Zaščita osebnih podatkov je trajnostna naloga

Feb 11, 2019
4 min branje

Revija Direktor objavlja tudi tiskane
članke, ki so dostopni našim naročnikom.

Revija Direktor objavlja tudi tiskane
članke, ki so dostopni našim naročnikom.

Info hiša d. o. o. je družba, specializirana za vsa vprašanja s področja varstva osebnih podatkov po Splošni uredbi o varstvu podatkov (GDPR). Ekipo sestavljajo nekdanji sodelavci Informacijskega pooblaščenca z več kot desetletnimi izkušnjami s področja varstva osebnih podatkov na slovenskih in evropskih tleh, tudi kot twinning in TAIEX eksperti EU. Svetujejo in izobražujejo največja slovenska podjetja in organe javnega sektorja ter delujejo kot zunanji svetovalci in kot pooblaščena oseba za varstvo podatkov (DPO). Info hiša je bila ustanovljena z namenom ponuditi upravljavcem pomoč pri implementaciji zahtev GDPR in jim pokazati najkrajšo (čeprav morda ne najlažjo) pot do skladnosti z GDPR, brez odvečnega teoretiziranja ter s konkretnimi in praktičnimi rešitvami, ki jih zelo dobro poznajo. Moto Info hiše je trajnostna skrb za področje varstva osebnih podatkov v podjetjih.

 

Naš sogovornik je bil Klemen Kraigher Mišič, direktor podjetja.

 

Če se najprej dotakneva aktualnih dogodkov v zvezi z napako v eni izmed večjih slovenskih komercialnih bank: banka je namreč okoli 200 strankam posredovala napačen letni izpis stanja z vrednostnimi papirji na zadnji dan minulega leta oziroma podatke tretjih oseb, ki so prav tako njene stranke. Kaj je, po vašem mnenju, v tem in podobnih primerih najpogostejša šibka točka sistema, kaj pa človeška napaka?

Večji upravljavci, predvsem v zasebnem sektorju, relativno dobro postavijo celotno IT-infrastrukturo. Vendar je še vedno človek tisti, ki na koncu pritisne tipko Enter ali klikne z miško na gumb OK. In prav v tem delu večina upravljavcev »pogori« pri zavarovanju osebnih podatkov oziroma varnosti obdelave, kot to področje poimenuje GDPR. Če organizacija vloži ogromna finančna sredstva v IT-infrastrukturo, pozabi pa na izobraževanje zaposlenih, na neki način celoten vložek (lahko) vrže skozi okno. Večina zaposlenih sploh ne ve, da v organizacijah obstaja pravilnik o varnosti obdelave osebnih podatkov, kaj šele, da bi poznali njegovo vsebino. Zgolj predvidevam, da je do tega, ob morebitni odsotnosti skrbnosti pri pošiljanju, prišlo tudi v tem primeru.
 

Kaj pa komunikacija med posameznimi oddelki znotraj banke – med službo za obveščanje komitentov in borzno hišo?

Glede na to, da kar nekaj slovenskih vodstev po moji oceni še vedno deluje precej avtoritarno, se kot posledica hitro pokaže strah pred izražanjem mnenja, vsak bolj skrbi zase in za svoje potrebe, zaradi tega se hitro pokaže pomanjkanje komunikacije. Brez ustrezne komunikacije pa seveda hitro pride do napak, lahko pa tudi do namernih zlorab. Primeri »uhajanja« podatkov in kraje podatkov na strani nekdanjih zaposlenih niso redkost.
 

Kako torej minimizirati možnost tovrstnih incidentov?

Kot rečeno, na prvem mestu je izobraževanje zaposlenih, saj so prav ti »prva obrambna linija« pred vdori, grožnjami od zunaj, pa tudi znotraj posamične organizacije. Hkrati so največkrat tudi najšibkejši člen. Moramo se zavedati, da število raznih vdorov pravzaprav eksponentno narašča, zavedanje o kibernetskih napadih pa je – ne le v Sloveniji, temveč v celotni Evropski uniji – zelo slabo. Z zanimanjem pričakujemo, kaj bo prinesel prihajajoči ZVOP-2 (novi Zakon o varstvu osebnih podatkov). Če bo ostal v takšni obliki, kot mi jo je nazadnje uspelo prebrati v obliki predloga, se lahko zgodi, da bo zakon rušil temelje GDPR in uvajal rešitve, ki so – strokovno gledano – neskladne z GDPR. To bo za trg pomenilo, da se bo moral ponovno prilagajati na novo zakonodajo, kasneje – ko bo Evropska komisija ugotovila neskladje zakona z GDPR – pa sledi ponovno privajanje nazaj na določila GDPR.
 

Kje najpogosteje prihaja do težav na tem področju v slovenskih podjetjih in zakaj?

V Sloveniji je podobna logika, kot je sicer na Balkanu: »Če ni globe, ne delamo nič.« Vendar se podjetja ne zavedajo, da namen varnosti obdelave ni v tem, da ne prejmejo globe, ampak v samem varovanju informacij. Če v določenem podjetju pride do večjega vdora, bo podjetje nedvomno pristalo v časopisih; posamezniki, katerih osebni podatki so bili zlorabljeni, pa verjetno tudi ne bodo najboljše volje. Podjetje se lahko sooči s konkretnimi finančnimi posledicami (GDPR kot najvišjo globo postavlja 4 % letnega prometa podjetja na globalni ravni ali 20.000.000 EUR).

Začne se že pri ugotavljanju, katere osebne podatke podjetje pravzaprav obdeluje in kje so ti osebni podatki. Večje, kot je podjetje, bolj so osebni podatki razpršeni in težje jih je »poloviti« in urediti.

Če ima na primer podjetje ogromno količino posebnih vrst osebnih podatkov (pred GDPR smo jim rekli občutljivi osebni podatki, na primer zdravstveno stanje), in je to njihova temeljna dejavnost (npr. bolnišnice), hitro pridemo do zahteve, da morajo ti upravljavci zagotavljati najvišje standarde varnosti obdelave, kar pa pogosto pomeni tudi nakup precej drage računalniške opreme, da lahko recimo zagotovijo avtentičnost revizijske sledi.
 

Javni sektor ima, tudi zaradi obsega različnih dejavnosti in ogromne količine zbranih podatkov, svoje posebnosti. Ali množica podatkov nujno nosi s seboj tudi večje tveganje?

Javni sektor je res zgodba zase. Pri tem imam v mislih predvsem varčevanje v javnem sektorju, saj pooblaščenih oseb velikokrat ne napotijo na ustrezno izobraževanje za pridobitev dodatne kvalifikacije, s čimer organi v javnem sektorju kršijo GDPR, ki izrecno zahteva strokovnost te osebe. Večje organizacije niso nujno tudi bolj izpostavljene tveganjem – prej bi rekel obratno. Večje organizacije imajo delovne procese bolj strukturirane in delovne naloge zaposlenih bolj natančno določene, zato je tveganj za sistemske napake manj, ukrepe za varnost osebnih podatkov pa je enostavneje integrirati. Podobno je z večjo količino podatkov – organizacije, tudi manjše, ki obdelujejo večjo količino podatkov, imajo večje zavedanje o njihovi vrednosti, zato zanje bolj skrbijo. Zavedati se je treba, da tudi drage IT-sisteme na koncu uporabljajo ljudje in če ti ne vedo, kako ravnati s podatki in IT-opremo, nismo naredili dovolj. Zato je treba vlagati v ljudi, njihovo ozaveščenost in znanje ter istočasno skrbeti za ustrezno komunikacijo med vsemi deležniki.

Pravni viri za področje zaščite osebnih podatkov:
  • 38. člen Ustave Republike Slovenije;
  • Splošna uredba EU o varstvu osebnih podatkov (GDPR);
  • Zakon o varstvu osebnih podatkov (ZVOP-1) v delih, kjer ta še velja;
  • področna zakonodaja, ki velja za večino podjetij (Zakon o elektronskih komunikacijah (ZEKom-1), Zakon o delovnih razmerjih (ZDR-1); Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV);
  • področna zakonodaja, ki velja za posamezno organizacijo.

DELI:

Share on facebook
Share on linkedin
Share on twitter

Novice Revije Direktor

Pridobite brezplačen dostop do najpomembnejših novic, poslanih na vašo e-pošto