GDPR, ZVOP-2 – oblak – javni in privatni sektor – vizija?

Povzetek 30 sek: Dileme ZVOP-2 za javni sektor; Iniciative EU; Primer prenosa procesa v oblak.

Upravljanje z osebnimi podatki, kamor sodi tudi njihov nastanek in zbiranje oz. nadaljnja obdelava, vključno s hrambo, vpogledovanjem, spremembami in izbrisom je kompleksna tema, kjer se prepletajo interesi vrste deležnikov. Področje obdelave in varstva osebnih podatkov pa poleg Splošne uredbe o varstvu podatkov in področne zakonodaje po novem komplementarno ureja tudi Zakon o varstvu osebnih podatkov (ZVOP-2).
Informacijski pooblaščenec je za pojasnjevanje dilem, ki jih odpira ZVOP-2 že pripravil pregled ključnih novosti, posodobil nekatere smernice in gradiva ter začel objavljati nezavezujoča mnenja, ki upoštevajo določbe nove zakonodaje kar nam bo zagotovo v pomoč.

Ali sme javni sektor shranjevati osebne podatke v oblaku?

Kot eno izmed večjih zanimivosti novega ZVOP-2 je vredno omeniti določbo 23. člena, ki v četrtem odstavku določa, da upravljavci zasebnega in javnega sektorja določenih zbirk osebnih podatkov ne smejo hraniti izven ozemlja Republike Slovenije. Prepoved se nanaša na najbolj občutljive t. i. posebne obdelave osebnih podatkov, ki zaradi svojih lastnosti tudi po mnenju zakonodajalca zahtevajo posebno urejanje in varovanje. Prepoved hrambe izven ozemlja Republike Slovenije se tako nanaša na osebne podatke iz zbirk, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc.
Splošna prepoved hrambe občutno presega prvotni predlog ZVOP-2, ki je določal prepoved hrambe tovrstnih podatkov v zasebnem računalniškem oblaku, kjer fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave. Odpira se tudi vprašanje, ali je morda zakonodajalec prekoračil pooblastilo iz Splošne uredbe o varstvu podatkov za podrobnejše urejanje obdelave osebnih podatkov v nacionalnem predpisu, zlasti glede na prost pretok osebnih podatkov znotraj EU. (Več informacij o tem je zapisal informacijski pooblaščenec na svoji spletni strani.)

Ali hramba osebnih podatkov iz 1. točke prvega odstavka 23. člena ZVOP-2 pri ameriškem ponudniku predstavlja kršitev?

Na vprašanje, ali hramba zbirke osebnih podatkov iz 1. točke prvega odstavka 23. člena ZVOP-2 v oblaku ameriškega ponudnika predstavlja kršitev posebnih določb ZVOP-2, je tako odgovor jasen. Navedeno predstavlja kršitev določb v zvezi z varnostjo osebnih podatkov na področju posebnih obdelav.

Ali hramba osebnih podatkov, iz 1. točke prvega odstavka 23. člena ZVOP, pri hčerinski družbi ameriškega ponudnika na Irskem predstavlja kršitev ZVOP-2?

Enako velja tudi za hrambo podatkov te vrste v oblaku hčerinske družbe ameriškega podjetja, registriranem na Irskem. Standard, ki ga zasleduje zakonodajalec je tako visok, da problematizira sodelovanje tudi z drugimi ponudniki računalništva v oblaku, čeprav so morda ti izključno evropski.
Naj poudarimo, da ZVOP-2 določa triletni rok za uskladitev posebnih obdelav. Ne glede na navedeno pa v vmesnem času brez izzivov ne bo šlo, zlasti upoštevajoč pravne ovire na področju prenosa osebnih podatkov v tretje države. Še posebej na udaru so ameriški ponudniki storitev elektronske komunikacije, med katere spadajo tudi ponudniki računalništva v oblaku.
Globalni ponudniki storitev hrambe ali obdelave podatkov se po drugi strani dobro zavedajo zahtev Splošne uredbe o varstvu podatkov, za zagotavljanje skladnosti z zahtevami, ki jih narekuje evropska zakonodaja pa namenjajo veliko sredstev. Skladnost lahko ponudniki do določene mere dosežejo z vzpostavitvami fizične infrastrukture na lokacijah, ki jih EU, posledično pa tudi Slovenija, priznava kot lokacije, za katere velja dovolj visok standard na področju človekovih pravic. Pričakovati je, da bodo ponudniki svoje storitve prilagajali varnostnim standardom, ki veljajo v EU, zlasti zaradi izzivov čezmejnega prenosa osebnih podatkov zunaj EU.

EU si prizadeva približati uporabo storitev v oblaku javnemu sektorju

EU si medtem prizadeva približati uporabo storitev v oblaku javnemu sektorju z iniciativo, ki jo vodi Evropski odbor za varstvo osebnih podatkov (angl. »European Data Protection Board«), v okviru katerega deluje tudi slovenski nadzorni organ. Januarja 2023 je bil tako sprejet dokument, ki se ukvarja z vprašanjem uporabe storitev računalništva v oblaku s strani javnega sektorja. (Dokument »2022 Coordinated Enforcement Action Use of cloud-based services by the public sector« je bil sprejet 17. januarja letos.) Bližamo se tudi sprejemu sklepa o ustreznosti, s katerim bi bil iznos podatkov iz EU v ZDA lažje skladen s predpisi.

Kaj pa certificiranje in zagotovila o storitvah v oblaku?

