Svetovanje

Skladnost varstva osebnih podatkov (GDPR)

Ključni izzivi zagotavljanja skladnosti varstva osebnih podatkov se skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki ter vzpostavitvi odgovornosti zanj. Na varstvo podatkov vam pomagamo pogledati celovito, s preverljivimi izkušnjami s področij prava, informacijske varnosti, skladnosti in kakovosti poslovanja. Skupaj z vami pripravimo in izvedemo potrebne tehnične in organizacijske ukrepe ter predlagamo dobre prakse za zagotavljanje skladnosti varstva osebnih podatkov (GDPR).

Podpiramo vas na poti do brezpapirnega poslovanja – uporabljamo v praksi potrjene in zelo uspešne metodološke pristope, naša svetovalna ekipa pa je sestavljena iz izkušenih strokovnjakov različnih profilov. Stopite v stik z nami.

Sanja Žaubi, pooblaščena oseba za varstvo osebnih podatkov v Mikrocopu

Mikrocop je eno prvih podjetij v Sloveniji s certificiranim DPO

Sanja Žaubi, pooblaščena oseba za varstvo osebnih podatkov (Data Protection Officer ali DPO) v podjetju Mikrocop, je kot ena prvih v Sloveniji pridobila dodatno kvalifikacijo strokovnjakinje za varstvo osebnih podatkov. Gre za pomemben izkaz strokovnega znanja o zakonodaji in praksi na področju varstva osebnih podatkov.

 


Praviloma svetovanje glede zagotavljanja skladnosti varstva osebnih podatkov z zakonodajo, v prvi vrsti z evropsko Splošno uredbo o varstvu osebnih podatkov EU 2016/679 (General Data Protection Regulation ali krajše GDPR), poteka v več korakih. Najprej potrebujete jasen pregled nad osebnimi podatki, ki jih upravljate ali obdelujete, vključno z urejenimi evidencami dejavnosti obdelave osebnih podatkov. Vedeti morate, katere podatke posredujete pogodbenim obdelovalcem, kot smo na primer Mikrocop, katere iznašate v tretje države, katere posebne kategorije osebnih podatkov hranite, kako jih varujete in drugo.

Zato začnemo z izdelavo analize razkoraka (t. i. gap analiza), v okviru katere preverimo obdelave podatkov, ki so zapisane v vaših elaboratih ali protokolih, identificiramo obdelave, ki vsebujejo osebne podatke in posebne vrste podatkov, ter ocenimo razkorak med trenutnim stanjem in stanjem, ki ga zahtevajo zakonski predpisi. Rezultat analize razkoraka je popis vseh obdelav, predviden obseg aktivnosti in ocena porabe časa za:

  • vzpostavitev evidenc dejavnosti obdelave,
  • pripravo ali prilagoditev klasifikacijskih načrtov,
  • pripravo ocen učinka.

Nadaljujemo z vzpostavitvijo evidenc dejavnosti obdelave osebnih podatkov – na podlagi seznama obdelav in analize razkoraka pregledamo:

  • dopolnitve v povezavi z navedenimi obdelavami zahteva GDPR za razliko od Zakona o varstvu osebnih podatkov ZVOP-1,
  • obvladovanje podatkovnih baz, potrebnih za izvajanje obdelav,
  • lastnosti vzpostavljenih integracij.

Po potrebi sledi priprava ali dopolnitev klasifikacijskega načrta. Namen obdelave osebnih podatkov mora biti upravičen, za kar je nujna ustrezna podlaga v obliki rokov hrambe znotraj vašega klasifikacijskega načrta. Zato pregledamo vse roke hrambe, opredelitev začetka hrambe in trajanja roka hrambe za vse obdelave. Če klasifikacijskega načrta nimate ali pa je ta nepopoln, vam svetujemo pri njegovi pripravi oziroma dopolnitvi za doseganje skladnosti.

Prav tako po potrebi pripravimo ali dopolnimo tudi notranja pravila, če ugotovimo, da sprememba klasifikacijskega načrta zahteva tudi spremembo vaših notranjih pravil. Slednje je aktualno, če imate notranja pravila potrjena pri Arhivu Republike Slovenije.

