Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.04.2019
Naslov: Pravilnik o varnosti
Številka: 0712-1/2019/959
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje, v katerem sprašujete, ali glede na zakonodajo s področja varstva osebnih podatkov vaše podjetje potrebuje pravilnik o varnosti osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da pravilnik o varnosti osebnih podatkov sodi med dokumentacijo upravljavca, v katerem opiše tehnične in organizacijske ukrepe za varnost osebnih podatkov (npr. varnost informacijskega okolja, varnost prostorov kjer se hranijo osebni podatki, ipd.). Splošna uredba o varstvu podatkov izrecno ne zahteva, da bi morali vsi upravljavci sprejeti »pravilnik o varnosti« niti ne določa minimalnega števila zaposlenih pri upravljavcu, kjer bi interni pravilnik o varnosti moral biti sprejet (Zakon o varstvu osebnih podatkov (ZVOP-1) je določal, da morajo tovrsten pravilnik sprejeti upravljavci s 50 ali več zaposlenimi). Natančnejše kriterije, kdaj bo pravilnik o varnosti obvezen bi lahko določal novi zakon o varstvu osebnih podatkov (ZVOP-2), ki pa še ni bil sprejet.

 

Splošna uredba pa po drugi strani zahteva, da ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno (člen 24 (1) Splošne uredbe). Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca (člen 24 (2) Splošne uredbe).

 

Glede na navedeno torej Splošna uredba na upravljavce nalaga obveznost, da upravljavec glede na tveganja, ki jih oceni sam, ugotovi kateri so tisti ukrepi, ki bodo zagotovili ustrezno varnost osebnih podatkov (politika gesel, način dostopov do informacijskega sistema, posodabljanje programov za varnost informacijskega okolja, način varovanja prostorov in omejitve dostopov do prostorov kjer so osebni podatki, itd.). Glede na zahteve Splošne uredbe je treba vse obdelave osebnih podatkov, ki jih izvaja organizacija, ustrezno ovrednotiti po tveganju za pravice in svoboščine posameznikov in glede na to sprejeti odgovarjajoče postopke varnosti (ustrezne tehnične in organizacijske ukrepe). S temi postopki morajo biti seznanjeni tudi zaposleni. Glede na določbo 24. člena Splošne uredbe mora biti upravljavec tudi sposoben dokazati, da je sprejel ustrezne tehnične in organizacijske ukrepe, ki jih tudi izvaja prek internih navodil zaposlenim. Splošna uredba torej ne določa oblike, hierarhije, števila ali poimenovanja internih aktov – lahko gre za en pravilnik ali pa v primeru kompleksnih okolij za hierarhično urejeno dokumentacijo - krovno varnostno politiko, parcialne varnostne politike in njim pripadajoča operativna navodila – ta odločitev se prepušča upravljavcu, ki mora ustrezno obravnavati svoja tveganja.

 

Treba je še opozoriti, da Splošna uredba ne glede na velikost upravljavca uvaja obvezno (samo)prijavo kršitve varnosti, ko kršitev varnosti predstavlja tveganje za pravice in svoboščine posameznikov (npr. nepooblaščen vdor v informacijski sistem, izguba gesel za dostop do podatkov, itd.). V primeru kršitve varnosti je treba odreagirati nemudoma in obvestiti IP najkasneje v 72 urah po zaznavi kršitve. Skladno s Splošno uredbo je treba voditi tudi evidenco vseh zaznanih kršitev, ne glede na to ali dosegajo prag tveganj, da je kršitev varnosti treba sporočiti IP. Vnaprej predvideni postopki za ravnanje v primeru zaznave kršitve varnosti so lahko ključni za učinkovito delovanje organizacije pri izpolnjevanju zahtev Splošne uredbe v zvezi z beleženjem in sporočanjem kršitev varnosti.

 

Več o vprašanjih v zvezi varnostjo osebnih podatkov si lahko preberete tudi na spletni strani upravljavec.si, ki jo je IP izdal v okviru evropskega projekta za pomoč malim in srednjim podjetjem pri zagotavljanju skladnosti s Splošno uredbo in zakonodajo s področja varstva osebnih podatkov (https://upravljavec.si/zagotovite-varnost/).

 

Upamo, da smo vam s svojimi pojasnili uspeli pomagati,

Mojca Prelesnik

informacijska pooblaščenka