Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Zavarovanje oz. varnost osebnih podatkov

+ -

Zavarovanje osebnih podatkov po ZVOP-1 oziroma (ustreznejši izraz) varnost osebnih podatkov po Splošni uredbi o varstvu podatkov se nanaša na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Brez varnosti osebnih podatkov ni varstva osebnih podatkov, saj je varnost osebnih podatkov eno temeljnih načel širšega pojma varstvo osebnih podatkov. Varnost podatkov pomeni zagotavljanje :

  • celovitosti,
  • zaupnosti in
  • razpoložljivosti osebnih podatkov.

Informacijski pooblaščenec je v pomoč upravljavcem in obdelovalcem  izdal Smernice o zavarovanju osebnih podatkov, kjer lahko najdejo primere dobrih in slabih praks, priporočila ter osnovni kontroli seznam, ki ga lahko uporabite kot samo-ocenitveni vprašalnik.

Podrobnejše organizacijske, tehnične in logično tehnične postopke in ukrepe za varnost osebnih podatkov bi bilo v sistemskem zakonu zelo težko določiti, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki. Razlika je že  v tem, ali se osebni podatki obdelujejo ročno, ali pa s pomočjo sredstev za avtomatsko obdelavo podatkov. Nadalje so postopki in ukrepi za varnost podatkov odvisni tudi od uporabljene strojne in programske opreme, pa od tega, komu in na kakšen način se podatki posredujejo, upoštevati je potrebno tudi morebitno obdelavo posebno občutljivih osebnih podatkov (podatki o rasnem narodnem ali narodnostnem poreklu, političnem, verskem filozofskem prepričanju, članstvu v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz kazenske evidence ali prekrškovne evidence ter biometrične značilnosti), kjer so tveganja in posledice zlorab še višje.

 

Varnost podatkov po Splošni uredbi o varstvu podatkov

Splošna uredba o varstvu podatkov sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja, ki pretijo varovani dobrini. Tveganja se običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. Splošna uredba zato v 32. členu določa, da se pri določanju ustrezne ravni varnosti  upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Odločitev o tem kakšno stopnjo varnosti potrebuje določen zavezanec, je zato  njegova  naloga, pri tem pa naj upošteva stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Med ukrepe, ki jih predpisuje Splošna uredba sodijo, kot je ustrezno (torej ne vedno in povsod):

  • psevdonimizacija in šifriranje osebnih podatkov;
  • zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
  • zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
  • postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

 

Varnost podatkov po ZVOP-1

ZVOP-1 uporablja izraz »zavarovanje« in določa obveznosti v 24 ter 25. členu. V 24. členu ZVOP-1 so določeni cilji, ki jim morajo postopki in ukrepi za zavarovanje osebnih podatkov zadostiti. Sprejem interneta akta o zavarovanju je priporočljiv zaradi celovitosti in transparentnosti pravil glede varnosti podatkov, ključno pa je seveda izvajanje ustreznih postopkov in ukrepov v praksi.

Organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov morajo v prvi vrsti preprečiti nepooblaščeno obdelavo osebnih podatkov, poleg tega pa morajo preprečiti tudi slučajno ali namerno nepooblaščeno uničevanje podatkov ter njihovo spremembo ali izgubo. Da bi to dosegli morajo biti izbrani ustrezni postopki in ukrepi, tako da se: 

  1. varujejo prostori, oprema  in sistemska programska oprema, vključno z vzhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vnešeni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

Pomembno je, da so s postopki in ukrepi seznanjeni vsi zaposleni ter da so skladno z določbami 25. člena ZVOP-1 določene tudi osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki zaradi narave njihovega dela lahko obdelujejo določene osebne podatke (t.j. dostopne pravice). Dostopne pravice določa vodstvo organizacije, omejene pa naj bi bile po načelu nujnosti – dostop naj bo omejen na obseg, ki ga določeni zaposleni oziroma sektorji dejansko potrebujejo pri svojem delu.

V pomoč so vam lahko interni akti Informacijskega pooblaščenca, vendar je treba upoštevati, da je se tveganja in dejanske okoliščine obdelave lahko zelo razlikujejo, zato je treba določbe internih aktov prilagoditi lastnemu dejanskemu stanju, neprevidno uporabo vzorcev pravilnikov zato odsvetujemo.

V pomoč pri oblikovanju ustreznih postopkov in ukrepov za zavarovanje podatkov smo pripravili vprašalnik za zavarovanje osebnih podatkov (vprašalnik o informacijski varnosti). Vprašalnik se uporablja v inšpekcijskih nadzorih po uradni dolžnosti (ex offo), predvsem pri večjih upravljavcih in večjih pogodbenih obdelovalcih osebnih podatkov ter pri tistih subjektih, kjer gre za večja tveganja zaradi narave podatkov, kot so npr. občutljivi osebni podatki. Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci lahko s pomočjo vprašalnika preverijo, ali so obravnavali vsa pomembna področja zavarovanja osebnih podatkov (informacijske varnosti) in se tako ustrezno pripravijo na morebitni inšpekcijski nadzor.