Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 15.02.2007
Naslov: Zavarovanje osebnih podatkov, ki se nahajajo na disku računalnika
Številka: 0712-130/2007/2
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vašo elektronsko pošto z dne 1.2.2007.

 

Spraševali ste nas,

1.) V primeru izvengarancijskega popravila se naročniku vrača medij - primer slab disk, kar se tudi beleži na delovni nalog. Kaj storiti, če je disk slab in v garanciji in ni možno prepisovanje in s tem brisanje vsebine? Če so na tem mediju pomembni podatki za stranko (osebni in občutljivi osebni podatki), bi tak medij morali vrniti stranki na uničenje, stranka pa bi morala plačati nov medij - v tem primeru disk?

2.) Naročniki se večkrat znebijo starih računalnikov na način, da jih oddajo k nam, da jih odpeljemo na ekološko uničenje. Je v tem primeru medije potrebno posebej uničiti, oziroma jih vrniti stranki z razlago, da mora medije uničiti, če ne želi, da se podatki iz diskov nenadoma ne znajdejo v nezaželenih rokah?

3.) Kakšna pogodba mora biti sklenjena med naročnikom in vzdrževalcem naročnikovega informacijskega sistema ali dela informacijskega sistema? Kako ravnati, ko se oprema ali del opreme odnese v popravilo v servis - je potrebno stranko vprašati, ali je na (recimo) računalniku oseben podatek ali občutljiv oseben podatek in se v tem primeru oprema ne iznaša, oziroma se napako odpravlja samo na lokaciji naročnika, pod nadzorom naročnika?

 

Ker lahko avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/04 in 113/05, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Pooblaščenec uvodoma ugotavlja, da gre pri popravilih medijev za shranjevanje podatkov, praviloma za naročilo in izvedbo določene računalniške storitve (torej klasično mandatno, pogodbeno, obligacijsko – pravno razmerje med naročnikom storitve in izvajalcem) in ne za pogodbeno obdelavo osebnih podatkov, kot jo določa 11. člen ZVOP-1. Zato se v nadaljevanju opredeljujemo zgolj do tistih vprašanj, ki so relevantna z vidika varstva osebnih podatkov.

 

Vaša vprašanja glede  vzdrževanja računalniške opreme se namreč v veliki meri dotikajo določb 11. člena ZVOP-1 o pogodbeni obdelavi, zato vam v nadaljevanju podajamo podrobnejšo razlago teh določb, s katero odgovarjamo na vaša vprašanja.

 

1. odstavek 11. člena ZVOP-1 določa, da lahko upravljavec osebnih podatkov posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena ZVOP-1. Omenjeni člen ureja zavarovanje zbirk osebnih podatkov, in sicer gre za organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
3. odstavek 24. člena dalje določa, da morajo biti postopki in ukrepi za zavarovanje osebnih podatkov ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.
Za upravljavca zbirke osebnih podatkov lahko v kontekstu vaših vprašanj štejemo naročnika vzdrževalnih storitev, izvajalec teh storitev pa se šteje kot pogodbeni obdelovalec. Seveda je pri tem predpogoj, da gre za obdelavo osebnih podatkov, ki je opredeljena v 3. točki 6. člena ZVOP-1, pri čemer obdelava osebnih podatkov pomeni kakršnokoli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje; obdelava je lahko ročna ali avtomatizirana.

 

Drugi odstavek 11. člena ZVOP-1 določa, da sme pogodbeni obdelovalec sme opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena ZVOP-1. izvajanje postopkov in ukrepov iz 24. člena ZVOP-1 nadzoruje upravljavec osebnih podatkov. Pri tem je ključnega pomena, da lahko pogodbeni obdelovalci opravljajo storitve obdelave osebnih podatkov samo v okviru pooblastil, ki morajo biti s tovrstno pogodbo natančno določena in da podatkov ne smejo obdelovati ali drugače uporabljati za noben drug namen. Poleg tega naj bi pogodbeni obdelovalci, ki za naročnika opravljajo pogodbeno dogovorjene storitve izven prostorov naročnika, imeli vsaj enako strog način  varovanja osebnih podatkov, kakor ga predvideva pravilnik o zavarovanju osebnih podatkov naročnika. Obvezni sestavni del takšnega pravilnika, ki ga mora po 25. členu ZVOP sprejeti vsak upravljavec zbirk osebnih podatkov, so tudi določbe glede vzdrževanja in popravil strojne in programske opreme ter nosilcev podatkov. Za pripravo teh določb priporočamo, da upravljavec, v vašem primeru torej naročnik storitev, sledi naslednjim okvirnim smernicam:

 

- Vzdrževanje in popravila strojne računalniške in druge opreme naj bo dovoljeno samo z vednostjo osebe, zadolžene za delovanje računalniškega informacijskega sistema, izvajajo pa ga lahko samo pooblaščeni servisi in vzdrževalci, ki imajo z naročnikom sklenjeno ustrezno pogodbo.

- Dostop do programske opreme mora biti varovan tako, da dovoljuje dostop samo zaposlenim, ki jih določi oseba, zadolžene za delovanje računalniškega informacijskega sistema, v soglasju z naročnikom ali pravnim ali fizičnim osebam, ki v skladu s pogodbo opravljajo dogovorjene storitve.

