Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Dogodek ob evropskem dnevu varstva osebnih podatkov

+ -

Evropski dan varstva osebnih podatkov je Informacijski pooblaščenec letos posvetil izzivom, s katerimi se tik pred drugo obletnico začetka uporabe Splošne uredbe o varstvu podatkov srečujejo pooblaščene osebe za varstvo podatkov v javnem sektorju. Kot je uvodoma poudarila informacijska pooblaščenka, Mojca Prelesnik je tako v javnem kot zasebnem sektorju osrednji izziv vsekakor to, da Slovenija še vedno nima zakona o izvajanju Splošne uredbe o varstvu podatkov in prenosu t.i. Policijske direktive. To dejstvo ima lahko ob odsotnosti pravne varnosti za upravljavce zbirk osebnih podatkov in državljane, še toliko resnejše posledice upoštevajoč nov sistem čezmejnega nadzora, ki ga je uvedla Splošna uredba in je za vse države članice EU obvezen. Ob vseh izzivih, pa je dobra novica uveljavljena in prepoznavna vloga nadzornega organa v Sloveniji, kot je izpostavil vodja predstavništva Evropske komisije v Sloveniji Zoran Stančič.

 

Zavezanci se sicer najpogosteje obrnejo na Informacijskega pooblašenca (IP) z vprašanji glede urejanja pogodbene obdelave, zagotavljanja transparentnosti obdelave (po 13. in 14. členu Splošne uredbe), v zvezi z zagotavljanjem varnosti obdelave ter v posameznih primerih obveščanja o kršitvah varnosti. Po besedah informacijske pooblaščenke pa so pri izvajanju Splošne uredbe manj znan a pomemben in še neizkoriščen potencial kodeksi ravnanj, s katerimi bi različna sektorska združenja, zbornice in zveze lahko pomagale zavezancem s pripravo npr. enotnih obrazcev za informiranje posameznika, enotnih metod izvajanja psevdonimizacije, enotne politike obravnave kršitev varnosti, poenotene varnostne politike ipd. Ta orodja so lahko tudi pomemben korak za učinkovito zagotavljanje pravic posameznikov  v procesu obdelave podatkov. Zato bo prav pravicam posameznikov (v treh ciljnih skupinah: mladi od 15-18 let, starejši in delovna populacija) po besedah informacijske pooblaščenke posvečen nov projekt IP - iDecide, ki se je začel s finančno podporo EU v tem letu. Gre za nadaljevanje in krepitev različnih aktivnosti IP za ozaveščanje: preko mnenj, telefonske linije, predavanj in spletnih strani.

 

V okviru več kot 1.180 uvedenih inšpekcijskih postopkov se je IP v preteklem letu posvečal tudi navedenim vprašanjem (poleg klasičnih nadzornih vsebin, kot so npr. obstoj pravne podlage za obdelavo podatkov, zakonitost izvajanja videonadzora). Ob tem je Prelesnikova poudarila pomen in vlogo pooblaščenih oseb za uspešno izvajanje nadzora, saj bi morali biti prav oni prvi kontakt z IP.

 

Pooblaščene osebe za varstvo podatkov so v okviru ankete, ki jo je izvedel IP med ključne dejavnike uspeha za uspešnost izvajanja svojih nalog izpostavile neposreden dostop do vodstva, zaupanje in podporo vodstva, seznanjenost z obstojem in nalogami pooblaščene osebe s strani zaposlenih ter neodvisnost. Vodja urada za varstvo podatkov pri EUROJUST, Diana Alonso Blas, pa je poudarila, da so najpomembnejše lastnosti dobre pooblaščene osebe poznavanje predpisov kot tudi delovanja informacijskih sistemov in same organizacije nasploh, imeti mora dobre pogajalske in komunikacijske sposobnosti, predvsem pa mora biti dobra pooblaščena oseba pragmatična in ves čas spremljati področje.

