gdpr

Kaj je GDPR?

Maja 2018 bo v veljavo stopila nova EU direktiva o zaščiti podatkov.

V kolikor direktiva velja tudi za vaše podjetje morate začeti razmišljati o usklajevanju zahtev. Ta stran je namenjena razumevanju GDPR in zahtevam, ki jih uredba narekuje. Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR) bo veljala za vsa podjetja, ki poslujejo v Evropski uniji in obdelujejo kakršnekoli osebne podatke. Pravila uredbe so kompleksna, kazni za neusklajenost pa so visoke (do 20 milijonov evrov).

Nekateri principi, ki jih uveljavlja GDPR so nadaljevanje obstoječe uredbe o varstvu podatkov, npr. poštenost, zakonitost in transparentnost; omejevanje uporabe, manjšanje količine podatkov, kvaliteta podatkov, varnost, integriteta in zaupnost.

GDPR vzpostavlja novi princip odgovornosti z upravljavcem, ki je odgovoren za usklajenost z navedenimi principi. GDPR dodaja tudi nekatere nove aspekte k obstoječim principom za zaščito podatkov:

Zakonitost, poštenost in transparentnost – osebni podatki morajo biti obdelovani na način, ki je transparenten za lastnika podatkov.

Omejevanje uporabe – Ob nekaterih izjemah se arhiviranje osebnih podatkov, ki je v javnem interesu, smatra kot združljivo s prvotnim namenom obdelave.

Shranjevanje – osebni podatki morajo biti shranjeni na način, ki omogoča identifikacijo določljivega posameznika, ko je to nujno za namene procesiranja osebnih podatkov.

Odgovornostupravljavec je odgovoren za usklajenost z navedenimi principi.

Usklajevanje z regulativo GDPR, korak po korak

Organizacijski ukrepi

GDPR zahteva implementacijo številnih ukrepov, ki zmanjšujejo možnost za izgubo ali zlorabo podatkov, poleg tega pa omogočajo, da dokažete, da varnost podatkov jemljete resno. Med nujnimi ukrepi za odgovornost so: ocena vpliva na zasebnost, revizije, pregledi varnostnih pravil, dnevniki aktivnosti in imenovanje pooblaščene osebe za varstvo podatkov (angl. data protection officer – DPO).

Pooblaščena oseba za varstvo podatkov

Uredba GDPR o varstvu podatkov od določenih organizacij zahteva imenovanje pooblaščene osebe za varstvo podatkov (DPO).

Organizacije morajo kot DPO imenovati zaposlenega ali zunanjega svetovalca.

Če je vaše podjetje agencija z obsežno zbirko podatkov o uporabnikih boste morali najverjetneje imenovati pooblaščeno osebo za varstvo podatkov (DPO); pričakuje se, da bodo pristojne državne organizacije zagotovile smernice o zahtevah za to pozicijo.

Vaš DPO bo odgovoren za spremljanje usklajenosti z GDPR, svetovanje pri obveznostih, svetovanje o tem kdaj je potrebna ocena na vpliv zasebnosti in za kontakt z državnimi službami, ki so odgovorne za varstvu podatkov.

One-stop shop

Koncept one-stop shop omogoča, da organizacija, ki je prisotna v večjem številu držav, ki so članice EU, komunicira le z enim nadzornim organom , kljub temu, da so pravila za morebitne pritožbe v tem primeru kompleksna.

Procesi, procedura in pravila

Kršitev varstva osebnih podatkov

GDPR zlorabo varnosti podatkov definira kot “kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

Gre za obsežno definicijo, ki ne razlikuje med tem ali je posameznik utrpel škodo ali ne. Če ste žrtev kršitve varstva osebnih podatkov, morate o tem takoj obvestili odgovorni državni organ, oz. najkasneje v roku 72 ur po odkritju kršitve.

Zlorabe podatkov vam lastnikom teh podatkov ni potrebno prijaviti, če ste v podjetju uveljavili ustrezne tehnične in organizacijske ukrepe kot je npr. enkripcija.

Vgrajeno in privzeto varstvo podatkov

Pomemben del skladnosti z uredbo GDPR je vgrajeno in privzeto varstvo podatkov (angl. privacy by design) – vsak nov proces in izdelek zasnujte z natančnim upoštevanjem vseh zahtev o zasebnosti. Takšen pristop je prej veljal za dobro prakso, sedaj je to eksplicitna zahteva.

Ocena učinka v zvezi z varstvom podatkov

Ocena učinka v zvezi z varstvom podatkov je namenjena identifikaciji in zmanjševanju neskladij z regulativo GDPR.

GDPR tudi formalno zahteva oceno učinka na zaščito podatkov, upravljavec mora zagotoviti, da je bila ocena vpliva na varnost podatkov opravljena pred vsemi tveganimi procesi in aktivnostmi.