Uporabniki storitev v oblaku lahko računajo na možnosti, ki so jim na voljo za nastavitev parametrov storitev. Tam si lahko uporabniki nastavljajo niz parametrov, ki lahko, v kolikor so pravilno nastavljeni, pripomorejo k zagotavljanju skladnosti. Zmogljivosti in delovanje teh parametrov globalni ponudniki dajejo v pregled revizijskim hišam, ki s svojimi poročili podajajo zagotovila o storitvah v oblaku, ki jih nudijo ponudniki. Kako kakovostno pa je te parametre uporabil posamični uporabnik storitev v oblaku in ali si je pri tem zagotovil skladnosti z evropsko in nacionalno zakonodajo, s področja varstva osebnih podatkov, je drugo vprašanje. V prihodnosti je mogoče pričakovati standardizacijo in certificiranje nekaterih lastnosti storitev v oblaku, zlasti z zornega kota upravljanja osebnih podatkov, kot je mogoče videti v iniciativah na ravni EU (EU data protection seal).

Homologacija (certificiranje) avta ni dovolj za varno vožnjo …

Nekatere izzive ponudnikov in uporabnikov storitev v oblaku lahko ponazorimo na primeru osebnih vozil z ustrezno homologacijo. Homologacija daje zagotovilo, da je vozilo primerno opremljeno za določen trg, vendar pa žal ne zagotavlja, da bo avto vožen v skladu s predpisi in varno. Na koncu je seveda to odvisno od samega uporabnika vozila. Enako velja za računalništvo v oblaku. Ravno za ta namen so ponudniki storitev v oblaku svoje kapacitete razvili na različnih geografskih področjih, kjer lahko zagotovijo več kot le en podatkovni center, tj. fizičnih lokacij, ki omogočajo zdravo osnovo za skladnost poslovanja odjemalcev storitev z zahtevami Splošne uredbe o varstvu podatkov. Torej nič nam ne pomaga “certificirana” storitev, če je ne uporabljamo ali nastavimo primerno.

Kako naj torej uporabljamo storitve v oblaku?

• Vsak upravljavec javnega in zasebnega sektorja mora v vsakem trenutku razumeti s katerimi vrstami osebnih podatkov upravlja, pri čemer mora spoštovati načela varstva osebnih podatkov.
• Nujno je poglobljeno razumevanje celotne verige deležnikov in sistemov, po kateri potujejo osebni podatki.
• Ob nastanku dilem je smiselno posvetovanje z nadzornim organom, bodisi Informacijskim pooblaščencem bodisi AKOS, koristen zna biti tudi angažma svetovalca.

Primer iz prakse: Prenos poslovnega procesa, ki obdeluje osebne podatke v oblaku – finančna inštitucija.

Za ilustracijo naj omenimo primer, ko smo za mednarodno družbo iz finančnega sektorja, koordinirali projekt prenosa, dela procesa odobravanja posojil, h globalnemu ponudniku, ki ta proces izvaja v oblaku. V nadaljevanju na kratko navajamo fokusna področja prenos in kratek opis aktivnosti.

• Arhitektura
  • V tem postopku smo najprej do podrobnosti analizirali arhitekturo njihovega informacijskega sistema, ki omogoča izvajanje te storitve in vse deležnike, ki jih ponudnik uporablja v svojem poslovnem modelu.
• Podatkovni tokovi
  • Ocenili smo predvidene podatkovne tokove in relevantne kontrolne mehanizme.
• Zagotovila
  • Od vseh relevantnih deležnikov smo pridobili neodvisna zagotovila o njihovem sistemu notranjih kontrol. Kjer zagotovila niso bila zadostna, smo govorili neposredno s tehničnimi ekipami in z vpogledi v proces dela ali sisteme pridobili dodatne informacije.
• Standardi
  • Uskladili smo pričakovanja z lokalnimi standardi in standardi na ravni korporacije. Razvili smo izhodno strategijo za ta proces v primeru, da bi želeli prenehati uporabo storitev tega ponudnika.
• Neprekinjeno poslovanje
  • Vzporedno smo osvežili oceno učinka na poslovanje, ki je temelj za oblikovanje načrtov neprekinjenega poslovanja ter na koncu osvežili elemente načrta neprekinjenega poslovanja.
• Izhodni načrt
  • Formalno smo opredelili vsebino izhodnega načrta in vgradili elemente preizkušanja v operativne – letne načrte posamičnih ekip.

Deležniki, ki so bili vpleteni v ta proces so bili med drugim: nadzorni svet, uprava, področje skladnosti, področje obvladovanja tveganj, pooblaščena oseba za varstvo osebnih podatkov, pooblaščena oseba za varnost informacij -CISO, varnostni inženirji, razvijalci informacijskih rešitev in tehnologi, odgovorne osebe za procese, ki so bili podvrženi spremembam…. regulator – finančna industrija in informacijski pooblaščenec.

Kaj nas čaka – geostrateška tveganja oblaka?

Za zaključek lahko rečemo, da nam ob nenehnem razvoju informacijske tehnologije in s tem povezanih poslovnih modelov tudi v prihodnje ne bo dolgčas.
V luči vse splošne uporabe globalnih ponudnikov storitev v oblaku, od katerih smo odvisni skoraj vsi, je zanimivo ne samo tveganje nezakonite obdelave osebnih podatkov, temveč tudi geostrateška tveganja povezana z uporabo storitev v oblaku, kjer morda lahko v nekem trenutku vlada neke države naroči ponudniku globalnih storitev v oblaku, da določeno storitev onemogoči.

Kako smo pripravljeni? Se nam lahko kaj takšnega tudi dejansko zgodi?

Morda o tem ob drugi priložnosti.
Renato Burazer, svetovalec in revizor IT, direktor, AREM d.o.o.

(Uporaba vsebin v prispevku je na lastno odgovornost. Vedno se posvetujte s strokovnjaki, ki bodo ocenili in upoštevali vaše specifične okoliščine.)