La lourde charge des responsables du traitement

Veliko breme za upravljavce podatkov

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

GDPR se osredotoča na odgovornost deležnikov. Za razliko od direktive iz leta 1995 (prvega pomembnega evropskega besedila o varstvu podatkov) ne zahteva predhodne odobritve ali izjave. To je pametna poteza njenih snovalcev: pomanjkanje predhodnega nadzora pomaga, da so prizadevanja, potrebna za skladnost z novimi pravili, sprejemljiva.

Kot smo videli, GDPR v vsaki strukturi opredeljuje "upravljavca podatkov", ki mora biti odgovoren za zagotavljanje zahtevane skladnosti in nato za zagotavljanje pravilnega delovanja obdelave podatkov. Naloge tega upravljavca so zahtevne: ne le, da mora izvajati ustrezne ukrepe, ampak mora biti tudi sposoben "dokazati", da se obdelava izvaja v skladu z uredbo (člen 24-1). To ni obveznost, vendar lahko sklicevanje na kodeks ravnanja (člen 40) ali certifikat (člen 42), ki ga zagovarjajo nadzorni organi, olajša zahtevani dokaz.

Vodilno načelo upravljavca je preprosto: osebne podatke uporabljati čim manj. Člen 25 tako priporoča že omenjeno »psevdonimizacijo« in »minimizacijo«. Dodaja načelo privzetega varstva podatkov: »Upravljavec izvaja ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelujejo le osebni podatki, ki so potrebni za vsak poseben namen obdelave« (člen 25-2). Za razliko od trenutnih praks, kjer se »vzame vse«, razen če ni izrecno navedeno drugače, je treba zdaj uporabiti le tisto, kar je nujno potrebno za dosego navedenega cilja. Zdi se, da privzeto varstvo v času obdelave na nek način dopolnjuje minimizacijo podatkov v času zbiranja.

Za obdelavo sta lahko skupno odgovorna dva strokovnjaka; v tem primeru je vloga vsakega natančno opredeljena in o njej je obveščen posameznik, na katerega se nanašajo osebni podatki (26. člen). Kadar upravljavec(-i) podatkov nima(-jo) sedeža v Evropski uniji, imenuje(-jo) predstavnika s sedežem v eni od držav članic, ki bo pooblaščen za kontaktno osebo za posameznika, na katerega se nanašajo osebni podatki, in nadzorne organe (27. člen). Možno je najeti podizvajalca, če slednji predloži zadostna jamstva, da se obdelava izvaja v skladu z GDPR (28-1. člen).

Vodenje "registra dejavnosti obdelave" je obvezno (člen 30). Vsebovati mora kontaktne podatke upravljavca, namene obdelave, kategorije oseb, podatkov in prejemnikov, morebitne prenose v tretjo državo, roke za izbris in splošen opis varnostnih ukrepov. Ta register mora biti na voljo nadzornemu organu, če ga zahteva. Ni obvezen za podjetja ali organizacije z manj kot 250 zaposlenimi, "razen če obdelava, ki jo izvajajo, verjetno predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če ni občasna ..." (člen 30-5). Zato bodite previdni: velikost podjetja sama po sebi ni zadostno merilo za izvzetje iz registra. Če podatke obdelujete pogosto ali če je vašo dejavnost mogoče kakor koli povezati s "pravicami in svoboščinami posameznikov", morate voditi register opravljenih dejavnosti.

Uredba ni tehnični priročnik. Člen 32, posvečen varnosti obdelave, kljub temu opozarja na nekatere temeljne elemente: psevdonimizacijo in šifriranje, sredstva za zagotavljanje zaupnosti in celovitosti, za obnovitev razpoložljivosti podatkov in dostopa do njih v primeru incidenta. Pripravljavci besedila ne zanemarjajo tveganja vdora: »Pri ocenjevanju ustrezne ravni varnosti je treba posebej upoštevati tveganja, ki jih predstavlja obdelava, zlasti zaradi naključnega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja osebnih podatkov, ki so bili posredovani, shranjeni ali kako drugače obdelani, ali nepooblaščenega dostopa do takih podatkov« (člen 32-2). Z drugimi besedami, sistem obdelave se šteje za skladnega le, če ponuja potrebna jamstva, vsaj največja, glede varstva in varnosti podatkov. Spominjamo se razburjenja, ki ga je povzročil vdor v podatkovno zbirko članov severnoameriške spletne strani za zmenke za poročene ljudi, ko je bilo na internetu objavljenih več deset tisoč zaupnih profilov.

Če se kljub sprejetim previdnostnim ukrepom odkrije kršitev varnosti osebnih podatkov, mora upravljavec podatkov v 72 urah obvestiti nadzorni organ, „razen če ni verjetno, da bi zadevna kršitev povzročila tveganje za pravice in svoboščine posameznikov“ (člen 33-1). Ta omejitev daje nekaj manevrskega prostora, tudi če celotno besedilo nakazuje, da se je ne sme zlorabljati za prikrivanje težave. Poročilo mora navesti naravo kršitve, približno število prizadetih oseb, verjetne posledice te kršitve in sprejete ali predlagane ukrepe za odpravo težave ali omejitev njenih posledic.

Upravljavec podatkov mora žrtev kršitve čim prej obvestiti tudi (člen 34). To sporočilo ni potrebno, če so ukradeni podatki „nerazumljivi“, na primer zaradi šifriranja, ali če sprejeti ukrepi pomenijo, da ni tveganj za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ali če bi takšno sporočilo „zahtevalo nesorazmerne napore. V takih primerih se namesto tega izvede javno sporočilo ali podoben ukrep, ki omogoča, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni na enako učinkovit način“ (člen 34-3c). Ta odstavek je namenjen množičnim vdorom in upravljavcem podatkov odvezuje pošiljanja prilagojenega e-poštnega sporočila vsakemu posamezniku v njihovih datotekah.

Na koncu naj pojasnimo, da je duh GDPR nedvoumen: v podjetju, organiziranem s hčerinskimi družbami, so obveznosti slednjih enake obveznostim matične družbe.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL