Varstvo osebnih podatkov v praksi

Skladnost ne pomeni zgolj izpolnjevanje zahtev zakonodaje in pravilnikov, še manj je skladnost sama sebi namen. Pomaga nam implementirati varne rešitve, preprečiti kršitve ali omejiti grožnje varnosti podatkov, ki so vse pogostejše.

Uspešnega poslovanja si dandanes praktično ne moremo predstavljati brez optimizacije poslovnih procesov, kar je mogoče le z uvajanjem inovativnih poslovnih rešitev. Naj gre za lastno razvite aplikacije ali za sisteme zunanjih ponudnikov, razvoj in implementacija morata temeljiti na načelih privzete in vgrajene varnosti (t.i. »Privacy by design/by default«). Ne glede na dejanske funkcionalnosti sistemov mora biti varstvo osebnih podatkov ključen vidik aplikacij že od faze načrtovanja naprej. Le z doslednim nadzorom razvoja in uvajanja poslovnih rešitev lahko podjetje doseže skladnost z vso področno zakonodajo. Nikakor pa to ne pomeni, da je rešitev brez tveganj, saj vsak sistem, v katerem se izvaja obdelava osebnih podatkov, s seboj privzeto prinaša tveganje tako za pravice in svoboščine posameznikov, katerih podatki se obdelujejo kot tudi za upravljavce teh sistemov.

Vzpostavitev skladnosti

Za pomoč pri vzpostavljanju skladnosti za mala in srednja podjetja, ki so omejena z resursi, je Evropski odbor za varstvo podatkov (EDPB) pripravil Vodnik po varstvu podatkov za mala podjetja, dostopen na naslovu www.edpb.europa.eu/sme-data-protection-guide/home_sl. Navkljub imenu in prvotnemu namenu je vodnik odličen vir za vzpostavitev skladnosti tudi za večja podjetja, saj vključuje tako osnovne koncepte in pravila varstva osebnih podatkov kot tudi navodila, kako se v praksi soočiti z izzivi, povezanimi z varstvom podatkov.

Eni izmed najbolj pogostih izzivov, s katerimi se srečujejo vsa podjetja, so kršitve varnosti podatkov, katerih posledice lahko pomembno vplivajo tako na podjetje kot tudi na posameznike, katerih podatki so bili ogroženi. Obravnava teh kršitev je zahtevna tako iz tehničnega vidika kot tudi iz vidika skladnosti z zakonodajnimi določili in obveznostmi upravljavca. Vodič EDPB v preprosti grafiki prikaže, katera so ključna vprašanja, na katera je potrebno odgovoriti ob kršitvi varnosti podatkov, ter kateri so obvezni ukrepi, ki jih v zvezi s kršitvijo varnosti podatkov predpisuje zakonodaja. Podrobnosti so predstavljene na sliki.

Seveda so v grafiki predstavljeni le minimalni zahtevani ukrepi, s katerimi podjetja zagotovijo, da kršitev varnosti podatkov ne bo takoj sprožila alarmov pri pristojnem nadzornem organu. Celovita obravnava kršitve varnosti namreč zahteva bistveno bolj natančen pregled celotnega poteka kršitve in morebitnih posledic.

Dobre prakse varstva osebnih podatkov

Osnove zakonodajne skladnosti na področju varstva osebnih podatkov je mogoče doseči z dosledno implementacijo priporočil EDPB in drugih nadzornih organov. V praksi se je izkazalo, da je vsak proces obdelave podatkov zgodba zase, prav tako se med seboj bistveno razlikujejo posamezne kršitve varnosti podatkov in njihova obravnava. Vzpostavljeno prakso in dejanske primere ustreznega odziva na kršitve varnosti podatkov in druge izzive področja bodo na 11. konferenci Privacy Days, ki jo organizirata Info Hiša in Akademija Finance, predstavili strokovnjaki, ki se s področjem aktivno ukvarjajo. Na konferenco se prijavite na privacy-days.com. (P.R.)