Varnost
15.03.2021 09:26
Posodobljeno 3 leta nazaj.

Deli z drugimi:

Share

Ne pozabite na presojo učinkov na varstvo osebnih podatkov

S stalno rastjo digitalizacije in vedno več projekti interneta stvari (IoT) se v praksi srečujemo z vedno večjimi izzivi glede zagotavljanja ustreznega varstva osebnih podatkov in spoštovanja zahtev zakonodaje.

Izzivi so toliko večji ravno zato, ker večina akterjev ni seznanjenih z osnovnimi pravili in načeli varstva osebnih podatkov, ki jih narekujeta Splošna uredba o varstvu osebnih podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-1). To vas lahko drago stane, zato berite naprej.

Pomembno orodje za doseganje ciljev, s katerim v praksi implementiramo ključno načelo GDPR –  »privacy by design and by default«, je Presoja učinkov na varstvo osebnih podatkov, angleški izraz »Data protection impact assesment« (DPIA), ki jo je priporočljivo začeti pripravljati že v zgodnji fazi projekta. DPIA nam v praksi pomaga preprečiti napake, ki bi nas kasneje lahko drago stale, zato je treba čimprej zapolniti nastalo vrzel in oponomočiti tako IT stroko kot ostale akterje.

Aktualno za občine in informatike

Ministrstvo za javno upravo je pred kratkim objavilo Javni razpis za demonstracijske projekte vzpostavljanja pametnih mest in skupnosti »JR PMIS«in v razpisni dokumentaciji opozorilo na obveznost izdelave Presoje učinkov na zasebnost (DPIA) v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov (GDPR), če tehnološka rešitev vključuje obdelavo osebnih podatkov.  Da je potrebno v projektih »Smart city« izdelati »DPIA«, je zapisano tudi v mnenju Informacijskega pooblaščenca iz leta 2018.

Namen javnega razpisa MJU in s tem sofinanciranja projektov je pospešitev uvajanja inovativnih rešitev na področju digitalizacije občin. To naj bi dosegli z uvedbo in uporabo naprednih digitalnih tehnologij. Pri večini tehnoloških rešitev je predvidena tudi obdelava osebnih podatkov občanov, posledično pa je izdelava presoje učinkov je pri tovrstnih projektih nujna.

Kaj je DPIA?

DPIA je uvedena s Splošno uredbo o varstvu osebnih podatkov, ki je pričela veljati 25. maja 2018. Zahteva se uvršča v preventivne ukrepe v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev (npr. občine) in obdelovalcev podatkov (npr. razvijalca IT rešitve). Za lažje razumevanje določb glede obveznosti izdelavi DPIA, so pomembne Smernice IP, v katerih je zapisano, da se DPIA izdela,  ko gre za projekte digitalizacije in uvajanje novih tehnologij, pri katerih prihaja do obdelave osebnih podatkov,  med drugim tudi za primere obdelave s pomočjo umetne inteligence, inteligentne videoanalitike, e-uprave (ali podobnih portalov na občinski ravni), obdelava geolokacijskih podatkov in podobno.

Za določene vrste novih digitalnih rešitev je DPIA obvezna. V primeru da ne bo narejena, bo to pomenilo kršitev določil GDPR, za kar bo lahko izrečena globa. Vendar tudi v primeru, ko ta ni obvezna, je priporočljivo, da se izdela. To orodje nam namreč pomaga preprečiti napake in izpolniti vse zahteve zakonodaje o varstvu osebnih podatkov.

Kaj vsebuje DPIA?

DPIA vsebuje sistematičen opis dejanj in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si upravljavci prizadevajo; oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen; oceno tveganj za posameznike, na katere se nanašajo osebni podatki; ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

Za izdelavo končne DPIA je odgovoren vodja projekta (naročnik oziroma tisti, ki je upravljavec osebnih podatkov – npr. občina), pri pripravi pa ima ključno vlogo tudi zunanji izvajalec (razvijalec in obdelovalec osebnih podatkov).

Kakšna je vloga razvijalcev (informatikov)?

Poznavanje določil GDPR in zahtev DPIA je ključno že v fazi razvoja, zato je pomembno, da vodja projektov zahteva od razvijalcev tehnoloških rešitev, da se v zgodnji fazi vključijo v izdelavo DPIA. Gre za dokument, ki dejansko »živi« in se »razvija« od začetka (načrtovanje) do konca (implementacija), zato je nujno, da so tudi informatiki ustrezno usposobljeni in pripravljeni za pripravo prvih osnutkov tega dokumenta.

Če menite, da na tem področju nimate dovolj znanja, se obrnite na izkušene svetovalce s področja varstva osebnih podatkov  – podjetje Dataofficer d.o.o. Dobite jih na telefonski številki 386 41 314 400, lahko jim pišete (info@dataofficer.si) ali obiščete spletno stran www. dataofficer.si. Priporočamo, da se udeležite tudi njihovega usposabljanja, ki se prične 4. aprila, več informacij dobite na: bit.ly/e-ucilnica (P.R.)


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Dataofficer.
Vas zanima več iz te teme?
varstvo podatkov

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

MVM SERVIS d.o.o.

Na trgu 28, 3330 Mozirje, Tel: 031 611 116
MVM SERVIS, spletne in grafične storitve, d. o. o. je podjetje, specializirano za celovito ponudbo kreativnih grafičnih rešitev na ključ. Od konkurence jih ločuje popolnoma lastna ... Več
Zlati partner

TEKSEL d.o.o.

Tržaška cesta 132, 1000 Ljubljana, Tel: 01 620 77 25
Skoraj vsak mora vsebino, namen in vrednost svojega dela sporočiti strankam, obiskovalcem ali sodelavcem. Multimedijska oprema z integriranimi avdio in video funkcijami pomaga širiti ... Več

BILAZ d.o.o.

Sedejeva ulica 8, 5000 Nova Gorica, Tel: 05 333 19 00
Ponudba kakovostnih storitev s kvalitetnimi materiali in "brand name" računalniškimi blagovnimi znamkami jih uvršča v sam vrh tovrstnih ponudnikov. Cenovna politika podjetja je ... Več

OBLIKOVANJE.COM

Slovenska ulica 25, 9000 Murska Sobota, Tel: 02 522 14 21
Podjetje Oblikovanje.com je v slovenskem računalniškem prostoru prisotno že od samega začetka. Z več kot 20 leti izkušenj ter s strategijo kakovostnega poslovanja in storitev ... Več