Kaj mora zagotavljati ponudnik e-hrambe dokumentov, ki vsebujejo osebne podatke?

Ko gre za e-hrambo dokumentov, ki vsebujejo osebne podatke, je potreben poglobljen razmislek o izbiri primernega ponudnika, ki bo izpolnjeval vse varnostne standarde in zahteve uredbe GDPR glede ravnanja z osebnimi podatki.

Kaj mora zagotavljati ponudnik e-hrambe dokumentov, ki vsebujejo osebne podatke?

Na kaj moramo biti pozorni, da bo ponudnik e-hrambe zagotavljal celovitost in verodostojnost, dostopnost, uporabnost in trajnost dokumentov čez njihovo celotno življenjsko dobo? 

Skladnost, zanesljivost in varnost so na prvem mestu

Dolgoročna e-hramba dokumentov mora zagotavljati veliko več kot samo odlaganje teh dokumentov na strežnik, na primer tudi opremljanje dokumentov z metapodatki, ki niso del vsebine dokumenta, so pa podatki o dokumentu, ali pretvorba dokumenta v format za dolgoročno hrambo. Primeren ponudnik dolgoročne e-hrambe mora tako zagotavljati, da:

  • so dokumenti dostopni samo pooblaščenim osebam, takrat, ko jih potrebujejo,
  • dokumente hitro najdemo in jih lahko nemoteno uporabljamo,
  • je vsebina dokumenta avtentična in celovita, morebitni posegi v vsebino pa so mogoči samo v izjemnih primerih in sledljivi,
  • so dokumenti ustrezno dolgoročno hranjeni v primernem formatu (na primer PDF/A).

Če se večji spletni ponudniki prostora na prvi pogled zdijo prava ali poceni rešitev, se pogosto kmalu izkaže, da ne zadostijo vsem zgoraj navedenim zahtevam. Samo dva izmed razlogov, da so tovrstne storitve cenejše od uporabe certificiranega sistema e-hrambe, sta:

  • dostop do dokumenta lahko traja celo več minut, po navadi pa pričakujemo, da se dokument odpre v nekaj sekundah,
  • hramba ni certificirana po slovenskih enotnih tehnoloških zahtevah in ne zagotavlja dolgoročne uporabnosti in berljivosti dokumentov.
  • Vprašati se moramo, ali smo na račun prihrankov res pripravljeni sprejeti  tveganja neustrezne hrambe?

Skladnost z zahtevami GDPR

Neustrezno hranjeni dokumenti, nepooblaščeni vpogledi v dokumente z osebnimi podatki in njihovo deljenje predstavljajo veliko poslovno tveganje.

Do dokumentov, ki vsebujejo osebne podatke, običajno ne smejo dostopati vsi zaposleni v podjetju. Zato moramo pri razmisleku o ustreznem ponudniku e-hrambe upoštevati tudi to, da ponudnik omogoča opredelitev pooblaščenih dostopov do dokumentov na vseh ravneh in beleženje revizijske sledi dostopov do informacij. Na takšen način se bomo izognili tudi tveganjem nepooblaščenega vpogleda v osebne podatke.

  • Ali smo pri izbiri ponudnika pomislili, kakšna so njegova pravila zasebnosti?
  • Ali omogoča vodenje revizijskih sledi in kako zagotavlja zanesljivost ter varnost?

GDPR dopušča možnost prenosa osebnih podatkov v tretje države ali mednarodne organizacije, pri tem pa je potrebno zagotoviti visoko raven varstva osebnih podatkov, zato bodimo pozorni, kje so hranjeni naši dokumenti. Tako upravljavec kot obdelovalec morata ravnati v skladu z določbami uredbe GDPR.

Skladnost z zahtevami GDPR

Reference, dolgoletne izkušnje in strokovno znanje

Za zagotavljanje varnosti in skladnosti naših dokumentov je pomembno, da ponudnik e-hrambe vzdržuje visoko raven informacijske varnosti in redno nadgrajuje nadzorne mehanizme, s katerimi zagotavlja potrebno kakovost in varnost e-hrambe. To lahko dokazuje z ravnanjem v skladu s sistemom vodenja varovanja informacij ISO/IEC 27001 ter drugimi standardi in dobrimi praksami s področja zagotavljanja informacijske varnosti.

Priporočljivo je, da se odločimo za ponudnika, ki ima storitve in programsko opremo certificirano pri Arhivu Republike Slovenije. Tako se bomo učinkovito izognili tveganju, da izbrani ponudnik ne ravna v skladu z zakonodajo, ki ureja e-hrambo.

Preveriti moramo še reference ponudnika in njegove izkušnje z e-hrambo dokumentov, kar je lahko razvidno tudi iz količine hranjenih dokumentov. V Mikrocopu smo na primer lani elektronsko arhivirali kar 44 milijonov dokumentov, skupaj pa hranimo že skoraj pol milijarde e-dokumentov.

Posebno pozornost pa namenimo strokovnosti, izkušnjam in usposobljenosti strokovnjakov ponudnika, ki dokazljivo zagotavljajo celovitost, varnost, zaupnost in razpoložljivost podatkov in dokumentov v e-hrambi. Vse to lahko preverimo tudi z osebnim obiskom pri ponudniku.

Vas zanima več? Stopite v stik z nami!



Grega Vozel

Grega Vozel ima v Mikrocopu, pri poslovnih partnerjih in strankah vlogo pooblaščene osebe za varstvo osebnih podatkov (DPO). Pri svojem delu stremi k zagotavljanju najvišjih etičnih in pravnih standardov. Ko gre za varstvo osebnih podatkov strank in zaposlenih ter zagotavljanje skladnosti poslovanja, ne verjame v kompromise.

PREBERITE TUDI