Čezmejna obdelava osebnih podatkov

Če poslujete tudi mednarodno, so pravila in procesi vašega podjetja pri prenosu podatkov v države, ki niso članice EU zelo pomembna, saj so predvidene kazni za vse neskladnosti z regulativo ali za prenos podatkov v države, za katere Evropska komisija smatra, da ne zagotavljajo zadovoljiv nivo zaščite osebnih podatkov po sprejemu regulative GDPR.

Zavedanje o varnosti podatkov

Interni ukrepi - zaposleni

Zdaj je čas, da svojim zaposlenim začnete razlagati potrebo po skladnosti z regulativo GDPR. Začeti morate z načrtovanjem in revizijo procedur za skladnost s transparentnostjo in ostalimi zahtevami za zaščito podatkov z regulativo GDPR. To lahko zajema obsežna izobraževanja za vaš finančni in IT kader.

Tehnični ukrepi

Odgovornost

GDPR narekuje, da je upravljavec odgovoren za demonstracijo skladnosti z varnostnimi zahtevami, zato morate imeti postavljena jasna pravila s katerimi lahko dokažete skladnost s standardi. To lahko dosežete z rednim spremljanjem, revizijami in ocenjevanjem procesov za obdelavo podatkov, uveljavljanjem varnostnih mehanizmov in zagotavljanjem izobraževanj za zaposlene, ki morajo razumeti svoje obveznost. Biti morajo pripravljeni demonstrirati skladnost z regulativo kadarkoli to od njih zahteva odgovorni državni organ.

Izguba podatkov

Pripraviti se morate na morebitno zlorabo varnosti podatkov (to je definirano kot “zloraba zaščite, ki pomeni nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani”) z jasnimi pravili in preverjenimi procedurami, ki omogočajo hitro reakcijo in obveščanje o zlorabi, ko je to potrebno.

Če zlorabe podatkov v primerih, ko je to potrebno ne prijavite, vas lahko doleti kazen. Prav tako boste kaznovani za samo zlorabo.

Zagotavljanje pravic lastniku podatkov

GDPR določljivemu posamezniku, zagotavlja več pravic. Pozanimajo se lahko na primer katere informacije o njih se procesirajo, v določenih okoliščinah se jim zagotovi dostop do podatkov ter popravljanje podatkov v kolikor so napačni.

Pravica do vpogleda obdelanih podatkov

Eden od glavnih namenov GDPR je zagotavljanje pravic posameznikom. Zaradi tega se bodo spremenila pravila pri odgovarjanju na vprašanja posameznikov o njihovih podatkov, ki jih obdelujete. Zaradi tega boste morali uskladiti ustrezne procedure.

V večini primerov svojih odgovorov ne boste smeli zaračunati, za odgovor pa boste imeli mesec dni časa.

Pravica do izbrisa informacij ('pravica do biti pozabljen')

Pravica do biti pozabljen posameznikom omogoča, da od upravljavca zahtevajo izbris njihovih podatkov, v nekaterih primerih tudi takoj, npr. ko je vprašljiva legalnost obdelave ali ko posameznik prekličejo svoj pristanek na obdelavo svojih podatkov.

Ta pravila veljajo tudi za tretje osebe s katerimi delite osebne podatke posameznikov.

Avtomatizirana obdelava osebnih podatkov

GDPR oblikovanje profilov definira kot “vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika”; ostaja pa nekaj neznank glede tega, kako se bo uveljavljala pravica posameznika pri odločitvah avtomatizirane obdelave.

Prenosljivost podatkov

GDPR predstavlja novo pravico glede prenosljivosti podatkov, ki presega pravico posameznika do pristopa k podatkom v elektronski obliki, saj zahteva, da upravljavec podatke preda v strukturirani obliki, ki omogoča računalniško obdelavo.

Za to pravilo veljajo nekatere omejitve, saj npr. velja samo za osebne podatke, ki so obdelani avtomatizirano.

Pravica do pritožbe (vključno z absolutno pravico do preprečitve direktnega marketinga)

Evropska komisija želi pravice posameznikov izboljšati tudi z možnostjo omejevanja določene obdelave in pravico do pritožbe pri obdelavi osebnih podatkov v namene direktnega marketinga, vključno z profiliranjem aktivnosti za namene direktnega marketinga.

Ko se posameznik pritoži, se njihovi podatki ne smejo več obdelovati za namene direktnega marketinga, kontaktne podatke te osebe pa je potrebno dodati v ločeno skupino.

Organizacije morajo posameznike o njihovi pravici do pritožbe na obdelavo njihovih podatkov obvestiti eksplicitno in ločeno od ostalih informacij, ki jih morajo prav tako podati posameznikom.

