Upravljavci dokumentacije, pozor!

Velik del osebnih podatkov se nahaja v dokumentih, zato je varstvo osebnih podatkov neposredno povezano tudi z upravljanjem in hrambo dokumentov.

Upravljavci dokumentacije, pozor!

Splošna uredba EU o varstvu podatkov od upravljavcev zahteva vgrajeno in privzeto varstvo osebnih podatkov, zagotovitev preglednih in enostavno dostopnih informacij o obdelavi podatkov, vpeljavo evidenc obdelav in izvajanje predhodnih ocen učinka. V Sloveniji to področje ureja zakon o varstvu osebnih podatkov. 

Usklajenost varstva osebnih podatkov z zakonodajo

Vprašanje je, v kolikšni meri smo že doslej upoštevali obstoječo zakonodajo in kako smo uredili odnose s pogodbenimi obdelovalci. Če osebne podatke že danes obdelujemo in varujemo v skladu z veljavno zakonodajo, smo lahko mirni, saj spremembe z naslova GDPR niso tako obsežne, da se nanje ne bi mogli ustrezno pripraviti.

V vsakem primeru pa je priporočljivo, da v projekt prilagoditve vključimo vse pogodbene obdelovalce podatkov. Le skupaj z njimi lahko zagotovimo učinkovite organizacijske in tehnološke rešitve, ki bodo v naše poslovanje prinesle najvišjo raven varnosti in omogočile upravljanje dokumentov v skladu z vsemi zakonskimi zahtevami.

Kaj moramo upravljavci dokumentacije narediti takoj?

1. Minimizirajmo obseg obdelave podatkov

Uredba GDPR omejuje obdelavo osebnih podatkov na najmanjši obseg, ki je nujen za namen obdelave. Svoje delo v povezavi z varstvom podatkov si bomo bistveno olajšali, če bomo minimizirali količino zbranih podatkov, njihove obdelave, obdobje njihove hrambe in število obdelovalcev.

2. Preverimo, ali smo izbrali zanesljive pogodbene obdelovalce

GDPR izrecno zahteva, da izberemo zanesljive pogodbene obdelovalce. Priporočljivo je, da obdelovalci zanesljivost izkazujejo z ustreznimi certifikati, kakršna sta na primer standard vodenja varovanja informacij ISO/IEC 27001 in standard vodenja kakovosti ISO 9001. Ti certifikati izkazujejo urejenost poslovanja pogodbenega obdelovalca in dokazano raven kakovosti in varovanja informacij.

Kaj moramo upravljavci dokumentacije narediti takoj?

Pri pogodbenih obdelovalcih ne gre le za zaupanje v varnostne postopke in ukrepe, temveč tudi za zanesljivost, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov ter njihovo stanovitnost. Ponudnik, ki je specializiran za elektronsko hrambo in spremljevalne storitve, pri tem kombinira znanje in zahteve s področja varstva dokumentarnega in arhivskega gradiva, informacijskih rešitev ter varnostnih zahtev za varovanje sistemov in podatkov, zlasti za varovanje osebnih podatkov. 

3. Prilagodimo pogodbe s pogodbenimi obdelovalci

Že ZVOP-1 zahteva, da upravljavci z obdelovalci, ki za nas obdelujejo osebne podatke, sklenemo pogodbo o obdelavi osebnih podatkov. Ker GDPR uvaja nove zahteve glede vsebine pogodb (28. člen), se zahteva njihova prenova. Nove pogodbe morajo določati vsebino in trajanje obdelav, naravo in namen obdelav, vrste osebnih podatkov, ki se obdelujejo, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice obdelovalca.

4. Preverimo in prilagodimo popis zbirk osebnih podatkov

Če podatke redno obdelujemo, jih moramo ustrezno varovati, zato pa moramo najprej točno vedeti, kje in katere imamo. GDPR zahteva zapis evidenc dejavnosti obdelave (30. člen), v okviru katerih identificiramo in navedemo vrste osebnih podatkov in posebnih osebnih podatkov. Iz evidenc mora biti razviden tudi zakoniti namen obdelave in, kadar je mogoče, predviden rok za izbris različnih vrst podatkov. Kadar je mogoče, morajo evidence vsebovati tudi splošni opis tehničnih in organizacijskih varnostnih ukrepov.

5. Preverimo, ali bomo morali izvajati ocene učinka

Za primere, kjer bi lahko obdelava podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, GDPR zahteva (35. člen), da upravljavec opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. Ocena učinka v zvezi z varstvom podatkov se zahteva zlasti v primeru samodejnih, sistematičnih obdelav in ocenjevanja osebnih podatkov. Zahteva se tudi v primeru obsežnih obdelav posebnih vrst podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ter obsežnega sistematičnega spremljanja javno dostopnega območja.

Vas zanima več? Stopite v stik z nami!



Grega Vozel

Grega Vozel ima izkušnje z izvajanjem funkcije pooblaščene osebe za varstvo osebnih podatkov v največjih slovenskih družbah in hčerinskih družbah tujih multinacionalk. Pri svojem delu stremi k zagotavljanju najvišjih etičnih in pravnih standardov. Ne sprejema kompromisov, ko gre za varstvo osebnih podatkov strank in zaposlenih.

PREBERITE TUDI