Rok hrambe osebnih podatkov
Osebne podatke je dopustno hraniti le toliko časa, da je dosežen namen njihove obdelave. Potem jih je treba izbrisati, uničiti ali anonimizirati, če so vodeni v elektronski zbirki, pa vsaj blokirati dostop do njih. Drugače je v primerih, ko roke hrambe določa zakon. 43. člen ZVOP-2 določa, da je rok hrambe osebnih podatkov omejen na najkrajše možno obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če drug zakon za posamezne obdelave določa rok hrambe. Upravljavec je dolžan ob upoštevanju narave obdelovanih podatkov in tveganj občasno in na dokumentiran način preverjati, ali se upoštevajo določbe prejšnjega odstavka. Če drug zakon za posamezne vrste osebnih podatkov ne določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo, uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.
Varnost osebnih podatkov
Varnost osebnih podatkov po GDPR in ZVOP-2 – spomnimo, da je ZVOP-1 v 24. členu za to uporabljal izraz »zavarovanje osebnih podatkov« – se nanaša na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Brez varnosti osebnih podatkov ni varstva osebnih podatkov, saj je varnost osebnih podatkov eno temeljnih načel širšega pojma varstvo osebnih podatkov. Varnost podatkov pomeni zagotavljanje:
- celovitosti,
- zaupnosti in
- razpoložljivosti osebnih podatkov.
Zakonodaja na področju varstva osebnih podatkov ne določa natančno predpisanih organizacijskih, tehničnih in logično tehničnih postopkov in ukrepava varnost osebnih, saj so odvisni od različnih okoliščin, v katerih se obdelujejo posamezni osebni podatki. Razvoj na področju informacijskih tehnologij, ki so postale ključno orodje za obdelava osebnih podatkov je namreč enostavno prehiter, da bi se lahko evropski ali nacionalni predpisi spreminjali dovolj hitro, da bi držali korak s trendi na področju informacijskih tehnologij ter informacijske in kibernetske varnosti.
a) Varnost podatkov po GDPR
GDPR je tehnološko nevtralna in obenem mora zagotoviti ustreznost zakonske ureditve na daljši rok, zato sledi standardom na področju informacijske varnosti, kot so npr. standardi družine 27001 ISO /IEC. Osnovna usmeritev vseh standardov in primerov dobrih praks na področju informacijske varnosti je, da velja glavno načelo, da je treba varnostne ukrepe prilagoditi glede na tveganja, ki pretijo varovanim podatkov. Tveganja se običajno ocenjuje kot kombinacijo verjetnosti, da se bo nek nezaželen dogodek zgodil in resnosti posledic, če se to dejansko zgodi. GDPR zato na tehnološko nevtralen način v 32. členu določa, da se pri določanju ustrezne ravni varnosti upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Razumljivo je, da akt kot je Splošna uredba, ne more biti preveč specifičen – ne more določati števila znakov v geslih ali modelov požarnih zidov, ki naj se uporabljajo, saj bi hitro tehnološko zastarela, zato večji del odgovornosti prepušča zavezancem samim, da ovrednotijo svoja tveganja in glede na njih izberejo ukrepe, ki so primerni, vključno z upoštevanjem razvoja tehnologije in lastnih finančnih zmožnosti. Odločitev o tem kakšno stopnjo varnosti potrebuje določen zavezanec, je zato njegova naloga, pri tem pa naj upošteva stopnjo tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganja za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti. Med ukrepe, ki jih predpisuje GDPR sodijo, kot je ustrezno (torej ne vedno in povsod):
- psevdonimizacija in šifriranje osebnih podatkov;
- zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
- zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
- postopke rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
Če pride do kršitev varnosti – npr. če bi šola izgubila ocene otrok ali bi se te nepooblaščeno objavile na spletu, imajo zavezanci skladno s členoma 33 oziroma 34 GDPR dolžnost obveščanja Informacijskega pooblaščenca oziroma prizadetih posameznikov.
b) Varnost podatkov po ZVOP-2
ZVOP-2 vsebuje dodatne zahteve, ki jih morajo upoštevati zavezanci poleg (relativno splošnih) zahtev po Splošni uredbi in sicer velja posebno pozornost nameniti 22. in 23. členu, pa tudi 21. členu ZVOP-2. 2. člen ZVOP-2 ureja vodenje dnevnika obdelave, kar smo prej poznali pod izrazom »sledljivost« in sicer določa:
- kdo mora zagotavljati dnevnike obdelave,
- za katera dejanja obdelave,
- kaj mora vsebovati dnevnik obdelave,
- za kakšne namene se lahko uporablja dnevnik obdelave ter
- rok hrambe podatkov v dnevnikih obdelave.
22. člen ZVOP-2 tako določa, da upravljavci po tem zakonu zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja GDPR vodijo dnevnik obdelave v naslednjih primerih:
- kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali
- kadar gre za redno in sistematično spremljanje posameznikov, ali
- kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave,
- ali če tako določa zakon.
Dnevnik obdelave se zagotovi za naslednja dejanja obdelave osebnih podatkov:
- zbiranje;
- spreminjanje;
- vpogled;
- razkritje, vključno s prenosi;
- izbris;
- druga dejanja obdelave, ki jih določa zakon.
Dnevnik obdelave mora za navedena dejanja obdelave vsebovati naslednje podatke:
- vrsto dejanja obdelave, datum in čas obdelave,
- identifikacijo osebe, ki je izvedla dejanje obdelave, ter
- identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.
Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka. V obrazložitvi predloga ZVOP-2 je navedeno, da je med temi podatki tudi identifikacija osebe, ki je izvedla dejanje obdelave, vendar to ne pomeni, da je treba zabeležiti ime in priimek osebe. Oseba mora biti določljiva (določiti jo mora biti mogoče v primeru nadzora), kar pomeni, da zadošča, če se vpiše identifikator, ki omogoča naknadno ugotovitev točne identitete osebe, ki je izvedla dejanje obdelave. Podatki o točni identiteti osebe, ki je izvedla dejanje obdelave, se lahko hranijo pri uporabniku.
Dnevnik obdelave se lahko uporablja le za naslednje namene, ki jih določba ZVOP-2:
- izkazovanje zakonitosti obdelave ter
- izvajanje notranjega nadzora,
- izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov,
- za zagotavljanje celovitosti in varnosti osebnih podatkov ter
- za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.
Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave. Pri tem je treba upoštevati tudi določbe 21. člena (zavarovanje osebnih podatkov, ki so predmet postopka; pojasnjeno v nadaljevanju), na podlagi katerega lahko nadzornik odredi hrambo podatkov, ki je daljša od v tem členu določenega roka, če je to potrebno za izvedbo postopka za namen zavarovanja dokazov.
Glede rokov hrambe dnevnikov obdelave bi lahko rekli, da je ZVOP-2 bolj jasen kot ZVOP-1 in s tem tudi bolj uporaben zakon za zavezance kot za nadzorni organ; v pretežnem delu skrajšuje obdobje, v katerem je hraniti zapise o obdelavi osebnih podatkov. ZVOP-2 določa, da se vsebina dnevnika obdelave hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena ZVOP-2 (omejitev pravic posameznika z zakonom), se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.
ZVOP-2 vsebuje tudi določbe, ki se nanašajo na zavarovanje osebnih podatkov, ki so predmet postopka (21. člen ZVOP-2) – gre pa predvsem za to, kdaj in kako morajo upravljavci osebnih podatkov v primeru, so določeni osebni podatki zahtevani v določenem postopku (npr. v inšpekcijskem, v postopku obravnave zahteve posameznika za dostop do lastnih podatkov ipd.), kjer je bistveno, da zavezanec ne sme potrebnih podatkov izbrisati ali spremeniti, dokler traja postopek. Določba ZVOP-2 je verjetno nastala tudi kot odziv na nedopustno ravnanje zavezancev, ki so v primeru zahteve posameznika njegove osebe podatke izbrisali, namesto da bi mu jih posredovali, ali pa počakali, da so potekli roki hrambe in šele nato odgovorili posamezniku.
21. člen ZVOP-2 tako določa, da upravljavec ali obdelovalec od prejema zahteve iz 15. do 22. člena Splošne uredbe ali zahtev posameznika po tem ali po drugem zakonu ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi. Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja poslovanja, nalog ali pooblastil upravljavca ali obdelovalca odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje poslovanja oziroma izvajanja nalog ali pooblastil upravljavca ali obdelovalca, ter kadar gre za osebne podatke, ki so označeni kot tajni podatki, zavaruje osebne podatke, ki so predmet postopka. Namen te določbe drugega odstavka 21. člena ZVOP-2 je predvsem preprečevanje potrebe po posegih v obstoječe aplikacije, v katerih se obdelujejo osebni podatki in ki ne omogočajo varnosti oz. zavarovanja osebnih podatkov znotraj same aplikacije.
Zunanja sledljivost osebnih podatkov oziroma »sledljivost posredovanja« zagotavlja posamezniku možnost pridobitve informacije o tem, katere njegove osebne podatke, komu, kdaj in na kakšni pravni podlagi je upravljavec posredoval. Nanaša se torej na pravico posameznika do seznanitve z lastnimi osebnimi podatki, upravljavcu pa nalaga vodenje evidence posredovanja osebnih podatkov zunanjim uporabnikom (na primer CSD, policiji, ministrstvu). Glede na zahtevo šestega odstavka 41. člena ZVOP-2 upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu ZVOP-2. Podatke o posredovanju upravljavec hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok.
Kdo od zaposlenih pri upravljavcu sme obdelovati osebne podatke v zbirkah, določi predstojnik upravljavca (v vrtcih in šolah torej ravnatelj). Pri tem izhaja iz delovnih nalog, ki jih imajo zaposleni, in dovoli dostop do tistih osebnih podatkov, ki jih posamezen delavec potrebuje, da lahko opravi delo. Priporoča se izdelava t. i. sheme pooblastil, iz katere je razvidno, do katerih osebnih podatkov smejo dostopati zaposleni na določenih delovnih mestih. Sheme torej ni treba zapisati tako natančno, da bi določala osebna imena zaposlenih s pooblastili za obdelavo osebnih podatkov, ampak je to smiselno vezati na delovna mesta. Glede na naravo delovnih obveznosti bo torej do določenih osebnih podatkov včasih lahko dostopal zelo omejen krog zaposlenih (npr. glede podatkov o zaostankih s plačili), drugič bo podatek potreben vsem, ki v vzgojno-izobraževalnem procesu z določenim varovancem, učencem oziroma dijakom prihajajo v stik (npr. da obstaja možnost epileptičnega napada).