Ocene učinka so nujne za obdelave posebnih osebnih podatkov in priporočljive za vse druge obdelave, pri katerih je možno, da bi lahko vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. V Mikrocopu svetujemo pri pripravi ocen učinka, ki zajemajo vsaj:

  • sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec,
  • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen,
  • oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki,
  • ukrepe za obravnavanje tveganj (vključno z zaščitnimi ukrepi), varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti.

Skupaj z vami preverimo, ali sodelujete z zanesljivimi pogodbenimi obdelovalci, in ocenimo, ali morate obstoječe pogodbe s pogodbenimi obdelovalci prenoviti. To je sicer praviloma potrebno, opredeliti pa morate vsaj:

  • vsebino in trajanje obdelav,
  • naravo in namen obdelav,
  • vrste osebnih podatkov, ki jih obdelujete,
  • kategorije posameznikov, na katere se nanašajo osebni podatki,
  • obveznosti in pravice obdelovalca.

Vzporedno pa nagovarjamo tudi izzive zagotavljanja skladnosti vašega informacijskega sistema. Čeprav je vprašanje skladnosti namenskih programov z GDPR verjetno najlažje in najhitreje rešljivo, vam vseeno priporočamo, da ga ne podcenite. Skupaj poiščemo odgovore na vsaj naslednja vprašanja:

  • ali in kako so osebni podatki zavarovani med prenosom, da njihova odtujitev ni možna?
  • ali so osebni podatki ustrezno zaščiteni v podatkovnih zbirkah in v datotečni hrambi?
  • ali vaši zaposleni izmenjujejo osebne podatke prek elektronske pošte ali oblačnih shramb?
  • ali so vloge in pravice uporabnikov informacijskih sistemov nastavljene na način, da lahko zgolj pooblaščene osebe dostopajo do osebnih podatkov?
  • kako se izvaja posameznikova pravica do pozabe, če so zanjo izpolnjeni pogoji?
  • kako celovita je zares revizijska sled ravnanja uporabnikov, skrbnikov in drugih sistemov?

Ta in druga sorodna vprašanja so še posebej pomembna, ko se odločate za uporabo novih programskih rešitev. Priporočamo, da takrat razmislite o izbiri ustrezno certificiranih orodij in storitev, sicer pa morate biti na ta vprašanja sproti pozorni ob spremembah v vašem informacijskem sistemu, pa tudi ob novih zaposlitvah in morebitnih odhodih sodelavcev.

 

Varstvo osebnih podatkov ni stanje, ki ga dosežemo, temveč stalen, živ proces

Zagotavljanje skladnosti varstva osebnih podatkov


Če res želimo varovati osebne podatke, moramo zanje skrbeti celovito

Zagotavljanje skladnosti z uredbo GDPR je trenutno ena bolj perečih tem pri vseh, ki so tako ali drugače v stiku z osebnimi podatki. Motiv za urejanje varstva podatkov pri tem praviloma ni želja, da bi do osebnih podatkov dostopale le pooblaščene osebe s potrebno utemeljitvijo, temveč prej strah pred visokimi kaznimi. A varstvo osebnih podatkov ni stanje, ki ga enkrat dosežemo in potem pozabimo, temveč stalen in še kako živ proces ...

Priporočamo dobro prakso

Pozor, uporabniki skupnih map in ljubitelji elektronske pošte – prihaja GDPR

Ključni izzivi zagotavljanja skladnosti varstva osebnih podatkov se skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki ter vzpostavitvi odgovornosti zanj. Podjetja imajo s tem nemalokrat težave, saj pod pritiskom tekočega poslovanja ne vzpostavijo celovitega pregleda nad vsemi osebnimi podatki, ki jih obdelujejo ...

Priporočamo dobro prakso

 

Potrebujete pomoč pri doseganju zakonske skladnosti ali zagotavljanju varnosti osebnih podatkov?

Stopite v stik z nami