Post on 22-Oct-2021
Splošna uredba o varstvu podatkov (GDPR) - pol leta kasneje
mag. Andrej Tomšič
namestnik informacijske pooblaščenke
INFORMATIKA V JAVNI UPRAVI – IJU 2018 11. 12. 2018
Svet se še vrti
• 25.5.2018 smo (očitno) preživeli…
• Slabo razumevanje razlike med pravno podlago v privolitvi in pogodbi s posameznikom - > POPLAVA ZAPROSIL ZA PONOVNA SOGLASJA
• Prejete prijave/predlogi za uvedbo inšpekcijskega postopka • +30% več prijav
• Mnenja • 1000+ mnenj po 25.5.
• Pooblaščene osebe za varstvo osebnih podatkov (DPO) • 2100+ imenovanj
• Prijave kršitev varnosti • 50 prejetih
• Kodeksi ravnanja • Samo 1
• Ocene učinka na varstvo podatkov (DPIA) • ~10 PREJETIH DPIA
OCENE UČINKA NA VARSTVO OSEBNIH PODATKOV • Veliko tveganje za pravice in svoboščine posameznikov -> upravljavec pred obdelavo opravi oceno
učinka na varstvo OP. • Ocena učinka se zahteva zlasti v primeru:
a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov;
b) obsežne obdelave posebnih vrst podatkov ali OP v zvezi s kazenskimi obsodbami in prekrški, ali
c) obsežnega sistematičnega spremljanja javno dostopnega območja.
• Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana. • SMERNICE IP NA SPLETNI STRANI IP! • seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka.
• UGOTOVITVE • ZAPOSTAVLJAJO SE TVEGANJA GLEDE PRAVIC POSAMEZNIKA / NAČELA ODGOVORNOSTI • TVEGANJA SO PODCENJENA, NEJASNA METODOLOGIJA • ZNANJE SE POČASI GRADI
UPOŠTEVANJE NAČEL VGRAJENEGA IN PRIVZETEGA VARSTVA PODATKOV
Ob upoštevanju tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave ter tveganj upravljavec v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija in načelo najmanjšega obsega podatkov, ter v obdelavo vključi primerne varovalke. ANONIMNI PODATKI <<<<< PSEVDONIMNI (OSEBNI) PODATKI <<<<<< SUROVI OSEBNI PODATKI Privzeto se obdelajo samo OP, ki so potrebni za vsak poseben namen obdelave: • količina zbranih OP, • obseg obdelave, • obdobje hrambe, • dostopnost podatkov.
Primeri: nova storitev e-uprave, aplikacija, zamenjava informacijskega sistema ali velikega pogodbenega izvajalca…
ŠE NEIZKORIŠČEN POTENCIAL GLEDE CERTIFICIRANJA IN KODEKSOV RAVNANJA
Kodeksi ravnanja – PROSTOVOLJNO! • Združenja, zbornice, zveze in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev,
lahko pripravijo kodekse ravnanja z namenom večje skladnosti in enotnosti izvajanja uredbe • Primeri:
• Enoten obrazec za informiranje posameznika, psevdonimizacije OP; • Enotna politika obravnave varnostnih incidentov • Poenotne druge varnostne politike • Enoten obrazec za evidentiranje dejavnosti obdelave…
• Kodekse se pošlje v potrditev IP.
Certificiranje– PROSTOVOLJNO! • Potrebno še razviti akreditacijske in certifikacijske sheme • Po preglednem postopku, ocenitI stroške-koristi • Certifikate naj bi podeljeval ustrezno akreditiran certifikacijski organ • Veljavnost tri leta, možnost podaljašanja • Primeri: kadrovska funkcija, klub zvestobe, nova mobilna aplikacija, e-bančništvo…
Opomba: Slike so simbolične.
PROFILIRANJE IN UMETNA INTELIGENCA Posameznik ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. Avtomatizirano odločanje in profiliranje dopustno, če je odločitev: a) nujna za sklenitev ali izvajanje pogodbe med posameznikom in upravljavcem; b) dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in
določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, ali
c) utemeljena z izrecno privolitvijo posameznika.
Pravica do : • osebnega posredovanja (*human intervention) upravljavca, • do izražanja lastnega stališča in • izpodbijanja odločitve. Avtomatizirane odločitve ne temeljijo na posebnih vrstah OP (možne izjeme).
KLJUČNI IZZIVI/PODROČJA ZA NADZOR IN SKLADNOST
• („Brezplačne) storitve, kjer plačujemo z osebnimi podatki • Sodobni tehnološki izzivi, npr. blockchain in vgrajena zasebnost • Oglaševanje na spletu, množičnost in nepreglednost obdelave („REAL-TIME BIDDING“) • Odnos do obveznega poročanja incidentov • Profiliranje in umetna inteligenca v javnem in zasebnem sektorju • Pametni <vstavi> Ključno: • identifikacija in obravnava sistemskih tveganj • nadzor ne rešuje nepoznavanja predpisov • pomagati tistim, ki želijo biti skladni, kaznovati (vztrajno) neskladne
Nadzor naj bo „last resort“ – IP tako kot GDPR daje več poudarka preventivi in odgovornosti • Preiskave, Privacy Sweps • Sodelovanje z deležniki • Smernice, mnenja, infografike • Nova orodja, nagrade za dobre prakse… • Samo-ocenitveni vprašalniki, DPO / DPIA / PbD / kodeksi / certifikacija
Spremljajte novosti na https://www.ip-rs.si/
• Smernice na EU ravni
• DPO, ocene učinkov, profiliranje, prenosljivost…
Letaki Infografike
• Projekt RAPiD.SI • upravljavec.si – za mala in srednje velika podjetja • tiodlocas.si – za posameznike • 080 2900 – brezplačna telefonska pomoča za mala in srednja podjetja
Hvala za pozornost! andrej.tomsic@ip-rs.si
Vir: https://ru.pinterest.com/pin/558868634988583261/
Priporočam http://www.socialcooling.com/