Varnost osebnih podatkov
+ -Varnost osebnih podatkov po Splošni uredbi o varstvu podatkov in Zakonu o varstvu osebnih podatkov (ZVOP-2) se nanaša na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Brez varnosti osebnih podatkov ni varstva osebnih podatkov, saj je varnost osebnih podatkov eno temeljnih načel širšega pojma varstvo osebnih podatkov (glej točko (f) prvega odstavka člena 5 Splošne uredbe). Varnost podatkov pomeni zagotavljanje:
- celovitosti,
- zaupnosti in
- razpoložljivosti osebnih podatkov.
Podrobnejše organizacijske, tehnične in logično tehnične postopke in ukrepe za varnost osebnih podatkov bi bilo v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki. Razlika je že v tem, ali se osebni podatki obdelujejo ročno, ali pa s pomočjo sredstev za avtomatsko obdelavo podatkov. Nadalje so postopki in ukrepi za varnost podatkov odvisni tudi od uporabljene strojne in programske opreme, pa od tega, komu in na kakšen način se podatki posredujejo, upoštevati je potrebno tudi morebitno obdelavo posebno občutljivih osebnih podatkov (podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti), kjer so tveganja in posledice zlorab še višje.
Varnost podatkov po Splošni uredbi o varstvu podatkov
Splošna uredba o varstvu podatkov sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja, ki pretijo varovani dobrini. Tveganja se običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. Splošna uredba zato v 32. členu določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
Odločitev o tem kakšno stopnjo varnosti potrebuje določen zavezanec, je zato njegova naloga, pri tem pa naj upošteva stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Med ukrepe, ki jih predpisuje Splošna uredba sodijo, kot je ustrezno (torej ne vedno in povsod):
- psevdonimizacija in šifriranje osebnih podatkov;
- zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
- zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
Varnost podatkov po ZVOP-2
ZVOP-2 glede varnosti podatkov vsebuje dodatne zahteve, ki jih morajo upoštevati zavezanci poleg zahtev po Splošni uredbi.
Vodenje dnevnika obdelave
22. člen ZVOP-2 ureja vodenje dnevnika obdelave, kar smo prej poznali pod izrazom »sledljivosti« in sicer določa:
- kdo mora zagotavljati dnevnike obdelave,
- za katera dejanja obdelave,
- kaj mora vsebovati dnevnik obdelave,
- za kakšne namene se lahko uporablja dnevnik obdelave ter
- rok hrambe podatkov v dnevnikih obdelave.
22. člen ZVOP-2 tako določa, da upravljavci po tem zakonu zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe (členi 32 - 36) vodijo dnevnik obdelave:
- kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
- kadar gre za redno in sistematično spremljanje posameznikov, ali
- kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
- če tako določa zakon,
Dnevnik obdelave se zagotovi za naslednja dejanja obdelave osebnih podatkov:
1. zbiranje;
2. spreminjanje;
3. vpogled;
4. razkritje, vključno s prenosi;
5. izbris;
6. druga dejanja obdelave, ki jih določa zakon.
Dnevnik obdelave mora za navedena dejanja obdelave vsebovati:
- vrsto dejanja obdelave, datum in čas obdelave,
- identifikacijo osebe, ki je izvedla dejanje obdelave, ter
- identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.
Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.
Dnevnik obdelave se uporablja le za:
- izkazovanje zakonitosti obdelave ter
- izvajanje notranjega nadzora,
- izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov,
- za zagotavljanje celovitosti in varnosti osebnih podatkov ter
- za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.
Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave.
Glede rokov hrambe dnevnikov obdelave ZVOP-2 določa, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena ZVOP-2 (omejitev pravic posameznika), se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.
