IZZIVI IMPLEMENTACIJE UREDBE (EU) 2016/679 PRI UPORABNIKIH MOBILNIH NAPRAV

Transkripcija

1 Domen Hribar IZZIVI IMPLEMENTACIJE UREDBE (EU) 2016/679 PRI UPORABNIKIH MOBILNIH NAPRAV Magistrsko delo Ljubljana, maj 2018

2 IZZIVI IMPLEMENTACIJE UREDBE (EU) 2016/679 PRI UPORABNIKIH MOBILNIH NAPRAV Magistrsko delo Študent: Študijski program: Mentor: Somentor: Lektor(ica): Domen Hribar Magistrski študijski program Varstvoslovje doc. dr. Blaž Markelj doc. dr. Miha Dvojmoč Katja Vidmar

3 Zahvala Najlepša hvala vsem, ki so doprinesli k realizaciji magistrskega dela. Delo je nastalo v sodelovanju in s pomočjo posameznikov, ki jim na tem mestu izražam globoko hvaležnost. I

4 Izzivi implementacije uredbe (EU) 2016/679 pri uporabnikih mobilnih naprav Ključne besede: Osebni podatki, mobilne naprave, evropska uredba, informacijska varnost. Povzetek Evropska uredba 2016/679 s priljubljeno kratico GDPR postavlja nova merila varstva osebnih podatkov. Zaključno delo je usmerjeno v spremembe, ki jih dotična uredba prinaša. Teoretični okvir združi novo zakonodajo in tehnologijo. Spremembe predstavljajo problematiko določenim organizacijam, zato so podrobneje opisane in razčlenjene, predvsem tiste z največjim vplivom na mobilne naprave. Naloga se posebej usmerja v uporabnike mobilnih naprav, ki naprave uporabljajo v poslovne namene. Obdelava osebnih podatkov na mobilnih napravah je podrobno opisana v drugem delu teoretičnega okvirja, kjer je opisana tudi problematika in tveganja. Zadnji del je namenjen organizacijskim in tehničnim rešitvam, s katerimi se ob pravilni implementaciji organizacija izogne nepotrebnim izgubam. Raziskovalni del magistrskega dela predstavlja vpogled v izzive, predvsem tiste, s katerimi se organizacije soočajo med implementacijo uredbe v svoj poslovni prostor. Analiza intervjujev slovenskih organizacij poda realnejši prikaz spreminjajočega področja. Poseben poudarek je na aktivnostih, ki jih organizacije izvajajo za uspešno skladnost z novo uredbo. Poleg tega izpostavlja način shranjevanja podatkov, dosedanje varnostne ukrepe, dostopnost mobilnih naprav do podatkov, varnostne incidente. Hkrati poudarja izobraževanja zaposlenih in spreminjanje internih pravilnikov. Vse omenjeno pripomore k vpogledu v trenutno stanje in aktivnosti v prihodnosti. Povezava teoretičnega in raziskovalnega dela omogoča podajanje predlogov. Predlogi so usmerjeni v zavedanje in pravilno ravnanje, kot tudi v izogibanje neskladnosti. II

5 Implementation challenges of regulation (EU) 2016/679 in the case of mobile device users Keywords: Personal data, mobile device, european regulation, information secruity. Abstract GDPR is a popular acronym for the European regulation 2016/679 which is setting new criteria for the protection of personal data. The upcoming changes of the regulation are the main focus of the thesis, especially those that have an impact on mobile devices. The literature review is targeted towards new legislation and technology. Organizations find those changes challenging. Therefore, they are broken down and described in more detail. The thesis is directed towards organizations that use mobile devices for conducting business. Thus, the processing of personal data on mobile devices is more deeply described in part two of the literature review, next to certain issues and risks. The last part of the review is focused on different solutions, both technical and organizational. Implementation of those solutions can help organizations minimize unnecessary loss. The empirical part of the master s thesis is showing how organizations tackle changes of the regulation in their corporate environment. A clearer demonstration is given by analysing interviews of different Slovenian organizations. Emphasising on compliance with the regulation. Furthermore focusing on data handling and accessibility, security measures, different security incidents. Moreover on employee training and development, renewed internal acts. This gives an insight to the current state and activities in the future. Both the literature review and the empirical part contributes to different suggestions. Predominantly on awareness and data handling, for avoiding non-compliance. III

6 Kazalo vsebine 1 Uvod Raziskovalna vprašanja Uporabljene metode Opredelitev temeljnih pojmov povezanih z varstvom osebnih podatkov Trenutno stanje in spremembe na področju varstva osebnih podatkov Spremembe na področju varstva osebnih podatkov Novosti za fizične osebe Novosti za upravljavce in obdelovalce: Sankcije po uredbi (EU) 2016/ »Pravica do pozabe« Uradno obveščanje o kršitvi varstva podatkov Vgrajeno in privzeto varstvo podatkov Pooblaščena oseba za varstvo podatkov Ocena učinka Uredba (EU) 2016/679 in mobilne naprave v organizacijah Obdelava osebnih podatkov na mobilnih napravah v organizacijah Mobilne naprave in problematika sprememb uredbe (EU) 2016/ Tveganja in mobilne naprave Spremembe in tveganja za mobilne naprave Varnostne rešitve Kombinacija organizacijskih in tehničnih rešitev glede na tvegana Metode Raziskava Intervju predstavnika informacijskega pooblaščenca Intervju organizacij IV

7 8 Razprava Odgovori na raziskovalna vprašanja Zaključek Viri in literatura V

8 Kazalo slik Slika 5.1: Identificirane spremembe uredbe (EU) 679/2016 in njihov vpliv na identificirana tveganja VI

9 Uporabljeni simboli in kratice DPO BYOD VPN IKT ang. data protection officer slo. pooblaščena oseba za varstvo osebnih podatkov ang. bring your own device slo. prinesi lastno napravo ang. virtual private network slo. navidezno zasebno omrežje informacijsko komunikacijska tehnologija VII