- Popravljanje, spreminjanje in dopolnjevanje sistemske in aplikativne programske opreme je dovoljeno samo na podlagi odobritve osebe, zadolžene za delovanje računalniškega informacijskega sistema, izvajajo pa ga lahko samo pooblaščeni servisi in organizacije ter posamezniki, ki imajo z naročnikom sklenjeno ustrezno pogodbo. Izvajalci morajo spremembe in dopolnitve sistemske in aplikativne programske opreme ustrezno dokumentirati. Enaka določila veljajo tudi za shranjevanje in varovanje aplikativne programske opreme.

- Vsebina lokalnih in mrežnih diskov, kjer se nahajajo osebni podatki, se vsakodnevno preveri z vidika prisotnosti računalniških virusov. Ob pojavu računalniškega virusa ali druge škodljive programske kode se le-te čim prej odpravi in ugotovi vzrok za okužbo.

- Vsi podatki in programska oprema, ki so namenjeni uporabi v računalniškem informacijskem sistemu, in prispejo k naročniku na medijih za prenos računalniških podatkov ali preko komunikacijskih kanalov, morajo biti pred uporabo preverjeni z vidika prisotnosti računalniških virusov in druge škodljive programske kode.

- Zaposleni ne smejo odnašati programske opreme iz prostorov naročnika brez odobritve in vednosti osebe, zadolžene za delovanje računalniškega informacijskega sistema.

- Pristop do podatkov preko aplikativne programske opreme se varuje s sistemom gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Sistem gesel mora omogočati tudi možnost naknadnega ugotavljanja, kdaj so bili posamezni  osebni podatki vnešeni v zbirko podatkov, uporabljeni ali drugače obdelani ter kdo je to storil.

- Za potrebe restavriranja računalniškega sistema ob okvarah in ob drugih izjemnih situacijah se zagotavlja redna izdelava kopij vsebine mrežnega strežnika in lokalnih postaj, če se podatki nahajajo tam.
 

Konkretna ureditev iznašanja programske in strojne opreme ter nosilcev podatkov iz prostorov naročnika v prostore pogodbenega obdelovalca, je stvar dogovora med naročnikom in izvajalcem, v vsakem primeru pa mora biti skladna z določbami pravilnika o zavarovanju osebnih podatkov, ki ga, kot je bilo navedeno zgoraj, mora po 25. členu ZVOP-1 sprejeti vsak upravljavec zbirk osebnih podatkov. Smiselno velja tudi za ostala dejanja, ki spadajo v domeno obdelave osebnih podatkov, kot je uničenje, izbris, anonimiziranje in podobno. Pri pripravi pravilnika mora upravljavec upoštevati količino, vrsto ter tveganje glede v povezavi z osebnimi podatk, ki jih obdeluje in temu primerno oblikovati določbe omenjenega pravilnika. Naročnik ima povsem legitimno pravico od izvajalca storitev vzdrževanja in popravil zahtevati, da se oprema in nosilci podatkov ne iznašajo iz prostorov naročnika ter da se vse storitve opravijo v prostorih naročnika, izvajalec pa ima seveda pravico do povrnitve stroškov tovrstne storitve. Pooblaščenec je mnenja, da je korektno, primerno ter v interesu tako naročnika kot izvajalca, da izvajalec svoje potencialne naročnike opozori na dolžnost zavarovanja zbirk osebnih podatkov in upoštevanje ostalih določb ZVOP-1, po drugi strani pa lahko naročnik zahteva, da izvajalec pridobi pisno dovoljenje pooblaščene osebe naročnika.  S tem se lahko v veliki meri izogne dvoumnostim ali sporom glede morebitnih kršitev pri obdelavi osebnih podatkov, ki bodisi ni bila dovolj natančno opredeljena v pogodbi bodisi ni bila skladna s pravilnikom naročnika o zavarovanju osebnih podatkov.

 

Tretji odstavek 11. člena ZVOP-1 določa, je da v primeru spora med upravljavcem osebnih podatkov in pogodbenim obdelovalcem dolžan pogodbeni obdelovalec na podlagi zahteve upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako določa zakon.
V vašem primeru je potrebno upoštevati še določbo 4. odstavka 11. člena ZVOP-1, ki določa, da  se v primeru prenehanja pogodbenega obdelovalca osebni podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.
Pooblaščenec zaključuje, da se glede na zgoraj navedeno, za odgovor na vaša vprašanja ključne določbe v pogodbi, ki se sklene med naročnikom in vzdrževalcem naročnikovega informacijskega sistema ali dela informacijskega sistema. V tovrstni pogodbi morajo biti opredeljene dolžnosti posamezne pogodbene stranke glede ravnanja s podatki. V prvi vrsti je za zakonito obdelavo osebnih podatkov, ki med drugim vključuje tudi blokiranje, anonimiziranje, izbris ali uničenje podatkov, odgovoren upravljavec osebnih podatkov, v vašem primeru torej naročnik vaših storitev, s sklepom pogodbe o izvajanju pogodbene obdelave, pa prevzema določene pogodbene obveznosti tudi izvajalec.
 

 

Priporočamo vam, da si ogledate tudi druga mnenja s področja varstva osebnih podatkov, ki so objavljena na spletni strani http://www.ip-rs.si/index.php?id=424, po kateri lahko iščete s pomočjo naprednega iskalnika.

 

Prijazen pozdrav,

 

Informacijski pooblaščenec
Nataša Pirc Musar, univ.dipl.prav.,
pooblaščenka