Podatki ne smejo biti pozabljeni – razen kadar morajo biti

V digitalnem poslovanju osebni podatki nastajajo, se kopirajo, arhivirajo in brišejo hitreje kot kdajkoli. Vsaka mapa, varnostna kopija ali odslužen disk pa pomeni tudi tveganje in odgovornost. O zahtevah GDPR, ZVOP-2 in področne zakonodaje ter najpogostejših težavah v praksi smo govorili z mag. Aljažem Lepom, strokovnjakom za varstvo osebnih podatkov.

Zakaj je zakonita obdelava podatkov danes tako pomembno vprašanje?

Zato, ker se v skoraj vseh organizacijah vsakodnevno obdelujejo velike količine podatkov, ki predstavljajo tudi veliko odgovornost vsake organizacije. GDPR izhaja iz načel zakonitosti, poštenosti, preglednosti, omejitve namena, najmanjšega obsega podatkov, točnosti, omejitve hrambe ter celovitosti in zaupnosti. ZVOP-2 pa v slovenski pravni red dodatno umešča izvajanje teh pravil, nadzor in posamezne posebnosti. V praksi to pomeni: organizacija mora vedeti, katere podatke ima, zakaj jih ima, kje so shranjeni, kdo do njih dostopa in kdaj jih mora izbrisati, arhivirati ali anonimizirati.

Kaj je prvi korak pri zakonitem pridobivanju osebnih podatkov?
Prvi korak je vedno namen. Organizacija ne sme zbirati podatkov “za vsak slučaj”, ampak se mora vprašati, za kakšen konkreten namen podatke potrebuje ter katere podatke potrebuje za uresničitev tega namena. Za vsako zakonito obdelavo podatkov, kar vključuje tudi njihovo pridobivanje, mora obstajati zakonita pravna podlaga, na primer obveznost iz zakonodaje, privolitev posameznika, zakoniti interes ali obveznost, ki izhaja iz pogodbenega razmerja. Pomembno je tudi, da je posameznik jasno in pregledno obveščen o tem, kateri podatki se zbirajo, za kakšen namen, koliko časa se hranijo in komu se posredujejo.

Kako naj podjetja pristopijo k arhiviranju in hrambi?
Najprej morajo ločiti med operativno hrambo, arhiviranjem in varnostnimi kopijami. To niso iste stvari. Operativni dokument je potreben za tekoče delo, arhiviran dokument za dokazovanje ali izpolnjevanje zakonskih obveznosti, varnostna kopija pa za obnovitev v primeru varnostnega incidenta. Za vsako evidenco oz. zbirko podatkov mora biti določen rok hrambe. GDPR ne dopušča neskončne hrambe osebnih podatkov, razen kadar za to obstaja jasna zakonska ali druga utemeljena podlaga. Rok hrambe je praviloma tudi obvezni del Evidence dejavnosti obdelave, ki za posamezno dejavnost obdelave določa ključne informacije o obdelavi osebnih podatkov.

Ali je arhiviranje lahko tudi tveganje?
Seveda. Slabo urejen arhiv je pogosto večje tveganje kot aktivni informacijski sistem. V arhivu se lahko znajdejo kopije osebnih dokumentov, pogodbe, zdravstveni podatki, kadrovske mape ali stari izvozi iz informacijskih sistemov. Če ni jasno, kdo ima dostop in kdaj se gradivo izloča, lahko pride do predolge oz. nezakonite hrambe ali pa do nepooblaščenega dostopa.

Kdaj mora organizacija podatke izbrisati?
Ko namen obdelave preneha in ni več pravne podlage za hrambo. To je eno najtežjih praktičnih vprašanj, ker so podatki pogosto razpršeni po e-pošti, arhivih, varnostnih kopijah in lokalnih mapah. Zato mora imeti organizacija nadzor nad roki hrambe podatkov in postopek oz. proces rednega izločanja in uničevanja. Brisanje ne sme biti naključno, ampak dokazljivo in dokumentirano.

Kaj pomeni varno uničenje dokumentacije?
Pri papirni dokumentaciji to pomeni uničenje na način, da rekonstrukcija ni več mogoča, na primer z ustreznim varnostnim razrezom. Pri elektronskih nosilcih pa navadno brisanje datotek ni dovolj. Potrebno je varno brisanje, kriptografsko uničenje ključev ali fizično uničenje nosilca. Pomemben je tudi zapisnik: kaj je bilo uničeno, kdaj, kdo je postopek izvedel in na kakšni podlagi.

Kaj bi svetovali vodstvu podjetij?
Varstvo osebnih podatkov naj bo del vsakodnevnega upravljanja informacij, ne le pravni dokument. Organizacija mora jasno določiti odgovornosti, pravne podlage, roke hrambe, dostopne pravice, pogodbe, postopke za incidente in uničenje dokumentacije. Skladnost pomeni odgovoren odnos do podatkov in ljudi, ne birokracije. Če potrebujete pomoč na tem področju, vam lahko pomagamo s sodelavci iz DATAINFO.SI – dosegljivi smo po telefonu 02 620 43 00 ali po e-naslovu info@datainfo.si.