Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 20.01.2017
Naslov: Obveznost šifriranja osebnih podatkov
Številka: 0712-1/2017/101
Vsebina: Moderne tehnologije, Občutljivi OP, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaše zaprosilo za mnenje, v katerem navajate, da je britanski informacijski pooblaščenec izdal  obvestilo za javnost, iz katerega izhaja, da bi naj bili osebni podatki (ki zgleda niti niso občutljivi osebni podatki), ki se nahajajo v prostorih upravljavca osebnih podatkov (in ne v oblaku), šifrirani med tem, ko so shranjeni na računalniških diskih. Zanima vas naše mnenje glede tega in tudi to, kje naj bodo shranjeni ključi za dešifriranje oz. kdaj se naj podatki dešifrirajo. Ali zadostuje, da so podatki shranjeni na šifriranih particijah (na diskih) in so potem ves čas dešifrirani dokler je računalnik v uporabi oz. ali pa se morajo dešifrirati "on-the-fly" med uporabo, tako da so v vsakem trenutku dešifrirani samo tisti podatki, ki se obdelujejo?

 

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma bi radi opozorili, da se zahteve glede informacijske varnosti (zavarovanja osebnih podatkov) v državah EU lahko razlikujejo, saj so imele države članice glede na določbe Direktive 95/46 o varstvu osebnih podatkov možnost postaviti različne oziroma različno stroge zahteve glede informacijske varnosti. Slovenski zakon o varstvu osebnih podatkov (ZVOP-1) v 14. členu izrecno zahteva šifriranje v primeru občutljivih osebnih podatkov (npr. podatki o zdravstvenem stanju, verski pripadnosti in drugi občutljivi osebni podatki, kot so definirani v 19. točki 6. člena ZVOP-1), ko se ti podatki prenašajo prek telekomunikacijskih (oz. elektronskih) omrežij. Takšne izrecne zahteve ZVOP-1 ne postavlja za osebne podatke, ki niso občutljivi (npr. datum rojstva, EMŠO ipd.), določa pa nekatere usmeritve glede ustrezne varnosti, in sicer gre za določbe 24. člena ZVOP-1.

 

S tega vidika je ključno, da so postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo. Navedeno pomeni, da morajo upravljavci in obdelovalci osebnih podatkov oceniti tveganja, ki pretijo osebnim podatkov, ki jih obdelujejo in na podlagi ocene tveganja sprejeti odločitev, kateri podatki morajo biti šifrirani, pod kakšnimi pogoji in na kakšen način, vključno z zelo pomembnim vprašanjem glede upravljanja šifrirnih ključev. Če so tveganja visoka (npr. zaradi velike količine osebnih podatkov, zaradi občutljivosti osebnih podatkov ipd.) je lahko šifriranje potreben (ali celo nujen) ukrep tudi v primeru osebnih podatkov, ki formalno sicer ne sodijo med občutljive osebne podatke. Šifriranje se zlasti priporoča v primeru hrambe osebnih podatkov na prenosnih medijih, kot so USB ključi, CD/DVD mediji in prenosnih napravah (prenosniki, tablice pametni telefoni), saj so ti mediji bolj dovzetni za primere izgub, kraj in drugih tveganj, ki lahko povzročijo izgubo zaupnosti podatkov. V Veliki Britaniji je bilo kar nekaj odmevnih primerov, ko so bili izgubljeni milijoni osebnih podatkov zaradi izgube nešifriranih CD medijev in prenosnikov, zato je razumljiva tudi močnejša ozaveščevalna aktivnost britanskega pooblaščenca na tem področju. Šifriranje se prav tako izrecno priporoča za hrambo gesel in povsod tam, kjer je tveganje za izgubo zaupnosti osebnih podatkov tako visoko, da je šifriranje potreben ukrep. Če gre za zelo tvegane primere, je smiselno razmisliti tudi o postopku, ki ga navajate – torej da so vsakič sproti dešifrirani samo tisti podatki, ki jih je nujno potrebno obdelati (v nešifrirani obliki) oziroma o alternativnih metodah (homomorfna enkripcija ipd.).

 

Zakonodaja torej izrecno ne zahteva šifriranja particij in izrecno ne določa pogojev in načinov za dešifriranje ter pogojev, kje naj bodo hranjeni ključi za dešifriranje, zato je treba priporočila in dobre prakse iskati v mednarodno uveljavljenih standardih, smernicah in dobrih praksah s področja varnosti, kot jih naštevamo v Smernicah o zavarovanju osebnih podatkov (str. 19):

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

 

Pri tem je vsekakor treba upoštevati, za kakšen obseg podatkov gre, kakšna je njihova občutljivost, kako resne in trajne bi bile posledice izgube zaupnosti podatkov za upravljavca podatkov in za posameznike ter (vse) ostale pomembne okoliščine, ki se lahko v konkretnem primeru zelo razlikujejo, zato ni mogoče postaviti splošno veljavnega pravila.

 

Velja pa še dodati, da nova Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba), ki bo »nasledila« ZVOP-1, bolj izrecno omenja šifriranje, kot enega izmed ukrepov za zagotavljanje varnosti osebnih podatkov (uvodna določba 83 ter člena 32 in 34). Uredba izrecno ne zahteva šifriranja, ga pa priporoča v primerih, kjer so pomembna tveganja za osebne podatke, določa pa tudi neke vrste »olajševalne« okoliščine za ustrezno šifrirane osebne podatke. 34. člen uredbe tako določa, da v primeru, da se upravljavcu ali obdelovalcu pripeti kršitev varstva osebnih podatkov (npr. izguba prenosnika, na katerem se nahajajo zbirke osebnih podatkov upravljavca), bo v primeru ustrezno šifriranega izgubljenega prenosnika upravljavec oproščen obveščanja posameznikov, katerih osebni podatki so bili  izgubljeni oz. katerih zaupnost je bila okrnjena.

 

Več o uredbi si lahko preberete na naši podstrani:

 

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/

 

Zaključno dodajamo še, da smo glede na naše pristojnosti na vaše vprašanje odgovarjali z vidika zavarovanja osebnih podatkov, ki pa so lahko hkrati varovani tudi kot poslovne skrivnosti, tajni podatki, bančna ali davčna tajnost; v takšnih primerih so pomembne tudi določbe relevantne področne zakonodaje, regulative ter standardov in dobrih praks.

 

Lep pozdrav,

 

Informacijski pooblaščenec:
Mojca Prelesnik, univ.dipl.prav.,
Informacijska pooblaščenka