitve

1. ANALIZA STANJA 2. SEZNAM UKREPOV

– uskladitev z GDPR 4. IZVEDBA

UKREPOV – GDPR SKLADNI

5. REVIZIJA (1x letno )

ZVOP 1 / GDPR

• Izjeme do 50 zaposlenih ne bo več – zvop-1 (notranji akt)

• Ukrepi za varstvo (notranja pravila in varnostni mehanizmi glede na stopnjo tveganja!)

Stopnje:

I: OP zaposleni

II: OP zaposleni + stranke - „stalne“ (na podlagi pogodbe),

III: OP zaposleni + stranke - marketing + spletna obdelava OP + turistična dejavnost + linijski prevozi

IV: OP zaposleni + stranke marketing + spletna obdelava OP +

tehnični pregledi + prodaja vozil, dejavnost zavarovanj…

ZVOP 1 / GDPR

Stopnja I in II:

Najmanj!

• Notranja pravila varstva (na primer notranji akt)

• Osnovni popis obdelave OP

• Pooblastila za obdelavo, vodje zbirk OP

• Aneksi - pogodbe z zunanjimi

PROJEKT USKLADITVE Z GDPR

1. Analiza - vsebina:

•

Dejavnosti obdelave OP (zaposleni, zunanji, avtomatizirana obdelava…) – seznam

•

Zakonitost obdelave osebnih podatkov zaposlenih in strank (pravne podlage za obdelavo)

•

Pravnih aktov, politike varstva osebnosti (transparentnost), pooblastila zaposlenih za obdelavo osebnih podatkov

•

Uveljavitve pravic posameznikov (seznanitev, prepoved, izbris…)

•

Izvajanja ukrepov za ustrezno varstvo („vgrajeno in prevzeto varstvo osebnih podatkov)

•

Videonadzor (podlage, ustrezno izvajanje, pooblastila…)

•

Obdelave pri pogodbenih obdelovalcih (analiza pogodb)

•

Spletne strani… (piškoti, drugo posredovanje osebnih podatkov, e vloge…) Po potrebi še: analiza informacijske varnosti

Rezultat: Seznam ukrepov za uskladitev z GDPR 2. Izvedba ukrepov:

•

Uskladitev internih zavezujočih aktov – paket (zavezujoča pravila, pravice posameznikov, varnostni incidenti…)

•

Politike varstva osebnih podatkov za objavo na spletu,

•

Vzpostavitev ustrezne „evidence obdelave v skladu z GDPR“ (pooblastila, roki hrambe, način varstva…)

•

Uskladitev spletnega in fizičnega zbiranja osebnih podatkov (informirana obdelava)

•

Uskladitev pogodb s pogodbenimi obdelovalci

•

Uskladitev sistema obdelave preko videonadzora,

•

Informacijska varnostna politika + ukrepi in orodja za IT varnost

•

Usposabljanje zaposlenih

Aktivnost št. 1: ANALIZA STANJA

Zakonita podlaga za obdelavo osebnih podatkov Evidenca dejavnosti obdelave osebnih podatkov

Notranji akti, politike, izjave in pooblastila za obdelavo osebnih podatkov Pravice posameznikov

Vgrajeno in privzeto varstvo osebnih podatkov Pogodbena obdelava osebnih podatkov

Informacijska varnostna politika Obveščanje o kršitvah

Fizično varovanje Spletna stran Videonadzor

Pooblaščena oseba za varstvo osebnih podatkov

Povzetek ukrepov za uskladitev GDPR

Kaj pogostokrat delamo narobe?

• uporabljamo vzorec pravilnika o zavarovanju brez prilagoditve dejanskemu stanju,

• Ne vemo sploh kje vse so osebni podatki zaposlenih, strank, kupcev…

• dostopne pravice uporabnikov (zaposlenih) niso opredeljene (pooblastila?) in ne ustrezajo naravi dela,

• sredstva za avtentikacijo in avtorizacijo se posojajo,

• pravice dostopa do OP niso omejene na določene osebe v podjetju (vsi vse?)

• sistem ne zagotavlja sledljivosti obdelave osebnih podatkov,

• sledljivost obstaja, ne zabeležijo pa se izvozi (PRENOSI) podatkov (seznam uporabnikov !)

• pogostokrat niti ne vemo kje vse so osebni podatki shranjeni, kje se obdelujejo..