10 1 Uvod Pravica do zasebnosti je med drugim ključ pri ohranjanju človekovega dostojanstva in svobode izražanja v sodobni demokratični družbi (Romanou, 2018). Varstvo osebnih podatkov je zato v Republiki Sloveniji urejeno na visoki ravni (Informacijski pooblaščenec, 2017a; Ministrstvo za pravosodje, 2017). Vsaka informacija, ki je poslana preko elektronsko komunikacijske naprave ali po konvencionalnih kanalih, uživa neko stopnjo zaščite (Ustava Republike Slovenije, 1991, 1997, 2000, 2003, 2004, 2006, 2013, 2016). Prav tako je prepovedan vsak nepooblaščen poseg v informacije ali podatke. Področje podrobneje ureja Zakon o varstvu osebnih podatkov (2004, 2005, 2007) na podlagi Ustave RS (1991, 1997, 2000, 2003, 2004, 2006, 2013, 2016) in evropske Direktive 95/46/ES o varstvu osebnih podatkov (Informacijski pooblaščenec, n. d. b). Zakonodaja ne dohaja sodobnega tehnološkega razvoja sveta. Na tej podlagi je evropski parlament in svet sprejel splošno uredbo o varstvu podatkov (Uredba (EU) 2016/679 Evropskega parlamenta in Sveta 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES [Splošna uredba o varstvu podatkov], 2016). Razvoj tehnologije je v zadnjih letih prinesel veliko sprememb v kibernetskem svetu. Spremembe hkrati niso omejene in regulirane na način, ki bi prinašal državljanom pravice, zaupanje in željo po izkoriščanju vseh prednosti, ki jih moderna tehnologija ponuja (Splošna uredba o varstvu podatkov, 2016). Hkrati zasebnost in varstvo osebnih podatkov ne bi smela ovirati razvoja tehnologije (Romanou, 2018). Ključ do uspeha pri gospodarski rasti in ekonomskem razvoju je ravno pri uporabi moderne tehnologije. Posameznik mora biti prepričan, da je uporaba tehnologije varna, zanesljiva in ne dopušča zlorab (Svet Evropske unije, 2012). Z uredbo se želi dokončno urediti vprašanje območja svobode, varnosti in pravic posameznika. Temelj uredbe je, da mora obdelava osebnih podatkov biti v dobrobit ljudem. Glavni cilj zaključnega dela je identificirati glavne izzive, ki jih uredba (2016/679) prinaša za uporabnike mobilnih naprav. Predvsem tiste uporabnike, ki mobilne naprave uporabljajo v poslovne namene. Poleg tega nas zanimajo najbolj primerni organizacijski kot tudi tehnični ukrepi za reševanje danih izzivov. Uredba (2016/679) velja od 25. maja 1

11 2016, uporabljati se jo začne , kar pomeni, da lahko organizacije sprejemajo določene ukrepe pred začetkom uporabe. Pomembno je, da pravila ne ostanejo samo napisana, ampak se jih udejanji. Zato smo z intervjujem strokovnega osebja, ki se aktivno ukvarja z uredbo (2016/ 679), poskušali povezati teorijo in prakso in hkrati ugotoviti, kako se nekatere organizacije spoprijemajo z implementacijo uredbe v svoj poslovni prostor. Predvsem nas je zanimalo, kako je bilo področje urejeno pred uredbo in kako bodo spremembe vplivale na poslovanje v prihodnosti. Delo smo zaključili s predlogi, ki bodo pomagali organizacijam implementirati uredbo v svoj poslovni prostor. 1.1 Raziskovalna vprašanja V zaključnem delu smo si zastavili tri raziskovalna vprašanja: RV1: Ali bodo spremembe, ki jih uredba 2016/679 prinaša, zahtevale vrsto varnostnih rešitev pri uporabnikih mobilnih naprav znotraj organizacij? RV2: Bodo spremembe uredbe 2016/679 otežile upravljanje in obdelavo osebnih podatkov pri uporabnikih mobilnih naprav znotraj organizacij? RV3: So uporabniki mobilnih naprav znotraj organizacij seznanjeni s spremembami, ki jih uredba 2016/679 prinaša? 1.2 Uporabljene metode Teoretični okvir je sestavljen iz pregleda literature. Uporabili smo deskriptivno metodo za opisovanje in komparativno metodo za primerjavo dejstev. Pri tem smo si pomagali z zakonodajo, domačo in tujo literaturo ter različnimi spletnimi viri. Začeli smo s pomembnejšo terminologijo, ozadjem in namenom varstva osebnih podatkov. Nadaljevali smo s pregledom trenutnega stanja na področju varstva osebnih podatkov. Povezali smo staro in novo zakonodajo, predvsem s širšega pogleda. Specifično smo se osredotočili na nove spremembe glede na staro zakonodajo in jih poskušali kritično analizirati z obstoječo literaturo. Vse omenjene spremembe so del sprememb, ki bodo najbolj vplivale na področje varstva osebnih podatkov uporabnikov mobilnih naprav. Zadnji del teoretičnega 2

12 okvirja je namenjen tveganjem, ki jih spremembe prinašajo. Tveganjem bomo pripisali najprimernejše obstoječe ali nove rešitve, ki bodo del rešitev v zadnjem poglavju magistrskega dela. Raziskovalni del je sestavljen iz intervjujev strokovnjakov na področju varstva osebnih podatkov. S pol strukturiranim intervjujem smo pridobili mnenje, ki nam je pomagalo pri povezavi s teorijo, razreševanju raziskovalnih vprašanj in podajanju predlogov. Predvsem nam je podalo realnejšo sliko problematike varstva osebnih podatkov na mobilnih napravah v organizacijah. Izpostavljamo incidente in varnostne luknje, kulturo in ozaveščenost varstva osebnih podatkov zaposlenih, s katerimi se srečujejo organizacije ob novi uredbi in katere ukrepe so že sprejeli. Povezava s teorijo bo v pomoč pri ustvarjanju realnejšega okvirja o stanju na spreminjajočem področju varstva osebnih podatkov. Zaključili bomo s predlogi, ki bodo olajšali implementacijo uredbe v poslovni prostor. 2 Opredelitev temeljnih pojmov povezanih z varstvom osebnih podatkov Razumevanje pojmov, ki so povezani z varstvom osebnih podatkov, je ključno za dojemanje same tematike izzivov implementacije. Med tem ko so nekateri pojmi jasni in nedvoumni, so drugi bolj kompleksni v svoji naravi in s tem zahtevajo daljšo in natančnejšo pojasnjevanje. Vse opisane definicije v dotičnem poglavju so vzete iz Splošne uredbe o varstvu osebnih podatkov (2016), če ni posebej označeno drugače. Osebni podatek pomeni»katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). V literaturi je meja med osebnimi in poslovnimi podatki zamegljena, med tem ko so lahko vsi osebni podatki poslovni, niso vsi poslovni podatki osebni. Podrobnejša razlaga je potrebna zaradi ločitve podatka od osebnega in meja med enim in drugim. Definicija 3