 

Po mnenju udeležencev okrogle mize, ki jo je vodil mag. Andrej Tomšič, namestnik informacijske pooblaščenke, se v nekaterih primerih pooblaščene osebe za varstvo podatkov dojema kot edino odgovorno osebo za varstvo podatkov v organizaciji, kar ni namen ureditve v Splošni uredbi niti to ne zagotavlja učinkovitega varstva v praksi. Prve težave ob začetku uporabe Splošne uredbe, pa so bile, kot je ugotovila Lidija Bela, pooblaščena oseba na Ministrstvu za pravosodje, hkrati izvrstna priložnost za ponoven pregled varstva podatkov, kar se je v času od maja 2018 tudi že uspešno zgodilo. Andrej Benkovič pa je kot pooblaščena oseba na Ministrstvu za javno upravo izpostavil, da mora biti začetek vsakega dela temeljit pregled vseh procesov obdelave in popis zbirk ter ureditev razmerij z zunanjimi izvajalci, ki nastopajo kot pogodbenimi obdelovalci. Po besedah Simone Habič, pooblaščene osebe na RTV Slovenija, je pri uveljavljanju varstva podatkov v organizacijah v praksi ključna vztrajnost pri iskanju rešitev za konkretne probleme, ki jih ni malo, ter ustrezna struktura odločanja v organizacije za uvajanje konkretnih ukrepov.

 

Imenovanje pooblaščene osebe v primeru velikih sistemov z obsežnimi zbirkami osebnih podatkov, tudi posebnih vrst podatkov, kot so velike zdravstvene organizacije in policija, za ustrezno ukrepanje ne zadošča. Boris Obolnar, pooblaščena oseba Policije, pa je poudaril, da so v številnih državah EU za naloge pooblaščenih oseb in zagotavljanje ukrepov varstva podatkov zaposlene celotne ekipe s številnimi pravnimi strokovnjaki in strokovnjaki s področja informacijskih tehnologij. Le to v takih sistemih omogoča učinkovito iskanje rešitev in izvedbo vseh potrebnih ukrepov. Prav na tem področju čaka Sloveniji še veliko izzivov. Renata Zatler z Dataofficer d.o.o. je glede na izkušnje v vlogi zunanje pooblaščene osebe za varstvo podatkov številnih občin poudarila, da je prav pomanjkanje kadra in konflikt interesov, pogosto razlog, da zlasti manjši upravljavci za opravljanje nalog pooblaščene osebe najamejo zunanje izvajalce. Izzivi take rešitve so lahko pomanjkljivo poznavanje vseh procesov dela posamezne organizacije in obdelav podatkov. 

 

Marko Zebec Koren, ki kot pooblaščena oseba na Univerzitetnem kliničnem centru Ljubljana skrbi za varstvo podatkov v največji zdravstveni organizaciji v državi z več kot 8.000 zaposlenimi, je opozoril, da imajo pooblaščene osebe pri delu z zaposlenimi v velikih sistemih v praksi številne specifične izzive. Zlasti morajo ob omejenih sredstvih in kadrovskih kapacitetah učinkovito uporabljati tako preventivne ukrepe za povečanje zavedanja zaposlenih kot tudi bolj represivne ukrepe, kot so interni pregledi in konkretno ukrepanje v primeru napak. Pri uvajanju novih ukrepov informacijske varnosti pa je po besedah Benkoviča ključna pravočasna izvedba ocene učinkov v zvezi z varstvom podatkov ob sodelovanju pooblaščene osebe, ki bo omogočila učinkovit nadzor nad procesi in vsemi tveganji.

 

Že tradicionalno je Informacijski pooblaščenec ob tej priložnosti podelil priznanje Ambasador zasebnosti. Za leto 2019 je priznanje prejel nacionalni center za odzivanje na omrežne incidente SI-CERT, ki že vrsto let s svojimi aktivnostmi ozaveščanja opozarja na varno rabo interneta in elektronskih omrežij ter pomaga organizacijam, ki so se znašle v težavah zaradi virusov in drugih računalniških zagat. Z odmevnimi akcijami, kot je »varni na internetu«, pomagajo tako posameznikom kot organizacijam k varni uporabi sodobnih tehnologij, s tem pa dvigujejo tudi ozaveščenost o varstvu osebnih podatkov in zasebnosti. SI-CERT kot dolgoletni partner Informacijskega pooblaščenca pomembno pripomore k temu, da so naši podatki bolj varni.