• ne usposabljamo zaposlenih, pogodbenih izvajalcev…,

• ne polagamo pozornosti osebnim podatkom (tudi občutljivim), ki jih imajo zaposleni na mobilnih telefonih, prenosnih računalnikih in drugih napravah,

• v praksi ne izvajamo sprejetih pravil – npr. pravil uporabe gesel (skupna uporaba ipd…) – gesla so prava obrambna linija (pravila glede dolžine, redno spreminjanje vsakih 30-60 dni…),

• ne posodabljamo protivirusne opreme,

• najemamo neprimerne „pogodbene izvajalce“ brez ustrezne pogodbe“

• običajno zbiramo preveč podatkov samo zato, ker "bomo to morda potrebovali kasneje" in

"shranjevanje je poceni„…

• neustrezen videonadzorni sistem

• nimamo nadzornih mehanizmov

Aktivnost št. 1: ANALIZA STANJA

Popis evidenc in druge obdelave OP - po dejavnostih podjetja

- notranje /zaposleni - stranke, kupci…

- začetni popis (analiza)

- končni popis (uskladitev z gdpr)

Popis evidenc in druge obdelave OP

Pravna podlaga -

pogodba Naen obdela

ve

Vrsta obdel ave

Nači n obde lave

Kategor ija posame

znikov Vrsta osebnih podatko

v

Posebna kategorij

a osebnih podatkov

Število posam ezniko

v

Vir podatkov

Oddelek in odgovor

na oseba

za evidenc

o

Uporab niki / Kategor

ije uporab nikov - notranj

i

Omejitv e dostopa (notran

ji)

Uporabn iki / kategori

je uporabn

ikov - prenos zunanji

m

Uporabnik i - pogodben

a obdelavo (podizvaja

nje)

Čezme jna obdela

va

Obdela va izven

EU Način

hra mbe poda tkov

Rok hram be oseb

nih podat

kov ali (če to ni možn o) meril

a za hram

bo Pravi

ce posa mezn ikov

Tehnič ni in organi zacijsk

i ukrepi

za varnos

t podatk

ov

Razno / Opomb

e

Uskladitev z GDPR - primeri

• Končni popis – Evidenca dejavnosti obdelave OP v skladu s 30. členom GDPR

• Pravila varstva OP (npr. pravilnik, navodila...)

• Usklajene pogodbe z zunanjimi obdelovalci…

• Ustrezne pravn podlage za obdelavo (npr.

privolitve)…

Ukrepi – uskladitev z GDPR – od stopnje III. stopnje tveganja naprej

Kakšno je trenutno stanje skladnosti z ZVOP-1?

Najmanj kar je treba storiti:

•

imenovanje pooblaščene osebe za varstvo osebnih podatkov

•

popis dejavnosti OP– evidenca dejavnosti obdelave osebnih podatkov

•

prilagoditev notranjih aktov in ustrezna implementacija načela vgrajenega in prevzetega varstva (vključno minimizacijo; količina OP, obseg obdelave, obdobje hrambe, kdo jih obdeluje), informacijska varnostna politika…

•

Prilagoditev varnostnih politik in ukrepov za ustrezno varstvo / IT

•

prilagoditev pogodb s pogodbenimi obdelovalci

•

določitev procesa ob kršitvah („data breach“)

•

določitev procesa za uveljavitev pravic posameznikov

•

prilagoditev oddaje vlog kjer so osebni podatki (obvestilo o obdelavi)

•

prilagoditev osebnih privolitev za obdelavo, uskladiti stare privolitve/izjave,

•

preveriti in uskladiti način morebitnega profiliranja ali druge oblika avtomatizirane obdelave,

•

prilagoditev spletnih strani (obvestilo o obdelavi, politika varstva, piškotki)

PROCES: (1) ANALIZA –(2) SEZNAM UKREPOV –(3) IMPLEMENTACIJA (USKLAJENI- GDPR) –

GDPR – koraki do uskladitve

IMENOVANJE DPO / ODGOVORNE OSEBE ZA OP

1. ANALIZA STANJA 2. SEZNAM UKREPOV

– uskladitev z GDPR 4. IZVEDBA

UKREPOV – GDPR SKLADNI 5. REVIZIJA (1x letno)

IN IZVAJANJE STORITEV DPO / ODGOVORNE OSEBE

O podjetju Dataofficer d.o.o.

• Podjetje Dataofficer d. o. o. javnim in zasebnim poslovni subjektom nudi storitev pooblaščene osebe za varstvo osebnih podatkov (DPO) in drugo strokovno pomoč za zagotovitev ustrezne ravni varstva osebnih podatkov zaposlenih, strank, kupcev, pacientov in drugih oseb, skladno z nacionalnimi pravili in pravili nove evropske zakonodaje o varstvu osebnih podatkov.

• Ekipo podjetja Dataofficer d. o. o. sestavljata Jerneja Merva in Renata Zatler.

Imata bogate izkušnje in strokovno znanje ter kompetence s področja varstva osebnih podatkov. Obe se lahko pohvalita tudi

z mednarodnim certifikatom CIPP/E . Mednarodni certifikat CIPP/E dokazuje, da ima oseba, ki je certifikat pridobila celovito poznavanje področja varstva osebnih podatkov v skladu z najnovejšo evropsko zakonodajo (GDPR) in tako zagotavlja kompetentnega in uspešnega pooblaščenca za varstvo osebnih podatkov ter strokovnjaka s področja varovanja osebnih podatkov.

• Na področju informacijske varnosti Dataofficer d. o. o. sodeluje s strokovnjaki podjetja S&T Slovenija, Informacijske rešitve in storitve d.d., ki je že več kot 25 let eden vodilnih ponudnikov celovitih rešitev informacijskih tehnologij na

slovenskem trgu.

Več na www.dataofficer.si