13 osebnega podatka širše razlaga pojem prav zaradi možnosti odkritja nove tehnologije in s tem novih podatkov, ki določajo posameznika. Velik pomen varovanega osebnega podatka ima določljivost posameznika (Informacijski pooblaščenec, 2017b; Bolognini in Bistolfi, 2016). Prav določljivost je tisto, kar podatek opredeli kot varovanega. V primeru, da podatki ne izpolnjujejo definicije, še posebej določljivosti, se za takšne podatke uredba ne uporablja (Article 29 Data Protection Working Party [A29DPWP], 2007). Določljivosti lahko prikažemo na primeru. Imamo osebna podatka ime in priimek. Če dodamo informacijo, da je oseba prebivalec republike Slovenije, bo individualizacija (če ni izjemno redko ime in priimek) težja, kot če rečemo, da je učenec določenega razreda (A29DPWP, 2007). Določljivost je vsekakor odvisna od okoliščin. Moramo poudariti, da se Splošna uredba o varstvu osebnih podatkov (2016) ne uporablja za obdelavo osebnih podatkov fizičnih oseb, ki obdelujejo podatke izključno v osebne namene, kar pa ne izključuje obstoja drugih pravnih aktov, ki prepovedujejo obdelavo določenih osebnih podatkov. Ko govorimo o osebnih podatkih, moramo ločiti osebne podatke, ki so po zakonu varovani, in tiste, ki niso. Če lahko na podlagi podatkov, ki jih imamo, določimo posameznika, potem moramo podatke vsekakor varovati. Ko poskušamo osebo določiti, je potrebno upoštevati veliko dejavnikov. Predvsem je potrebno upoštevati mnenje informacijskega pooblaščenca (2017b), da je treba gledati na določljivost širše in ne zgolj po naših zmožnostih. Torej, če bi informacije delili, ali bi lahko individualizirali osebo? Hkrati je potrebno ločiti psevdonimizacijo in anonimizacijo. Splošna uredba o varstvu osebnih podatkov (2016) predvidi psevdonimizirane podatke kot varovane podatke, saj se bi z dodatnimi informacijami dalo določiti posameznika. Med tem ko anonimizirani podatki ne spadajo pod varovane podatke, to pomeni, da ne veljajo načela varstva osebnih podatkov. Podatki posebnih vrst osebnih podatkov, to so podatki,»ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo (Splošna uredba o varstvu osebnih podatkov, 2016, člen 4)«. 4

14 Obdelava,»pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). Upravljavec,»pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). Obdelovalec,»pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). Kršitev varstva osebnih podatkov,»pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). Biometrični podatki,»pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki«(splošna uredba o varstvu osebnih podatkov, 2016, člen 4). 5

15 3 Trenutno stanje in spremembe na področju varstva osebnih podatkov Direktiva iz leta 1995 ne zadošča sodobnemu digitalnemu času (Prelesnik, 2017). Posodobitev je bila nujna zaradi tehnološkega razvoja, hkrati tudi zaradi globalizacije osebnih podatkov. Potrebna je bila harmonizacija na skupnem trgu in hkrati povečanje pravic posameznika. Posebej poudarja preventivo pri upravljanju z osebnimi podatki. Prvi znaki pripravljanja nove zakonodaje segajo v leto 2009 (Tikkinen-Piri, Rohunen in Markkula, 2018). Leta 2010 je nekdanja evropska komisarka za pravosodje Viviane Reding izpostavila krepitev človekovih pravic na področju varstva osebnih podatkov. Med drugim zaradi porasta nove tehnologije in globalizacije (European Commission, 2010). Cilj uredbe je priti v korak s tehnologijo, povečati pravice posameznika na spletu in povečati ekonomsko rast evropske unije skozi kibernetski prostor (Tikkinen-Piri, Rohunen in Markkula, 2018). Pravica do varstva osebnih podatkov bi v skladu z načelom sorazmernosti morala biti uravnotežena z drugimi temeljnimi pravicami. Predvsem se želi z uredbo povečati pravice posameznika, njihov nadzor nad osebnimi podatki, sam dostop do osebnih podatkov in dvigniti raven varstva osebnih podatkov na celotno območje Evropske unije (Splošna uredba o varstvu podatkov, 2016; Informacijski pooblaščenec, 2017c). Z uredbo se želi modernizirati področje varstva osebnih podatkov. S povečevanjem zahtevnosti varstva osebnih podatkov se hkrati povečuje odgovornost, kar vodi v kompleksnejše izzive pri uveljavljanju uredbe. Slovenija bo tudi v svojo nacionalno zakonodajo vpeljala novi zakon o varstvu osebnih podatkov. Pomembno je razumeti, da Splošna uredba o varstvu osebnih podatkov uvaja enotna pravila za celotno evropsko unijo (Informacijski pooblaščenec, n. d. a). Določene segmente lahko države članice vpeljejo v svojo nacionalno zakonodajo. Slovenija je sicer podala več ugovorov na člene predloga uredbe (Ministrstvo za pravosodje RS [MP RS], 2018). Glavni razlog je, da se standard varstva osebnih podatkov ne bi zmanjšal. Po drugi strani ima uredba v številčnejših delih pomen»direktivnega akta«. Zaradi tega bo lahko Slovenija določene dele uredbe implementirala glede na svoje konkretne okoliščine in trenutnega stanja varstva osebnih podatkov. Tako lahko Slovenija upošteva izkušnje in spoznanja iz prejšnjega zakona. Hkrati pa ohrani dosedanjo stopnjo varnosti. Brajnik in Markovič (n. 6

16 d.) opozarjata na previdnost zakonodajalca, saj lahko pride do odstopanja med evropsko uredbo in nacionalno zakonodajo.»v naraščajoči kibernetski družbi so osebni podatki postali nova oblika valute.«(boston Consulting Group, n. d., str. 4). Irish Computer Society (n. d.) opisuje osebne podatke kot novo črno zlato, ki je dobičkonosno tako za organizacije kot za kriminalna dejanja. Zaupanje je edini način za ohranitev in pretok nove valute (Boston Consulting Group, n. d.; Informacijski pooblaščenec, 2017d). Informacijski pooblaščenec (2017d) nadaljuje, da je uspešnost organizacij odvisna od zaupanja in odgovornega ravnanja s podatki. Zaupanje je hkrati podkrepljeno z nadzorom, tako bodo nekatere organizacije z uvedbo pooblaščene osebe o varstvu osebnih nadzorovale same sebe (Tikkinen-Piri, Rohunen in Markkula, 2018). Eden od vidikov varstva osebnih podatkov opisuje Dewar (2017), ki zagovarja, da je ljudem pomembno varstvo osebnih podatkov in izguba prav teh ima lahko velik vpliv na zaupanje v organizacijo. Poleg tega avtor navaja razlog za sprejem uredbe kot enostransko izkoriščanje podatkov s strani organizacij. Organizacije lahko analizirajo in služijo od podatkov, ki jih pridobijo od posameznikov. Posameznik je tisti, ki nima koristi v tej transakciji. Nesorazmerje se bo z novo uredbo zmanjšalo. Avtorjeva izjava o enosmerni transakciji je le delno pravilna. Posameznik v določenih primerih izkorišča storitve, ki jih neka organizacija ponuja, lahko tudi zastonj. Ta v zameno»izkorišča«ali trguje z zbranimi podatki. Na tem mestu pravice posameznika prevladajo nad preprosto razlago o koristi osebnih podatkov. 3.1 Spremembe na področju varstva osebnih podatkov Spremembe na področju varstva osebnih podatkov lahko razdelimo po modelu informacijskega pooblaščenca (2017c). Prvi del so novosti povezane s fizičnimi osebami, drugi del so novosti za upravljavce in obdelovalce. Spremembe pri fizičnih osebah omenjamo, ker nove pravice posameznika postane dolžnost upravljavca Novosti za fizične osebe večji nadzor in učinkovito izvajanje nadzora, 7

17 lažji dostop do lastnih osebnih podatkov, pravica do pozabe, pravica vedeti, kako dolgo se hranijo osebni podatki, pravica do prenosljivosti osebnih podatkov, pravica do pravnega sredstva in sankcije, posameznik ne sme biti podvržen ukrepom, ki izhajajo zgolj iz profiliranja, analize ali predvidevanj z uporabo avtomatiziranih sredstev obdelave (Informacijski pooblaščenec, 2017c). Med spremembami je veliko takih, ki jih sedanja zakonodaja do neke mere že pozna. Nekatere spremembe so zgolj bolj okrepljena verzija starih. Za organizacije, ki uporabljajo mobilne naprave v poslovne namene, je najpomembnejše naslednje: pravica do pozabe. Spremembe, ki jih ne bomo uporabili pri skupku sprememb na področju pravic posameznikov, so vse ostale, razen prej omenjene Novosti za upravljavce in obdelovalce: zbiranje osebnih podatkov na podlagi privolitve soglasja mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva; način za preklic privolitve mora biti enako enostaven kot podaja privolitve; upravljavci morajo upoštevati načeli vgrajenega in privzetega varstva osebnih podatkov; upravljavci morajo posamezniku zagotoviti pregledne in enostavno dostopne informacije o obdelavi njegovih podatkov; obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov, imenovanje pooblaščene osebe za varstvo podatkov, evidenca obdelave, predhodne ocene učinka (Informacijski pooblaščenec, 2017c). Enako je pri novostih za upravljavce in obdelovalce. Predvsem so pomembne naslednje novosti; načelo vgrajenega in privzetega varstva osebnih podatkov, obveščanje o kršitvah varstva osebnih podatkov, ocena učinka in pooblaščena oseba za varstvo osebnih podatkov. Izjemno pomembnost imajo tudi sankcije. Sankcije niso novost pri varstvu 8

18 osebnih podatkov. Vpeljava večjih sankcij za kršitelje po Splošni uredbi o varstvu osebnih podatkov (2016) jih spremeni do te mere, da je obravnava ključna, saj se morajo organizacije zavedati posledic ne skladnosti. Pomembno je, da argumentiramo, zakaj določenih novosti ne bomo obravnavali. Poleg tega, da niso sorazmerne ekvivalentne v svoji teži, določene novosti hkrati nimajo enakega vpliva na organizacije, ki uporabljajo mobilne naprave v poslovne namene. Hkrati lahko z enimi novostmi rešimo problematiko drugih. Primer učinkovitega udejanjenja»načela najmanjšega obsega«olajša pravico do pozabe in omogoča lažje uresničevanje dostopa do lastnih osebnih podatkov. S tem, ko smo pripravljeni na uresničevanje pravice do pozabe, lahko hkrati zagotovimo vrsto drugih pravic posameznika, kot so: lažji dostop do lastnih osebnih podatkov; pravica vedeti, kako dolgo se hranijo osebnih podatki; pregleden in enostaven dostop do informacij o obdelavi podatkov posameznika, predvsem zaradi zavedanja, kje so podatki shranjeni. Idealno uresničevanje načel vgrajenega in privzetega varstva osebnih podatkov olajša uradno obveščanje o kršitvi varstva osebnih podatkov. Predvsem zato, ker imamo postavljene določene organizacijske ukrepe, ki omogočajo zaznavo in sporočanje. Zanima nas, kako se bodo organizacije spopadle z določenimi novostmi in ne, ali bodo posamezniku zagotovljene pravice. Čeprav sta vidika povezana, je zaključno delo usmerjeno v točno določen vidik. Pravice posameznika, dolžnosti upravljavcev in obdelovalcev, ki niso podrobneje opisane, je vseeno treba spoštovati. 3.2 Sankcije po uredbi (EU) 2016/679 Splošna uredba o varstvu osebnih podatkov (2016) v 83. členu narekuje, da je nadzorni organ zadolžen za naložbo upravne globe, če se kršijo določeni odstavki uredbe. Vlogo nadzornega organa bo imel v Sloveniji informacijski pooblaščenec (MP RS, 2018). Ministrstvo nadaljnjo pojasnjuje, da slovenski pravni sistem ne pozna upravnih glob, zato bodo v slovenski nacionalni zakonodaji globe obravnavane kot prekrški. Problematika je lahko prav pri izdajanju takšnih glob. Ali lahko informacijski pooblaščenec izdaja upravne globe? Res je, da so v predlogu novega zakona ZVOP-2 pretvorjene v prekrške, vendar zakon na izredni seji ni bil sprejet (Drevenšek, 2018), torej nacionalnega zakona ob 9

19 začetku uporabe Splošne uredbe o varstvu osebnih podatkov (2016) ne bo. Drevenšek (2018) opisuje, da se uredba neposredno uporablja ne glede na nacionalno zakonodajo. Vprašanje je, ali bodo izdane sankcije pred sprejetjem nacionalne zakonodaje legalne. Predpostavljeno je, da so kazni predvsem učinkovite, sorazmerne in odvračilne. Pri odmeri kazni se upošteva številne kriterije. Prelesnik (2018) izpostavi, da v javnosti krožijo različne neresnice o sankcijah in njeni odmeri. Pregled uvodnih členov Splošne uredbe o varstvu osebnih podatkov (2016), ki so del 83. in 84. člena poda jasno sliko, da sankcije ne bodo tako stroge, kot jih opisujejo. Prelesnik (2018) hkrati izpostavi enajst kriterijev, ki se bodo upoštevali pri odmeri višine kazni. Upošteva se predvsem: naravo, težo in trajanje kršitve, malomarnosti ali zlonamernost, sprejete ukrepe za omilitev škode, stopnja odgovornosti, predvsem sprejeti tehnični in organizacijski ukrepi, predhodne kršitve, stopnja sodelovanja z informacijskim pooblaščencem, vrste osebnih podatkov, kako se je kršitev zaznala, predhodni odrejeni ukrepi, upoštevanje kodeksov ravnanja, druge oteževalni ali olajševalni dejavniki (Splošna uredba o varstvu osebnih podatkov, 2016). V primerjavi z ZVOP-1 (2004, 2005, 2007), Splošna uredba o varstvu osebnih podatkov (2016) nalaga znatno višje globe. Globa po mnenju ministrstva za pravosodje po drugi strani»ne sme biti nesorazmerno breme ali neprimerljivo breme za upravljavce ali obdelovalce glede na druge primerljive kršitve človekovih pravic in temeljnih svoboščin«(mp RS, 2018; str. 72). Podobno je omenjeno v uvodnih členih Splošne uredbe o varstvu osebnih podatkov (2016), kjer se omenja možnost oprostitve kazni in izreka opomina, v primeru prevelikega finančnega bremena za fizično osebo. Globe so razdeljene na tri dela. Prvi del opisuje globe za kršitev določenih določb uredbe. Predvsem se osredotoča na 10

