Zagotovite varnost osebnih podatkov

Odgovorni ste varovati osebne podatke, ki vam jih vaši zaposleni, kupci in poslovni parterji zaupajo.

Skrb za informacijsko varnost, izobraževanje zaposlenih in analiza tveganj niso naloge zgolj za »velike«, ampak morajo tudi mikro in majhna podjetja zagotoviti tako varstvo kot varnost osebnih podatkov. Kje je razlika?

Varstvo osebnih podatkov je širši pojem, ki vključuje še ostala temeljna načela v zvezi z obdelavo osebnih podatkov, kot so zakonitost, sorazmernost in namenskost.

Varnost osebnih podatkov (oz. zavarovanje osebnih podatkov po ZVOP-1) se nanaša predvsem na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili.

Varnost podatkov pomeni zagotavljanje:

  1. celovitosti (osebni podatki so ustrezno zaščiteni pred brisanjem ali spremembami v kakršnikoli obliki brez dovoljenja pooblaščene osebe),
  2. zaupnosti (do osebnih podatkov lahko dostopajo samo osebe, ki so za to pooblaščene) in
  3. razpoložljivosti osebnih podatkov (osebni podatki so pooblaščenim osebam ves čas na voljo).

Informacijski pooblaščenec je v pomoč upravljavcem in obdelovalcem izdal Smernice o zavarovanju osebnih podatkov, kjer najdete primere dobrih in slabih praks.

1. Katere so zakonske obveznosti majhnih podjetij s področja varnosti osebnih podatkov?

Področje varnosti osebnih podatkov urejata Splošna uredba o varstvu podatkov v členu 32 ter Zakon o varstvu osebnih podatkov (ZVOP-1) v členih 14, 24 in 25.

Uredba sledi standardom na področju informacijske varnosti, kjer velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja. Tveganja se običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. Uredba zato v členu 32 določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Odločitev, kakšno stopnjo varnosti potrebuje določeno podjetje, je zato v rokah upravljavca, pri čemer naj upošteva stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Med ukrepe, ki jih predpisuje Uredba sodijo, kot je ustrezno (torej ne vedno in povsod):

  • psevdonimizacija in šifriranje osebnih podatkov;

  • zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

  • zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

  • postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

ZVOP-1 uporablja izraz »zavarovanje« in v 24. členu določa cilje, ki jim morajo postopki in ukrepi za zavarovanje osebnih podatkov zadostiti. Organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov morajo v prvi vrsti preprečiti nepooblaščeno obdelavo osebnih podatkov, poleg tega pa morajo preprečiti tudi slučajno ali namerno nepooblaščeno uničevanje podatkov ter njihovo spremembo ali izgubo. Da bi to dosegli morajo biti izbrani ustrezni postopki in ukrepi, tako da se:

  • varujejo prostori, oprema in sistemska programska oprema, vključno z vzhodno-izhodnimi enotami;

  • varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;

  • preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih;

  • zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;

  • omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

ZVOP-1 pa v 25. členu določa, da upravljavci v internem aktu o zavarovanju oz. varnosti predpišejo ustrezne postopke in ukrepe ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki zaradi narave njihovega dela lahko obdelujejo določene osebne podatke (t.j. dostopne pravice). Dostopne pravice določa vodstvo podjetja, omejene pa naj bi bile po načelu nujnosti – dostop naj bo omejen na obseg, ki ga določeni zaposleni oziroma sektorji dejansko potrebujejo pri svojem delu.

PRIPRAVITE AKCIJSKI NAČRT

  1. Popis podatkov in dostopov

Poskrbite, da boste v podjetju v vsakem trenutku vedeli, katere osebne podatke sploh imate, kje se nahajajo in kdo ima do njih dostop.

  1. Analiza tveganj

Identificirajte možna tveganja oz. popišite, katere grožnje pretijo osebnim podatkom, npr. okvara diska in izguba podatkov, izgubljen ali ukraden službeni prenosnik, ponudnik oblačne storitve postane tarča kibernetskega napada. Hkrati pomislite na raven verjetnosti (kolikšna je možnost, da se bo tveganje uresničilo) in raven resnosti (kako resne bodo posledice, če se tveganje uresniči).