Varnost osebnih podatkov na področju posebnih obdelav
23. člen ZVOP-2 pa določa varnost osebnih podatkov na področju posebnih obdelav. Gre za specifične zahteve za posebej tvegane informacijske sisteme, kjer se obdeluje velika količina posebej občutljivih, zaupnih ali drugače varovanih podatkov, vključno s posebnimi vrstami osebnih podatkov., kot se predvsem veliki državni registri (npr. pokojninskega in zdravstvenega zavarovanja, Stalni register prebivalstva, register motornih vozil ipd.) Za te informacijske sisteme se ZVOP-2 navezuje na Zakon o informacijski varnosti ter določa omejitve v povezavi z lokacijo hrambe podatkov.
23. člen ZVOP-2 določa posebne zahteve za informacijske sisteme, v katerih:
- se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
- se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
- upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
- se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov.
Za navedene informacijske sisteme se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
Kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v navedenih informacijskih sistemih, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.
ZVOP-2 v 3. odstavku 23. člena dalje določa, da če se v zgoraj navedenih zbirkah obdelujejo:
- biometrični osebni podatki,
- zdravstveni osebni podatki ali
- podatki iz kazenskih in prekrškovnih evidenc
in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.
Posebna omejitev pa se nanaša na zbirke osebnih podatkov iz 1. točke prvega odstavka 23. člena in sicer teh zbirk ni dovoljeno hraniti izven ozemlja Republike Slovenije.
Zavarovanje osebnih podatkov, ki so predmet postopka
ZVOP-2 vsebuje tudi določbe, ki se nanašajo na zavarovanje osebnih podatkov, ki so predmet postopka (21. člen ZVOP-2) – gre pa predvsem za to, kdaj in kako morajo upravljavci osebnih podatkov v primeru, so določeni osebni podatki zahtevani v določenem postopku (npr. inšpekcijskem, v postopku zahteve posameznika za dostop do lastnih podatkov ipd.), kjer je bistveno, da zavezanec ne sme potrebnih podatkov izbrisati ali spremeniti, dokler traja postopek. Določba ZVOP-2 je nastala tudi kot odziv na nedopustno ravnanje zavezancev, ki so v primeru zahteve posameznika njegove osebe podatke izbrisali, namesto da bi mu jih posredovali, ali pa počakali, da so potekli roki hrambe in šele nato odgovorili posamezniku.
21. člen ZVOP-2 tako določa, da upravljavec ali obdelovalec od prejema zahteve iz 15. do 22. člena Splošne uredbe ali zahtev posameznika po tem ali po drugem zakonu ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi. Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja poslovanja, nalog ali pooblastil upravljavca ali obdelovalca odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje poslovanja oziroma izvajanja nalog ali pooblastil upravljavca ali obdelovalca, ter kadar gre za osebne podatke, ki so označeni kot tajni podatki, zavaruje osebne podatke, ki so predmet postopka.
Priporočila IP
Opomba: Smernice in vprašalnik o informacijski varnosti bodo v kratkem posodobljene na stanje po sprejemu ZVOP-2).
Informacijski pooblaščenec je v pomoč upravljavcem in obdelovalcem izdal Smernice o zavarovanju osebnih podatkov, kjer lahko najdejo hitri vodič, primere dobrih in slabih praks, priporočila ter osnovni kontroli seznam, ki ga lahko uporabite kot samo-ocenitveni vprašalnik.
V pomoč pri oblikovanju ustreznih postopkov in ukrepov za zavarovanje podatkov smo pripravili vprašalnik za zavarovanje osebnih podatkov (vprašalnik o informacijski varnosti). Vprašalnik se uporablja v inšpekcijskih nadzorih po uradni dolžnosti (ex offo), predvsem pri večjih upravljavcih in večjih pogodbenih obdelovalcih osebnih podatkov ter pri tistih subjektih, kjer gre za večja tveganja zaradi narave podatkov, kot so npr. občutljivi osebni podatki. Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci lahko s pomočjo vprašalnika preverijo, ali so obravnavali vsa pomembna področja zavarovanja osebnih podatkov (informacijske varnosti) in se tako ustrezno pripravijo na morebitni inšpekcijski nadzor.