20 obveznosti upravljavcev in obdelovalcev. Primer kršitve je obveznost vgrajenega in privzetega varstva osebnih podatkov (Splošna uredba o varstvu osebnih podatkov, 2016). Pomembnost sledenju načela je velika, saj bomo v nasprotnem primeru kaznovani. Predvsem uredba na splošno določa, kako se je treba držati načela. Ne zadeva specifičnih ukrepov, saj je odgovornost na strani upravljavca in obdelovalca, da določi, kateri ukrepi so najprimernejši glede na obdelavo. Za kršitev nalaga kazen plačilo v višini do desetih milijonov evrov ali 2 % skupnega letnega prometa, odvisno od tega, kateri je večji. Drugi del kršitev je usmerjen bolj v posameznika in njegove pravice. Predvsem v smislu, da upravljavci in obdelovalci varujejo pravice, ki so posamezniku dodeljene, poleg tega tudi osnovna načela in drugi pomembnejši deli. Za kršitev slednjih nas lahko doleti kazen dvajsetih milijonov ali 4 % skupnega letnega prometa, odvisno od tega, kateri je večji (Splošna uredba o varstvu osebnih podatkov, 2016). Opazimo lahko, da zakonodajalec enkratno povečuje kazni pri zadevah, ki predstavljajo večji riziko za posameznika. Enake kazni so predvidene v tretjem delu, ki je namenjen neupoštevanju odredbe nadzornega organa, predvsem če so bili po uredbi odrejeni določeni ukrepi, ki bi se jih upravljavec oziroma obdelovalec morala držati in se jih nista. Za vse tri se obravnava preteklo proračunsko leto. Urad za publikacijo Evropske unije (2017) je izdal informativni letak, v katerem nazorno pokaže stopnjevanje neupoštevanja predpisov. Stopnje si sledijo od opozorila, opomina, prepovedi zbiranja podatkov do končne denarne kazni. Če ne upoštevamo enega ukrepa, sledi drugi, kar pa ne pomeni, da si bodo sledili eden za drugim, vsekakor se lahko med ukrepi preskakuje, odvisno od kršitve. Nesorazmerno velike kazni so odsev neenako velikih organizacij po svetu. Kot smo navedli morajo kazni biti učinkovite, kar pomeni, da kazni po ZVOP-1 (2004, 2005, 2007) ne bi učinkovito odvračale, svetovnega giganta, kot je na primer»facebook«. Nekaj mescev pred začetkom uporabe Splošne uredbe o varstvu osebnih podatkov (2016) je bil Facebook vpleten v politični škandal, kjer je prišlo do hujše kršitve osebnih podatkov, čeprav niso direktno zlorabili podatkov, so njihov dostop omogočili podjetju»cambridge Analytica«(Kopušar, 2018). Po besedah Johna Thuna je bilo izkoriščenih podatkov okrog 87 milijonov ljudi (Guardian News, 2018). Med njimi tudi 2,7 milijonov Evropejcev (Reuters Staff, 2018), kar bi dopustilo direktno uporabo Splošne uredbe o varstvu 11

21 osebnih podatkov (2016). Vprašanje je, kako bi se stvari odvile v primeru, da bi v času škandala uredba bila v uporabi. 3.3»Pravica do pozabe«pravica do pozabe je v Splošni uredbi o varstvu osebnih podatkov (2016) kot ime, ki narekuje pravico, da se posameznika pozabi skozi čas. Vsebina sedemnajstega člena uredbe nasprotuje prav temu. Culik in Döpke (2018) ugotavljata, da gre pri pravici do pozabe zgolj za pravico do izbrisa, saj mora posameznik izkazati interes za izbris in ne pomeni samoumevnega izbrisa kot ga pasivna formacija imena določa. Po drugi strani je v prvi točki petega člena»splošne uredbe o varstvu osebnih podatkov«(2016) zapisano, da se osebne podatke hrani v obliki, ki dopušča določljivost posameznika toliko časa, kolikor je to potrebno za namene obdelave. Skozi čas se določeni podatki izbrišejo ali anonimizirajo. Obstajati mora sorazmerje med količino zbiranja osebnih podatkov in njihovo možnostjo izbrisa (Nolte v Culik in Döpke, 2018). Več kot zbiramo osebnih podatkov na internetu, večja mora biti zakonska opcija za njihov izbris. Prelesnik (2018) opisuje pravico do pozabe kot velikokrat narobe dojeto, saj bo uresničevanje pravice zahtevalo veliko dejavnikov pred samo izvedbo. Problem lahko nastane pri moderni tehnologiji, kjer izbris ni možen. Pirc (2017) zagovarja, da ko so podatki enkrat vneseni s tehnologijo veriženja blokov, izbris ni več možen. To možnost lahko izkorišča za vedno, kar onemogoča izbris potencialnih osebnih podatkov. Sama tehnologija je zasnovana na način, kjer je vsak udeleženec nosilec verige in ima možnost vpogleda v zapis (Dolenc, 2016). Splošna uredba o varstvu osebnih podatkov (2016) je za tovrstne primere v sedemnajstem členu namenila odstavek, kjer opisuje, kdaj se pravica do izbrisa ne more uveljavljati. Eden iz med pogojev je izpolnjevanje pravnih obveznosti. Če se želi tehnologijo uporabljati v komercialne namene (kar se do neke mere že uporablja), kjer se bodo obdelovali osebni podatki, bo treba uzakoniti določene segmente tehnologije ali osebne podatke narediti neberljive. Primer nakazuje, kako je uredba napisana na način, ki promovira preventivo in hkrati zavira nepremišljeno rabo nove tehnologije. Upravljavci in obdelovalci bodo morali biti pozorni na pravico do izbrisa, saj se lahko zgodi, da nekateri podatki ostanejo v določenih bazah (Voss, 2017). Poleg tega bo 12