  1. Tehnični ukrepi

Poskrbite za ustrezno varovanje poslovnih prostorov, IT opreme in sistemske programske opreme:

  • zagotovite ustrezno fizično varovanje poslovnih prostorov, npr. zaklepanje prostorov, omar in predalov, kjer se nahajajo nosilci podatkov ter varovanje pred vplivi okolja (požar, poplava, potres),

  • poskrbite za učinkovito uničevanje podatkov tako na papirju kot na elektronskih nosilcih. Gumb »delete« ne pomeni, da bo dokument oz. podatek dejansko izbrisan, ampak je potrebno z namenskimi programi podatke na nosilcu tudi prepisati (angl. wipe) in tako onemogočiti njihovo rekonstrukcijo,

  • vsi službeni računalniki naj imajo posodobljen operacijski sistem, nameščeno zadnjo verzijo antivirusnega programa in brskalnika ter posodobljene vse nameščene programe,

  • vzdržujte spletno stran – redno posodabljajte spletni strežnik in nameščen sistem za urejanje vsebin (CMS sistem),

  • če je omogočeno delo od doma, poskrbite za varen dostop do službenega omrežja,

  • varnostno kopirajte (angl. backup) pomembne podatke, pri čemer upoštevajte glavni načeli: varnostne kopije hranite na dve različni lokaciji (npr. v oblak in na zunanji disk) in varnostne kopije izdelujte sproti, ko nastajajo novi dokumenti.

  1. Organizacijski ukrepi

Na prvem mestu naj bo zavedanje, da skrb za varnost ni naloga zgolj informatikov! Vse zaposlene izobražujte s področja informacijske varnosti in jih seznanitie, kje se skrivajo tveganja, ki lahko ogrozijo osebne podatke in v skrajnem primeru celo poslovanje podjetja.

  • Določite pravila glede dodeljevanja, spreminjanja in uporabe gesel. Nastavite močna (najmanj osem znakov) in kompleksa gesla, za vsako storitev uporabljajte ločeno geslo,

  • vsi zaposleni naj upoštevajo politiko čiste mize in čistega zaslona (zaposleni naj ob odsotnosti zaklenejo računalnik in ne puščajo nenadzorovano dokumentov z osebnimi podatki),

  • izobrazite zaposlene o tehnikah socialnega inženiringa, phishing kraji gesel in najpogostejših spletnih goljufijah, ki ciljajo na manjša podjetja (več napotkov na portalu Varni na internetu),

  • pri pogodbenih izvajalcih vztrajajte na pisnih pogodbah in dogovorih o tem, kako konkretno bodo varovali vaše podatke,

  • ažurno vzdržujte seznam (pogodbenih) obdelovalcev,

  • določite osebe, ki bodo odgovorne za določene zbirke osebnih podatkov,

  • določite osebe, ki imajo dostopne pravice (lahko obdelujejo določene osebne podatke),

  • pripravite pravilnik o varnosti in vse zaposlene seznanite z njim. Preverite, kaj naj vsebuje pravilnik o varnosti.

Če pravilnik že imate, predvsem preverite, ali se njegove določbe res izvajajo v praksi. Nikakor ne kopirajte kar tako vzorcev pravilnikov, če nekaterih varnostnih ukrepov sploh ne uporabljate. Raje opišite, kaj imate in zaposlene seznanite z določbami pravilnika (lahko podpišejo tudi izjavo o seznanjenosti).

  1. Prilagajanje spremembam

Vsaj enkrat letno preverite, ali popisani podatki in dostopi še držijo ter ali predpisani ukrepi odražajo dejanska tveganja. Pomislite, ali se je pojavilo novo tveganje in prilagodite ukrepe. Če je v podjetju prišlo do večjih sprememb, je potrebno predvideti tudi nove ustrezne ukrepe, npr:

  • zbiranje osebnih podatkov zaradi nove nagradne igre, aplikacije, nove storitve,

  • zaposlitev novih sodelavcev oz. odhod sodelavcev,

  • novi zunanji izvajalci (računovodski servis, gostovanje spletne strani ipd.),

  • podjetje se preseli na novo lokacijo,

  • okužba z virusom prek priponke v elektronski pošti razkrije, da zaposleni ne poznajo osnovnih načel informacijske varnosti.

2. Ocenite, ali ima vaše podjetje vpeljane osnovne varnostne kontrole

Izpolnite praktičen kontrolni seznam, s katerim lahko hitro in učinkovito preverite, ali imate vpeljane vsaj osnovne varnostne kontrole.

3. Obvezno poročanje o kršitvah varnosti

Novost, ki jo je prinesla Uredba je dolžnost obveščanja nadzornega organa (Informacijskega pooblaščenca) o zaznanih kršitvah varnosti osebnih podatkov, če je (vsaj) verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov.

Preverite, v katerih primerih morate poročati Informacijskemu pooblaščencu in na kakšen način.