Varnost
15.03.2021 09:26
Posodobljeno 4 meseci nazaj.

Deli z drugimi:

Share

Ne pozabite na presojo učinkov na varstvo osebnih podatkov

S stalno rastjo digitalizacije in vedno več projekti interneta stvari (IoT) se v praksi srečujemo z vedno večjimi izzivi glede zagotavljanja ustreznega varstva osebnih podatkov in spoštovanja zahtev zakonodaje.

Izzivi so toliko večji ravno zato, ker večina akterjev ni seznanjenih z osnovnimi pravili in načeli varstva osebnih podatkov, ki jih narekujeta Splošna uredba o varstvu osebnih podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-1). To vas lahko drago stane, zato berite naprej.

Pomembno orodje za doseganje ciljev, s katerim v praksi implementiramo ključno načelo GDPR –  »privacy by design and by default«, je Presoja učinkov na varstvo osebnih podatkov, angleški izraz »Data protection impact assesment« (DPIA), ki jo je priporočljivo začeti pripravljati že v zgodnji fazi projekta. DPIA nam v praksi pomaga preprečiti napake, ki bi nas kasneje lahko drago stale, zato je treba čimprej zapolniti nastalo vrzel in oponomočiti tako IT stroko kot ostale akterje.

Aktualno za občine in informatike

Ministrstvo za javno upravo je pred kratkim objavilo Javni razpis za demonstracijske projekte vzpostavljanja pametnih mest in skupnosti »JR PMIS«in v razpisni dokumentaciji opozorilo na obveznost izdelave Presoje učinkov na zasebnost (DPIA) v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov (GDPR), če tehnološka rešitev vključuje obdelavo osebnih podatkov.  Da je potrebno v projektih »Smart city« izdelati »DPIA«, je zapisano tudi v mnenju Informacijskega pooblaščenca iz leta 2018.

Namen javnega razpisa MJU in s tem sofinanciranja projektov je pospešitev uvajanja inovativnih rešitev na področju digitalizacije občin. To naj bi dosegli z uvedbo in uporabo naprednih digitalnih tehnologij. Pri večini tehnoloških rešitev je predvidena tudi obdelava osebnih podatkov občanov, posledično pa je izdelava presoje učinkov je pri tovrstnih projektih nujna.

Kaj je DPIA?

DPIA je uvedena s Splošno uredbo o varstvu osebnih podatkov, ki je pričela veljati 25. maja 2018. Zahteva se uvršča v preventivne ukrepe v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev (npr. občine) in obdelovalcev podatkov (npr. razvijalca IT rešitve). Za lažje razumevanje določb glede obveznosti izdelavi DPIA, so pomembne Smernice IP, v katerih je zapisano, da se DPIA izdela,  ko gre za projekte digitalizacije in uvajanje novih tehnologij, pri katerih prihaja do obdelave osebnih podatkov,  med drugim tudi za primere obdelave s pomočjo umetne inteligence, inteligentne videoanalitike, e-uprave (ali podobnih portalov na občinski ravni), obdelava geolokacijskih podatkov in podobno.

Za določene vrste novih digitalnih rešitev je DPIA obvezna. V primeru da ne bo narejena, bo to pomenilo kršitev določil GDPR, za kar bo lahko izrečena globa. Vendar tudi v primeru, ko ta ni obvezna, je priporočljivo, da se izdela. To orodje nam namreč pomaga preprečiti napake in izpolniti vse zahteve zakonodaje o varstvu osebnih podatkov.

Kaj vsebuje DPIA?

DPIA vsebuje sistematičen opis dejanj in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si upravljavci prizadevajo; oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; oceno tveganj za posameznike, na katere se nanašajo osebni podatki; ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

Za izdelavo končne DPIA je odgovoren vodja projekta (naročnik oziroma tisti, ki je upravljavec osebnih podatkov – npr. občina), pri pripravi pa ima ključno vlogo tudi zunanji izvajalec (razvijalec in obdelovalec osebnih podatkov).

Kakšna je vloga razvijalcev (informatikov)?

Poznavanje določil GDPR in zahtev DPIA je ključno že v fazi razvoja, zato je pomembno, da vodja projektov zahteva od razvijalcev tehnoloških rešitev, da se v zgodnji fazi vključijo v izdelavo DPIA. Gre za dokument, ki dejansko »živi« in se »razvija« od začetka (načrtovanje) do konca (implementacija), zato je nujno, da so tudi informatiki ustrezno usposobljeni in pripravljeni za pripravo prvih osnutkov tega dokumenta.

Če menite, da na tem področju nimate dovolj znanja, se obrnite na izkušene svetovalce s področja varstva osebnih podatkov  – podjetje Dataofficer d.o.o. Dobite jih na telefonski številki 386 41 314 400, lahko jim pišete (info@dataofficer.si) ali obiščete spletno stran www. dataofficer.si. Priporočamo, da se udeležite tudi njihovega usposabljanja, ki se prične 4. aprila, več informacij dobite na: bit.ly/e-ucilnica (P.R.)

Vas zanima več iz te teme?
varstvo podatkov

Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

Zlati partner

ISKRATEL d.o.o.

Ljubljanska cesta 24a, 4000 Kranj, Tel: 04 207 20 00
Vodilni evropski ponudnik komunikacijskih rešitev za digitalno preobrazbo Z več kot 70 leti izkušenj je podjetje Iskratel vodilni evropski ponudnik komunikacijskih rešitev za digitalno ... Več
Zlati partner

BROTHER CEE GmbH

Plemljeva ulica 2, 1210 Ljubljana Šentvid, Tel: 030 600 474
Dejavni so v 28 državah, Brotherjevi izdelki pa so na voljo v več kot 100 državah.  Od ustanovitve korporacije leta 1934 si prizadevajo, da bi ideje prenesli v prakso z ustvarjanjem ... Več
Zlati partner

INSIS d.o.o.

Erjavčeva ulica 18, 5000 Nova Gorica, Tel: 041 938 792
Podjetje Insis, d. o. o., se s spletno prodajo ukvarja že od leta 2009. Ekipa spletne trgovine PoceniPC.com vestno skrbi za svoje kupce. Najbolj so veseli vašega zadovoljstva, zato ... Več
Zlati partner

AVTERA d.o.o.

Litijska cesta 259, 1261 Ljubljana - Dobrunje, Tel: 01 585 36 10
Avtera d.o.o. je slovenski zastopnik in distributer nekaterih najpomembnejših blagovnih znamk s področja računalništva, informacijske tehnologije in zabavne elektronike. Trendi ... Več