22 odgovornost upravljavca, če mora izbrisati podatke po prvem odstavku sedemnajstega člena uredbe, da mora izbrisati tudi morebitne povezave do teh podatkov ali njihove kopije (Splošna uredba o varstvu osebnih podatkov, 2016). Pri pravici do pozabe se bo predvsem spremenil način, kako priti do izbrisa podatkov. Po ZVOP-1 (2004, 2005, 2007) mora posameznik dokazati neko nepravilnost pri obdelovanju, da lahko doseže legalni izbris. Spremenila se bo podlaga, na kateri posameznik zahteva izbris. Posodobljena pravica bo posamezniku omogočila lažji in hitrejši izbris (Tikkinen-Piri, Rohunen in Markkula, 2018; Mantelero, 2013). Opazimo lahko zanimivo povezavo med pravico do pozabe in pravilom iz petega člena uredbe (2016)»najmanjši obseg podatkov«. Uresničevanje pravice do pozabe je lahko zelo zahtevno in drago za organizacije (Davison, 2017). V interesu organizacije je zbiranje najmanjšega obsega podatkov prav zaradi stroškov, ki lahko nastanejo pri brisanju osebnih podatkov. Torej, če že od začetka zbiramo samo tiste podatke, ki jih nujno potrebujemo se izognemo nepotrebnim nevšečnostim. Z upoštevanjem enega si olajšamo delo pri drugem, hkrati je lažje uresničevanje obeh zapovedi. 3.4 Uradno obveščanje o kršitvi varstva podatkov Obveščanje o kršitvi varstva osebnih podatkov ni novost»per se«. Samo obveščanje pod drugačnim imenom, nekoliko drugačno obliko in stopnjo strogosti poznajo v Nemčiji, Italiji na Nizozemskem in drugod (Article 29 Data Protection Working party [A29DPWP], 2017c). Markelj in Bernik (2016) izpostavita, da v Sloveniji ne obstaja pravna dolžnost za prijavo varnostnega incidenta, razen v primerih, če obstaja v naprej predpisana sankcija. Sem med drugim spadajo incidenti, ki so povezani s kaznivimi dejanji. Avtorja hkrati poudarjata pomembnost prijavljanja varnostnih incidentov. Prijavljanje varnostnih incidentov ni v interesu organizacij, saj lahko trpi njihov ugled in hkrati prihodek. Uradno obveščanje o kršitvi varstva podatkov je torej novo pravilo za Slovenijo. Splošna uredba o varstvu osebnih podatkov (2016) ravno to področje uredi na način, kjer zahteva obvezno obveščanje upravljavcev. Takšno obveščanje ni obvezno, če ne obstaja verjetnost tveganja za kršenje posameznikovih pravic. Enako velja pri obveščanju posameznika. Posameznika ni treba obveščati, če kršitev ne povzroči velikega tveganja za pravice 13

23 posameznika. A29DPWP (2017c) so mnenja, da je obveščanje ob kršitvi primerna in uporabna pridobitev, predvsem zato, da se ob kršitvi lahko upravljavec posvetuje z nadzornim organom, ali je potrebno obvestiti posameznike o kršitvi. Upravljavci in obdelovalci naj s pomočjo ocene učinka vzpostavijo sistem za zaznavo in zajezitev takšnih kršitev (A29DPWP, 2017c). Ocena učinka naj bi bila filter oziroma merilo, katere kršitve se prijavlja. Predvsem v smislu: imamo osebne podatke A in B. Pri podatkih A ni verjetnosti ogrožanja posameznikovih pravic, zato torej tudi, če pride do kršitve, varstvo osebnih podatkov obveščanje pristojnemu nadzornemu organu ni obvezno. Ravno nasprotno je pri podatkih B, za katere obstaja velika verjetnost ogrožanja posameznikovih pravic in svoboščin. V tem primeru nemudoma obvestimo nadzorni organ. Informacijski pooblaščenec nato svetuje, ali je potrebno seznaniti posameznika. Vse skupaj mora biti jasno dokumentirano in del kriznega odziva organizacije (A29DPWP, 2017c). Skupina kot primer nenamerne izgube osebnih podatkov izpostavlja izgubo naprave, ki vsebuje osebne podatke. Potrebno je razlikovati med varnostnim incidentom in kršitvijo varstva osebnih podatkov. Splošna uredba o varstvu osebnih podatkov (2016) pokriva zgolj kršitve, kjer so vključeni osebni podatki. Vsaka kršitev varstva osebnih podatkov je varnostni incident, vsak varnostni incident ni kršitev varstva osebnih podatkov. Razlika je jasna in mora biti poudarjena, saj Splošna uredba o varstvu osebnih podatkov (2016) ne zadeva vsega. Article 29 Data Protection Working Party (2014) opredeljuje tri vrste kršitev varstva osebnih podatkov. Kršitev razpoložljivosti, kar vključuje nenamerno ali nezakonito uničenje ali izgubo osebnih podatkov; kršitev celovitosti, kar vključuje nedovoljeno spreminjanje osebnih podatkov ter kršitev zaupnosti, kar vključuje nedovoljen dostop in/ali razkritje osebnih podatkov. Predvsem je pomembno razumeti, da lahko kršitev nastane v kombinaciji dveh ali vseh treh, kar predstavlja večji problem za organizacijo (A29DPWP, 2017c). Pri kršitvi celovitosti in zaupnosti je lažje okviriti obseg kršitve. Med tem ko kršitev razpoložljivosti ni tako enostavna. Kršitev razpoložljivosti lahko pripišemo tudi, če izgubimo ključ, ki dodatno varuje določene podatke. Predvsem nastane problem pri kršitvi razpoložljivosti. Ali kršitev varstva osebnih podatkov lahko povzroči kršitev človekovih pravic in svoboščin? Ali smo podatke res izgubili ali so prišli v napačne roke? In 14

24 kje se ta odgovornost konča? Kraja določenih osebnih podatkov lahko sproži kup dogodkov, ki lahko vodijo v kršitev človekovih pravic in svoboščin. Pomembno je, kateri kriterij in kdaj se upoštevajo, ko pride do takšnih situacij. Skupina navaja že izgubo zgoščenke, na kateri so osebni podatki kot kršitev varstva osebnih podatkov, o kateri bi bilo potrebno poročati. Kršitve bo potrebno obravnavati od primera do primera, vsekakor je nujno, da se vzpostavijo varnostne kopije, organizacijske in tehnične varnostne rešitve v primeru incidenta (A29DPWP, 2017c). Restitucija je vsekakor cilj vsake kršitve varstva osebnih podatkov. Med tem ocenjujemo, ali je potrebno kršitev prijaviti informacijskemu pooblaščencu ali ne moremo gledati veliko različnih kriterijev, med drugimi tudi vrsta kršitve: kako lahko je osebo določiti (psevdonimizacija), resnost posledic za posameznika, število vključenih posameznikov in drugo. Pri število vključenih posameznikov je potrebno upoštevati, da s številom posameznikov kršitev narašča večje kot je število, hujša je kršitev. Po drugi strani je en posameznik dovolj, da je potrebno obvestiti nadzorni organ, ali celo posameznika. Odvisno od podatkov, ki so bili izgubljeni (A29DPWP, 2017c). Praksa lahko pokaže drugačno luč. V prvem odstavku 33. člena Splošne uredbe o varstvu osebnih podatkov (2016) je navedeno, da»upravljavec«brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo«, obvesti informacijskega pooblaščenca. Problematika pri obveščanju je v ključni besedi»seznanitev«. Davison (2017) izpostavlja pomemben vidik pri»biti seznanjen«. Vprašanje je, koliko se bo v praksi možno izgovarjati na to, da nismo bili seznanjeni. De Hert in Papakonstantinou (2016) sta podobnega mnenja, in sicer da bo v praksi prijavljanja tovrstnih kršitev malo. Po drugi strani, če se zadostno upošteva načelo vgrajenega in privzetega varstva osebnih podatkov in ostale pomembnejše člene, mora biti manevrski prostor za izogibanje relativno majhen. 3.5 Vgrajeno in privzeto varstvo podatkov Tikkinen-Piri, Rohunen in Markkula (2018) opisujejo vgrajeno in prevzeto varstvo osebnih podatkov kot temelj celotne uredbe. Irish Computer Society (n. d.) označi načelo vgrajenega in privzetega varstva osebnih podatkov kot eno glavnih novih 15