Komuniciranje informacij o zasebnosti (privoljenja, obvestila o procesiranju)

Privolitev

Zelo verjetno boste morali preveriti tudi način kako zahtevate, pridobite in shranite privolitev posameznika privoljenje posameznikov za obdelavo njihovih osebnih podatkov mora biti enostavno tako za privoljenje kot za preklic, zajemati mora tudi razumljivo privolitev za obdelavo podatkov, prikrivanje in predhodno označena izbirna polja ne pomenita privolitve.

Starševsko privoljenje

GDPR zagotavlja posebne pravice pri obdelavi osebnih podatkov otrok, še posebno pri odnosu s komercialnimi spletnimi storitvami kot je npr. socialno mreženje.

Zaradi tega bi morali razmisliti o robustnih mehanizmih za preverjanje starosti posameznikov in pridobitvi privoljenja od staršev oz. skrbnikov za obdelavo podatkov.

Obveščanje o obdelavi

GDPR bo povečal obseg obvestil, ki jih boste dolžni posredovati posameznikom, npr. vašo pravno osnovo za obdelavo njihovih podatkov, čas hranjenja podatkov in njihovo pravico do pritožbo pri ustreznem državnem organu, če smatrajo, da z njihovimi podatki ravnate neodgovorno; GDPR zahteva, da te informacije posredujete na jasen in razumljiv način.

Varnost podatkov

Zakonodaja GDPR ohranja varnostna načela iz obstoječe direktive, med drugim: pravičnost, zakonitost in transparentnost; sorazmernost; kvaliteto podatkov, varnost, integriteto in zaupnost.

Zagotoviti morate, da se osebni podatki obdelujejo na način, ki zagotavlja njihovo varnost, vključno z zaščito pred neavtorizirano ali nezakonito obdelavo in zaščito pred nenamerno izgubo, uničenjem ali poškodovanjem podatkov: “Upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje.”

Regulativa predlaga številne varnostne ukrepe, ki jih lahko upoštevate, da zagotovite varnost podatkov, vključno s psevdonimizacijo in šifriranjem osebnih podatkov; možnost zagotavljanja zaupanja, integritete, razpoložljivosti in odpornosti sistemov in storitev pri obdelavi osebnih podatkov; možnost obnovitve ter ponoven dostop do osebnih podatkov v sprejemljivem času v primerih fizičnih ali tehničnih incidentov; proces za redna testiranja, ocene in evalvacije učinkovitosti tehničnih in organizacijskih ukrepov pri zagotavljanju varnosti obdelave osebnih podatkov.

Enkripcija

GDPR Enkripcija kot rešitev specificira kot eno od pristopov, ki lahko zagotovi združljivost z nekaterimi obvezami regulative. Nekaj navedb:

Člen 32 – Varnost obdelave

"1. Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno: (a) psevdonimizacijo in šifriranjem osebnih podatkov […]”

Člen 34 – Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

"3. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev: (a) upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje […]”

Dokumentiranje, zakonska osnova in revizija

Obstoj osebnih podatkov in klasifikacija

Imeti morate zabeleženo katere osebne podatke hranite, od kje so prišli in s kom jih delite.

Če imate netočne osebne podatke in jih delite z drugo organizacijo, zakonodaja GDPR predvideva, da tej organizaciji sporočite o netočnostih v podatkih, da lahko popravijo podatke v svojih zapisih. Da bi to lahko storili, bo morda potrebno opraviti revizijo informacijskih podatkov preko celotne organizacije ali samo po posameznih področjih. S tem boste tudi bolj skladni z GDPR načelom odgovornosti.

Zakonska osnova za obdelavo osebnih podatakov

GDPR zahteva, da natančno preverite kako se v vašem podjetju osebni podatki procesirajo in identifikacijo zakonske osnove na podlagi katere izvršujete te procese.

To je potrebno, ker bodo lahko pravice posameznikov z odredbo GDPR spremenjene v odvisnosti od pravne osnove za procesiranje njihovih osebnih podatkov. Takšen primer so osebe, ki bodo imeli večjo pravico do brisanja podatkov, ko je njihovo strinjanje vaša pravna osnova za obdelavo. Strinjanje pa je le eden od različnih načinov za legitimizacijo obdelave in mogoče niti ni najboljši (osebe lahko strinjanje prekličejo).

Vir: Encryption ESET

holisticno
Holistični remont računalnika

Privoščite računalniku celosten remont, ponujamo mu holističen pregled, čiščenje, nadgradnjo in na koncu še preverjanje psihofizičnih sposobnosti.

Za naročilo ali dodatne informacije nas pokličite brezplačno na PC klinika Naveza - 080 23 03.

Preberite več



Za intervencije na področju osrednje Slovenije ne zaračunavamo potnih stroškov!

facebook

twitter

S pravim pristopom, dolgoletnimi izkušnjami in nenehnim izobraževanjem vam lahko pomagamo.

Pišite nam