Svetovanje

Skladnost varstva osebnih podatkov (GDPR)

Ključni izzivi zagotavljanja skladnosti varstva osebnih podatkov se skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki in vzpostavitvi odgovornosti zanj. Na varstvo osebnih podatkov vam pomagamo pogledati celovito. Imamo preverljive izkušnje s področij prava, informacijske varnosti, skladnosti in kakovosti poslovanja. Skupaj z vami pripravimo in izvedemo tehnične in organizacijske ukrepe ter predlagamo dobre prakse za zagotavljanje skladnosti varstva osebnih podatkov z uredbo GDPR.

Podpiramo vas na poti do brezpapirnega poslovanja – uporabljamo v praksi potrjene in zelo uspešne metodološke pristope, naša svetovalna ekipa pa je sestavljena iz izkušenih strokovnjakov različnih profilov. Stopite v stik z nami.

Sanja Žaubi, pooblaščena oseba za varstvo osebnih podatkov (DPO) v Mikrocopu

Pregled nad osebnimi podatki

Svetovanje o zagotavljanju skladnosti varstva osebnih podatkov z zakonodajo, v prvi vrsti z evropsko Splošno uredbo o varstvu osebnih podatkov EU 2016/679 (General Data Protection Regulation ali krajše GDPR), poteka v več korakih.

Najprej potrebujete jasen pregled nad osebnimi podatki, ki jih upravljate ali obdelujete. To vključuje tudi urejene evidence dejavnosti obdelave osebnih podatkov. Vedeti morate, katere osebne podatke:

  • posredujete pogodbenim obdelovalcem, kot smo na primer Mikrocop,
  • katere iznašate v tretje države,
  • katere posebne kategorije osebnih podatkov hranite,
  • kako jih varujete in drugo.

Analiza razkoraka

Zato začnemo z izdelavo analize razkoraka (t. i. gap analiza). Z analizo preverimo obdelave podatkov, ki so zapisane v vaših elaboratih ali protokolih in identificiramo obdelave, ki vsebujejo osebne podatke in posebne vrste podatkov. Poleg tega ocenimo razkorak med trenutnim stanjem in stanjem, ki ga zahtevajo zakonski predpisi.

Rezultat analize razkoraka je popis vseh obdelav, predviden obseg aktivnosti in ocena porabe časa za:

  • vzpostavitev evidenc dejavnosti obdelave,
  • pripravo ali prilagoditev klasifikacijskih načrtov,
  • pripravo ocen učinka.

Evidence dejavnosti obdelav osebnih podatkov

Nadaljujemo z vzpostavitvijo evidenc dejavnosti obdelave osebnih podatkov. Na podlagi seznama obdelav in analize razkoraka pregledamo:

Klasifikacijski načrt in notranja pravila

Po potrebi sledi priprava ali dopolnitev klasifikacijskega načrta. Namen obdelave osebnih podatkov mora biti upravičen, za kar je nujna ustrezna podlaga v obliki rokov hrambe znotraj vašega klasifikacijskega načrta. Zato pregledamo vse roke hrambe, opredelitev začetka hrambe in trajanja roka hrambe za vse obdelave. Če klasifikacijskega načrta nimate ali je ta nepopoln, vam svetujemo pri njegovi pripravi ali dopolnitvi za doseganje skladnosti.

Prav tako pripravimo ali dopolnimo tudi notranja pravila, če ugotovimo, da sprememba klasifikacijskega načrta zahteva tudi spremembo vaših notranjih pravil. Slednje je aktualno, če imate notranja pravila potrjena pri Arhivu Republike Slovenije.

Ocene učinka

Ocene učinka so nujne za obdelave posebnih osebnih podatkov. Priporočljive so za vse druge obdelave, pri katerih je možno, da bi lahko vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. V Mikrocopu vam svetujemo pri pripravi ocen učinka, ki zajemajo:

  • sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec,
  • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen,
  • oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki,
  • ukrepe za obravnavanje tveganj (vključno z zaščitnimi ukrepi), varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti.

Sodelovanje s pogodbenimi obdelovalci

Skupaj z vami preverimo, ali sodelujete z zanesljivimi pogodbenimi obdelovalci. Ocenimo, ali morate obstoječe pogodbe s pogodbenimi obdelovalci prenoviti. To je sicer praviloma potrebno, opredeliti pa morate:

  • vsebino in trajanje obdelav,
  • naravo in namen obdelav,
  • vrste osebnih podatkov, ki jih obdelujete,
  • kategorije posameznikov, na katere se nanašajo osebni podatki,
  • obveznosti in pravice obdelovalca.

Zagotavljanje skladnosti informacijskega sistema

Vzporedno nagovarjamo tudi izzive zagotavljanja skladnosti vašega informacijskega sistema. Vprašanje skladnosti namenskih programov z uredbo GDPR je verjetno najlažje in najhitreje rešljivo. Vseeno pa priporočamo, da ga ne podcenite.

Skupaj poiščemo odgovore na naslednja vprašanja:

  • ali in kako so osebni podatki zavarovani med prenosom, da njihova odtujitev ni možna?
  • ali so osebni podatki ustrezno zaščiteni v podatkovnih zbirkah in v datotečni hrambi?
  • ali vaši zaposleni izmenjujejo osebne podatke prek elektronske pošte ali oblačnih shramb?
  • ali so vloge in pravice uporabnikov informacijskih sistemov nastavljene na način, da lahko zgolj pooblaščene osebe dostopajo do osebnih podatkov?
  • kako se izvaja posameznikova pravica do pozabe, če so zanjo izpolnjeni pogoji?
  • kako celovita je zares revizijska sled ravnanja uporabnikov, skrbnikov in drugih sistemov?

Ta in druga vprašanja so še posebej pomembna, ko se odločate za uporabo novih programskih rešitev. Priporočamo, da razmislite o izbiri ustrezno certificiranih orodij in storitev. Na na ta vprašanja pa bodite pozorni tudi ob spremembah v vašem informacijskem sistemu, ob novih zaposlitvah in odhodih sodelavcev.

Varstvo osebnih podatkov ni stanje, ki ga dosežemo, temveč stalen, živ proces.

varstvo osebnih podatkov GDPR

Kako zagotoviti skladnost varstva osebnih podatkov?


Če res želimo varovati osebne podatke, moramo zanje skrbeti celovito

Zagotavljanje skladnosti z uredbo GDPR je trenutno ena bolj perečih tem pri vseh, ki so tako ali drugače v stiku z osebnimi podatki. Motiv za urejanje varstva podatkov pri tem praviloma ni želja, da bi do osebnih podatkov dostopale le pooblaščene osebe s potrebno utemeljitvijo, temveč prej strah pred visokimi kaznimi. A varstvo osebnih podatkov ni stanje, ki ga enkrat dosežemo in potem pozabimo, temveč stalen in še kako živ proces ...

Priporočamo dobro prakso

Pozor, uporabniki skupnih map in ljubitelji elektronske pošte – prihaja GDPR

Ključni izzivi zagotavljanja skladnosti varstva osebnih podatkov se skrivajo v oblikovanju ustreznih procesov ravnanja z osebnimi podatki ter vzpostavitvi odgovornosti zanj. Podjetja imajo s tem nemalokrat težave, saj pod pritiskom tekočega poslovanja ne vzpostavijo celovitega pregleda nad vsemi osebnimi podatki, ki jih obdelujejo ...

Priporočamo dobro prakso

 

Potrebujete pomoč pri zagotavljanju varnosti osebnih podatkov?

Stopite v stik z nami