25 pridobitev pri rekonstrukciji zakonodaje varstva osebnih podatkov. Zametke načela vgrajenega varstva osebnih podatkov po drugi strani najdemo v tretjem poglavju ZVOP-1 (2004, 2005, 2007). Uredba zahteva, da se ob upoštevanju določenih kriterijev pred obdelavo zagotovi zadostne varnostne ukrepe, da se izpolnjuje zahteve iz uredbe. Hkrati se zahteva od upravljavca, da se izvede določene tehnične in organizacijske ukrepe, da se varujejo načela varstva osebnih podatkov. V uvodnem delu uredbe je hkrati tudi navedeno, da varstvo pravic in svoboščin posameznikov, katerih osebni podatki se varujejo, morajo biti ustrezno zavarovani. Med drugim se to stori z ustreznimi tehničnim in organizacijskimi ukrepi. Romanou (2018) vgrajeno in privzeto varstvo osebnih podatkov razlaga kot skupek varnostnih politik, pravil, smernic, kodeksov, različnih tehnologij, ki kreirajo okolje obdelovanja osebnih podatkov in so prisotni od začetka obdelave in vse do konca. Že samo s strogim držanjem vgrajenega in prevzetega načela varstva podatkov lahko nivo varnosti organizacije dvignemo na sorazmerno visoko raven. Ne samo na nivoju organizacije, ampak v širšem pogledu na ravni celotne unije, saj bo zahteva po tehnologiji, ki bo vsebovala vgrajeno in prevzeto načelo varstva osebnih podatkov, naraščala (Romanou, 2018). Tako se bo tudi trg prilagodil zahtevam. Treba je ločiti vgrajeno in prevzeto varstvo podatkov. Pri vgrajenem varstvu podatkov gre za koncept, kjer organizacije stalno upoštevajo varstvo osebnih podatkov. Od samega začetke obdelave do konca in skozi vse vmesne korake (Ferretti, 2015; Irish Computer Society, n. d.). Privzeto varstvo podatkov Ferretti (2015) predstavi kot vsak novi produkt ali storitev, ki mora vsebovati najstrožje zapovedi uredbe v smislu, da se obdeluje najmanjše možno količino potrebnih osebnih podatkov po načelu»najmanjšega obsega«iz petega člena Splošne uredbe o varstvu osebnih podatkov (2016). Primer je prijava na neko novo storitev, kjer končni uporabnik pričakuje neko stopnjo zasebnosti od začetka. Torej, da ni potrebno ročno nastavljati omejitve, ampak so te avtomatično dane, sam pa jih lahko odvzame. Tudi sam dostop zaposlenih do osebnih podatkov je del privzetega varstva osebnih podatkov. Načelo uresničujemo tako, da omejimo dostop do osebnih podatkov. Ferretti (2015) izpostavlja, da je bila do sedaj standardna praksa upoštevanja varstva podatkov zgolj pri koncu obdelovanja in ne pred in med procesom obdelave. Kako bo v 16

26 prihodnosti, ne moremo predvideti. Vsekakor se bo povečalo s primeri, ki so navedeni v uredbi (Psevdonimizacijo, načelo najmanjšega obsega podatkov, certificiranje in drugo). Koncept privzetega varstva je nova pridobitev. V tretjem členu ZVOP-1 (2004, 2005, 2007) je sicer omenjeno načelo sorazmernosti, ki opisuje, da mora biti obseg primeren glede na namen. Načelo sorazmernosti ni podrobneje opredeljeno. To je približek vgrajenega in privzetega varstva osebnih podatkov. Takšna ureditev dopušča obseg pobiranja in obdelovanja podatkov na argumente upravljavca in ne na koncept»najmanjši obseg podatkov«(splošna uredba o varstvu osebnih podatkov, 2016), ki po imenu zapoveduje strožjo ureditev. Koncept je hkrati tesno povezan s privzetim varstvom osebnih podatkov. Privzeto varstvo osebnih podatkov je pozitivna pridobitev, ki omejuje nepotrebno zbiranje osebnih podatkov. Hkrati pripomore k dokazovanju skladnosti upravljavca, kar je tudi omenjeno v 78. uvodnem delu Splošne uredbe o varstvu osebnih podatkov (2016). Romanou (2018) predvideva, da bodo zaradi obveznosti vgrajenega in prevzetega načela varstva osebnih podatkov podjetja, ki se ukvarjajo z izdelavo nove tehnologija, upoštevala načelo pri izdelavi. Torej tehnologija, ki prihaja, bo zaradi zahtev uredbe že imela vgrajeno načelo, saj bodo tako stranke zahtevale in želele. Kar sproži sneženo kepo za upravljavce v smislu, da čez nekaj časa ne bodo imeli druge izbire kot nakup tehnologije z vgrajenim načelom. Preden pa smo lahko priča takšnemu premiku, bodo morale organizacije vseeno sprejeti določene pravilnike, politike, ocene učinka in ostale nujne ukrepe za dokazovanje skladnosti in varovanje osebnih podatkov. Dokazovanje skladnosti je torej na strani organizacij (Davison, 2017). Zanimivo povezavo lahko opazimo z analiziranjem vgrajenega varstva osebnih podatkov iz prvega odstavka 25. člena Splošne uredbe o varstvu osebnih podatkov (2016) in prvega odstavka 32. člena istega zakona, ki opisuje varnost obdelave. Oba odstavka opisujeta, da je osebne podatke treba varovati z ustreznimi, najnovejšimi tehničnimi kot tudi organizacijskimi ukrepi. Pri tem se upošteva tehnološki razvoj, stroške, obseg in ostale okoliščine obdelave. Obe tudi opisujeta psevdonimizacijo kot primer dobrega ukrepa za varstvo osebnih podatkov. Poleg tega prvi odstavek 32. člena dodatno opiše več varnostnih zmožnosti, ki jih mora obdelovalec upoštevati pri obdelavi, kot so: 17

