Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.03.2018
Naslov: Oddaljeni dostop (VPN) za poslovne partnerje ter kriptiranje diskov prenosnih računalnikov
Številka: 0712-1/2018/654
Vsebina: Zavarovanje osebnih podatkov, Pogodbena obdelava OP, Moderne tehnologije, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše zaprosilo za mnenje glede naslednjih vprašanj:

 

  1. Slišali ste, da naj bi v skladu s Splošno uredbo o varstvu podatkov (GDPR[1]) lahko zunanjim poslovnim partnerjem omogočali oddaljeni VPN dostop do vašega omrežja le še poimensko, ne pa skupnim generičnim uporabnikom. Prosite za več informacij.
  2. Nabavljate prenosni računalnik, na katerem se bodo lahko shranjevali tudi osebni podatki.

    1. Ali že obstajajo kake smernice za specifikacijo tehničnih zahteve v zvezi s kriptiranjem trdega diska?
    2. Ali nabava prenosnika zgolj s SED SSD diskom iz tega vidika zadosti vsem zahtevam GDPR oz. ZVOP?
    3. Ali uporaba zgolj Bitlocker opcije v Windows 10 zadosti vsem zahtevam GDPR oz. ZVOP?

 

 

V nadaljevanju vam na podlagi informacij, ki ste nam jih posredovali, na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Ad 1

 

IP ni nikjer zasledil tovrstnih navedb v splošni uredbi in tudi ni pričakovati, da bi uredba EU o varstvu osebnih podatkov predpisovala tako podrobne zahteve. Princip varnosti osebnih podatkov temelji na ustreznih postopkih in ukrepih glede na tveganja, kar pomeni, da so postopku in ukrepi odvisni od konkretnih okoliščin, konkretnih tveganj. Upravljavec mora sam presoditi, pod kakšnimi pogoji bo omogočal pogodbenim obdelovalcem dostop do osebnih podatkov, s katerimi upravlja. Velja pa poudariti, da imajo generični uporabniki pomembno slabost, da ni mogoče vedno ugotoviti, kateri konkretni uporabnik na drugi strani je uporabil konkretno pooblastilo, zato je enolično omogočanje dostopa vseeno priporočljivo. V primeru zlorabe dostopa bi bilo namreč lahko onemogočeno naknadno ugotavljanje, kdo je zlorabil dostop do osebnih podatkov, a podobno kot velja za vse varnostne ukrepe, je tudi treba upoštevati obstoj in učinkovitost drugih ukrepov (primer: dostop do generičnih pravic imata na strani pogodbenega obdelovalca samo dve osebi in je mogoče z drugimi podatki ali ukrepi naknadno ugotoviti, kateri od teh je zlorabil dostopne pravice).

 

 

 

Ad 2

 

Splošna uredba nikakor ne predpisuje specifičnih zahtev, ki bi veljale za prenosne računalnike, temveč, kot izpostavljeno – mora upravljavec sam oceniti, kateri so ustrezni varnostni postopki in ukrepi. To je odvisno od narave dela, količine osebnih podatkov, občutljivosti osebnih podatkov in drugih relevantnih okoliščin glede uporabe konkretnega prenosnega računalnika (primerjajte npr. prenosni računalnik, na katerem se praktično ne dostopa do osebnih podatkov in sploh ne zapusti organizacije, s prenosnim računalnikom IT administratorja, ki ima oddaljen administratorski dostop do vseh informacijskih sistemov, baz in aplikacij v bolnišnici in ga administrator dnevno uporablja iz zunanjih lokacij – varnostna tveganja so v teh dveh primerih popolnoma različna). Uredba ne zahteva obveznega kriptiranja prenosnikov, niti ne predpisuje načina ali metode kriptiranja, vsekakor pa je to priporočljivo, a odvisno od posamezne situacije, konkretnih tveganj.

 

IP izven inšpekcijskega postopka ne more potrjevati, da je uporaba določene IT rešitve ali produkta skladna z uredbo (ad 2.3.) in tudi v samem inšpekcijskem postopku tega ni mogoče na splošno podati za neko rešitev ali produkt, temveč se ugotavlja skladnost njene uporabe, ne pa skladnost samega produkta. Nabava določene IT rešitve ali produkta še ne pomeni skladnosti (ali neskladnosti) z zahtevami ZVOP-1 in splošne uredbe.

 

Glede na navedeno žal ni mogoče podati odgovorov na vprašanja 2.1 do 2.3., kot ste jih mogoče pričakovali.

 

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka                                                                                                                      

           

 

 

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke 

                                              

 

 


[1] Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba).