Varstvo osebnih podatkov spet v središču
Svetovna banka je globalni podatkovni promet v letu 2020 ocenila na tri zetabajte, kar je primerljivo s sto tisoč gigabajti na sekundo, lani naj bi bile količine že za 50 odstotkov večje. Še veliko hitreje se povečujejo prenosi prek mobilnih naprav, – v dveh letih so se količine podvojile, kažejo raziskave –, hkrati se povečuje zavedanje o pomembnosti varstva osebnih podatkov.
Pravila na tem področju je leta 2018 na evropski ravni poenotila Splošna uredba o varstvu podatkov (GDPR). O izkušnjah in novem zakonu o varstvu osebnih podatkov (ZVOP-2), ki uredbo v celoti vgrajuje v slovenski pravni red, smo se pogovarjali z Bojano Pleterski, direktorico Info hiše, kjer so specializirani za varstvo osebnih podatkov in varovanje informacij.
Ob uveljavljanju uredbe GDPR v slovenski pravni red leta 2018 je bilo tej tematiki namenjene veliko pozornosti. Kako ocenjujete stanje na tem področju v organizacijah in pri posameznikih?
Pred petimi leti, ko smo uveljavljali GDPR, smo res imeli velik zagon. Takrat so se nekatere organizacije prvič poglobljeno ukvarjale z vprašanjem varstva osebnih podatkov, vse pa so naredile vsaj prve korake na tem področju. Zagon je v tem času malo pošel, predvsem zato, ker dolgo ni bil sprejet ZVOP-2 in ni bilo podlage za kaznovanje kršiteljev. V tem času smo napredovali, vendar ne tako hitro, kot bi, če bi imeli zakon.
So pa razlike med organizacijami. Nekatere so bile že pred začetkom veljavnosti GDPR zelo skrbne in so z manjšimi ukrepi lahko uredile poslovanje skladno z uredbo, na drugi strani pa so predvsem med manjšimi in srednje velikimi še danes takšne, ki še niso zagrizle v to jabolko. Razvoj poslovanja, ki je vse bolj digitalen, pripomore k temu, da smo pri ravnanju s podatki vse bolj skrbni, pričakujem pa tudi, da bo uveljavitev ZVOP-2 dal nov pospešek organizacijam. Posamezniki kot lastniki osebnih podatkov pa smo v zadnjih letih postali skrbnejši, priznam pa, da sem pričakovala večji preboj. Premalo poznamo pravice in jih tudi redko zahtevamo.
Kako je na uresničevanje GDPR vplivala pandemija?
Kot pooblaščena oseba za varstvo podatkov (DPO) sem to kar občutila. Fizični stik s sodelavci je bil omejen in pregovor, da ko si daleč od oči, si tudi daleč od skrbi, se je potrdil. Marsikatera organizacija je morala čim hitreje prenesti vsaj del poslovanja na splet in v teh okoliščinah niso veliko razmišljale o varnosti podatkov, načrtovale so, da bodo to področje uredile pozneje. V takšnih okoliščinah se hitro pripetijo napake, marsikatero rešitev je bilo treba prilagoditi, da je zadostila zahtevam GDPR. Nanašale so se predvsem na zbiranje in obdelavo osebnih podatkov, za kar morajo organizacije vedeti, na kateri pravni podlagi jih izvajajo.
Katera ključna pravila zbiranja in obdelave osebnih podatkov morajo zdaj poznati organizacije?
Prvo pravilo je vedno, da organizacija ve, katere obdelave izvaja, da ima narejen popis obdelav. Za vsako mora vedeti, na podlagi katere pravne podlage jo izvaja. Vprašati se je treba, čigave podatke obdelujejo in kdo so uporabniki, ter poskrbeti za ustrezno varnost obdelav. Za občutljive obdelave je treba najprej izdelati oceno tveganja za varstvo osebnih podatkov. Obvezno je treba voditi evidenco dejavnosti obdelav.
Če se zgodi incident, se vprašamo, kako je vplival na posameznike, in se odločimo, ali jih je o tem treba obvestiti oziroma ali je o tem treba obvestiti informacijskega pooblaščenca. Torej, glavna področja so, da zagotovimo zakonitost obdelav osebnih podatkov in da pri tem skrbimo za varnost ter spoštujemo vsa druga načela. Zelo pomembno je načelo minimizacije: vedno se vprašamo, ali res potrebujemo vse podatke, ki jih zbiramo. Kajti: več ko jih imamo, večjo odgovornost imamo.
Katere so zdaj najbolj pereče teme in področja varstva osebnih podatkov?
Organizacije v politikah zasebnosti še vedno premalo jasno navajajo, katere podatke uporabljajo in za kakšen namen, veliko je zavajajočih metod za pridobivanje privolitev in podobno, ne razumejo še dobro koncepta skupnega upravljanja. Kadar podatke zbirajo na pravni podlagi, imenovani zakoniti interes, velikokrat manjka ocena tehtanja, tako imenovani LIA (ang. Legitimate interest assessment), v zadnjem času organizacije pogosteje iščejo informacije o tem, kako narediti oceno tveganja za varstvo osebnih podatkov (DPIA).
Vezano na ZVOP-2 se pojavljajo vprašanja, kdaj morajo organizacije voditi dnevnik obdelav, zakon je uvedel tudi novo kategorijo obdelav osebnih podatkov, tako imenovane posebne obdelave, ki so za državo pomembnejše, pri katerih je treba še dodatno poskrbeti za varstvo. Med področji, ki jih je zakon na novo uredil, je videonadzor na javnih površinah, ki prinaša velike izzive. Prepovedana je uporaba tehnologij za branje registrskih tablic, kar pomeni, da imajo upravljavci parkirišč, namenjenih javni uporabi, ki so v preteklosti investirali v odpiranje zapornic na podlagi odčitavanja registrskih tablic, zdaj velike težave.
Kakšne nove možnosti in tudi izzive varstva osebnih podatkov prinašajo digitalizacija, nove tehnologije, umetna inteligenca?
Digitalizacije seveda ni brez obdelave osebnih podatkov in tako za nas kot uporabnike kot za organizacije je to dobrodošlo, saj nam marsikaj olajša. Moramo pa se zavedati obdelav osebnih podatkov in biti transparentni glede tega ter skrbeti za varnost teh podatkov. Z novimi tehnologijami in umetno inteligenco je obdelav še več, nadzora pa manj. Največji problem je, da ne poznamo tako dobro procesov obdelav. Zelo pomembno je, da so ljudje, ki so odgovorni za te procese obdelav, informacijsko dobro pismeni in da poznajo in razumejo procese, ki se pri tem dogajajo. Samo tako lahko posameznikom, katerih podatke obdelujejo, to tudi na razumljiv način pojasnijo.
Ob uvajanju GDPR so v Eurojustu napovedovali spremembo vloge poklica pooblaščene osebe za varstvo podatkov (DPO), močno se je povečalo zanimanje za pridobitev certifikata. Kako se je oblikoval ta poklicni profil?
Leta 2018 v Sloveniji ni bilo veliko kadrov z znanjem na tem področju. V nekaterih organizacijah so imeli zaposlene, ki so bili zadolženi za obdelavo podatkov in ti so se tudi izobraževali na področju varstva osebnih podatkov. Z GDPR se je potreba po kadrih z znanji s tega področja zelo povečala in priložnost za karierno pot so prepoznavali različni profili: pravniki, ki so se v podjetjih ukvarjali z varstvom osebnih podatkov, tisti, ki so skrbeli za obdelave, in strokovnjaki s področja IT. Poklic se je v petih letih lepo razvil.
Poklic pooblaščene osebe za varstvo podatkov je zanimiv za tiste, ki se radi spopadajo z izzivi in iščejo rešitve.
V tem času se je pokazalo, kako pomembno je, da kot pooblaščena oseba za varstvo podatkov obvladaš zakonodajo, poznaš procese, ki potekajo pri obdelavah podatkov in imaš znanja s področja informacijske varnosti. Pri izvajanju izobraževanj za pridobitev certifikata DPO opažamo, da je zanimanja vse več, seveda pa se s pridobitvijo certifikata učenje ne konča. Udeleženci izobraževanj med seboj navežejo dragocene stike, saj si kot DPO v podjetju nekakšen osamelec, nikogar nimaš, s katerim bi se lahko na tej ravni pogovarjal o izzivih in iskal rešitve, zato je zelo pomembno povezovanje s kolegi zunaj organizacije.
Z Uradnim listom aprila organizirate konferenco o pravu zasebnosti in varovanju informacij. Kaj je namen in kateri bodo ključni poudarki?
Namen je deliti znanje in izkušnje DPO. Program je mešanica teorije in praktičnih izkušenj, mednarodna konferenca je priložnost, da si DPO izmenjamo informacije o izzivih, s katerimi se srečujemo, katere so pereče teme, ki nas obremenjujejo in da se povezujemo med seboj. Mreženje je zaradi narave našega poklica velikega pomena, zato je dogodek pomemben tudi, ker ponuja priložnost za povezovanje vseh udeležencev in tudi članov našega kluba DPO.
Vsebinsko bo tokrat poudarek na spremembah in izzivih, ki jih prinaša ZVOP-2, dotaknili se bomo velikih baz podatkov državnega pomena, odprli bomo vprašanje organizacije varovanja osebnih podatkov z vidika procesa dela, pogovarjali se bomo o tem, ali je skrb za varstvo osebnih podatkov lahko konkurenčna prednost podjetja, ali lahko v svoje delo uvedemo principe mediacije, komentirali zakon o zaščiti žvižgačev, zelo zanimiv bo panel na temo informacijske varnosti in novih tehnologij ter umetne inteligence.