27 šifriranje, zagotavljanje primerne stopnje zaščite, povrnitve normalnega delovanje ob incidentih, nadzora nad izvajanjem ukrepov (Splošna uredba o varstvu osebnih podatkov, 2016). Varnost obdelave je prav tako pogojena z različnimi tveganji, na katere moramo misliti in jih upoštevati pri obdelavi. Poleg tega 32. člen pozdravlja uporabo odobrenega kodeksa ravnanja, ki je tudi del Splošne uredbe o varstvu osebnih podatkov (2016). S dobro zastavljenim kodeksom se lahko izpolnijo prej omenjeni varnostni zahtevki. Na ta način se lahko te zahtevke izpolni tudi z notranjimi akti in dobrim informacijsko varnostnim načrtom. 3.6 Pooblaščena oseba za varstvo podatkov Pooblaščena oseba za varstvo osebnih podatkov (DPO) je za Slovenijo popolnoma nova pridobitev na področju varstva osebnih podatkov. ZVOP-1(2004, 2005, 2007) takšne osebe ne predvidi. Direktiva iz leta 1995 sicer predvideva odgovorno osebo za varstvo osebnih podatkov, vendar njeno imenovanje ni bilo direktno zahtevano (Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Direktiva 95/46/ES). (1995). Uradni list EU, (1995/46)). DPO je poleg drugih nalog vpeljan predvsem zato, da pomaga upravljavcem in obdelovalcem pri zagotavljanju skladnosti s Splošno uredbo o varstvu osebnih podatkov (2016). Novost ne zadeva vseh organizacij. Uredba predvidi tri primere, v katerih je imenovanje takšne osebe obvezno: obdelavo opravlja javni organ ali telo, velik obseg obdelave, obsežna obdelava posebnih vrst osebnih podatkov. Vse ostale organizacije ne potrebujejo DPO-ja. Organizacije lahko takšno osebo imenujejo prostovoljno. V takšen primeru veljajo členi, ki določajo imenovanje, kot če bi bilo obvezno (Article 29 Data Protection Working Party [A29DPWP], 2017b). Prvi in zadnji 18

28 primer ne zahtevata dodatne razlage, saj sta sorazmerno jasna. Med tem ko je velik obseg stvar interpretacije. Splošna uredba o varstvu osebnih podatkov (2016) ne definira točno velikega obsega. Številna vodila in namigi so podanih v 91. uvodnem členu ocene učinka, vendar nadaljnjih pojasnil v uredbi ni. Podrobneje, vendar ne v celoti, velik obseg pojasnjuje skupina A29DPWP (2017b). Kot pomemben dejavnik pri določanju velikega obsega izpostavljajo predvsem število posameznikov, količino in obseg, trajanje obdelave in geografsko razpršenost. Nadaljnjih definicij ni. Hkrati izpostavijo več primerov obsežne in ne obsežne obdelave. Za primer obsežne obdelave se šteje običajno poslovanje bolnice, kot primer ne obsežne obdelave evidence osebnih podatkov posameznih zdravnikov. Predvsem je treba razumeti, da velik obseg lahko postane skozi čas. V takšnem primeru je imenovanje osebe priporočljivo pred izpolnitvijo pogoja. DPO ima vrsto nalog, za katere je zadolžen ob svojem imenovanju. Opravlja vsaj naslednje naloge: obveščanje in svetovanje glede zakonodaje, spremljanje skladnosti z uredbo in politiko organizacije, ozaveščanje in usposabljanje osebja, svetovanje, glede ocene učinka, kjer je potrebna, spremljanje izvajanja politike upravljanja in rokovanja z zbirkami O. P., sodelovanje z nadzornim organom, delovanje kot kontaktna točka z nadzornim organom (Splošna uredba o varstvu osebnih podatkov, 2016). Splošna uredba o varstvu osebnih podatkov (2016) v 38. členu opisuje položaj DPO-ja glede na upravljavca in obdelovalca. Predvsem je pomembno, da oseba ne sme biti odpuščena zaradi opravljanja svojih nalog, kot tudi da je vezana na varovanje skrivnosti v skladu z zakonodajo. Hkrati je ena iz med nalog sodelovanje z nadzornim organom. Organizacije, ki bodo imele DPO-ja, bodisi po zakonu ali prostovoljno, zaposlenega znotraj organizacije ali najetega, bodo v svoje poslovno okolje umestile osebo, ki bo med drugim opozarjala na kršitve varstva osebnih podatkov. V Splošni uredbi o varstvu osebnih podatkov (2016) ni določeno, ali DPO sme prijaviti kršitev ali ne. Po eni strani lahko zgolj svetuje o kršitvi, po drugi strani nima dolžnosti prijavljanja takšne kršitve. Hkrati mora 19

29 varovati skrivnosti organizacije in sodelovati z nadzornim organom. Varovanje skrivnosti ne prepovedujejo DPO-ju kontaktiranja nadzornega organa in ga prositi za mnenje (A29DPWP, 2017b). Torej je sodelovanje vsekakor tudi prijavljanje o domnevnih kršitvah varstva osebnih podatkov. Torej DPO lahko postane žvižgač v svoji organizacij, ki opozori ali prijavi kršitev. Nadzor države je v tem primeru posreden na način, ki ga sama dostikrat zavrača ali celo kaznuje. Poleg tega DPO ne sme biti zaradi omenjenega odpuščen. Po drugi strani DPO predstavlja varuha posameznikovih pravic. Ravno zaradi prej omenjenega opozarjanja, svetovanja in sodelovanja. 3.7 Ocena učinka Ocena učinka je novost, ki jo ZVOP-1 (2004, 2005, 2007) ni poznal. Prejšnji zakon opisuje zgolj, da je treba glede na ustrezno tveganje podatke zavarovati. V zakonu ni nadaljnje razčlenitve. Torej je takšna ocena prepuščena organizacijam samim. Oceno tveganja lahko zasledimo tudi pri enem izmed mnenj informacijskega pooblaščenca (2007), in sicer da se z oceno tveganja določi ukrepe, ki preprečujejo nepooblaščeno obdelavo osebnih podatkov. Ena iz med glavnih razlik med oceno tveganja in oceno učinka je, da so v oceni učinka, kot je opisana v uvodnih členih Splošne uredbe o varstvu osebnih podatkov (2016), ukrepi,»načrtovani za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanja skladnosti s to uredbo (90. uvodni člen).«ocena učinka zajema širši spekter nalog kot ocena tveganja. Poleg tega, Tikkinen-Piri, Rohunen in Markkula (2018) ugotavljajo, da je pri izdelavi ocene učinka potrebno slediti načelom kodeksov ravnanja. Ocena učinka vsebuje tako oceno tveganja kot tudi obvladovanje tveganj in ugotavljanje vpliva obdelave na posameznika (Informacijski pooblaščenec, 2017d). Predvsem se ocena učinka uporablja za dokazovanje skladnosti (Article 29 Data Protection Working Party [A29DPWP], 2017a). Informacijski pooblaščenec (2017a) jo opiše kot» orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije«(str. 5). Splošna uredba o varstvu osebnih podatkov (2016) zapoveduje, v katerih primerih je treba izpeljati oceno učinka. Med drugim v primeru, da obdelava povzroči veliko 20