Inovativnost in agilnost sta pogoja za rast in obstanek

Uvajanje sprememb, spremljava ali neodvisen nadzor vaših pomembnih projektov je lahko naša skrb. Skupaj z vami bomo načrtovali in izvedli pomembne spremembe (razvoj strategij, digitalna transformacija, organizacijska transformacija). Vzpostavili ali izboljšali bomo vaše obvladovanje tveganj ter sistem notranjih kontrol. Nudili vam bomo podporo pri doseganju vaših ciljev na način, ki upošteva najboljše prakse in je skladen s ciljno kulturo vaše organizacije. V našo ekipo bomo dodajali vrhunske strokovnjake iz naše mednarodne mreže v obsegu in na strokovnih področjih, ki so za vas pomembna. Želimo postati tudi vaš partner. Vabljeni na kavo in diskusijo o vaših izzivih! Vabljeni k sodelovanju!

Ali lahko varnostni inženir preiskuje revizijske sledi, ki vsebujejo osebne podatke?

Dilema 1: Ali lahko?

V podjetju v Sloveniji se je zgodil varnostni incident. Varnostni inženir želi preiskati vsebino revizjskih sledi v katerih pa se nahajajo tudi IP številke uporabnikov informacijskega sistema s katerimi je mogoče prepoznati identiteto uporabnika. Ali je takšno pregledovanje revizijskih, ki se izvajajo s strani varnostnega inženirja na podlagi prijavljenega varnostnega incidenta skladno z ZVOP-2?

V skladu z Zakonom o varstvu osebnih podatkov (ZVOP-2) je pregledovanje revizijskih sledi, ki vsebujejo osebne podatke, kot so IP naslovi uporabnikov, dopustno, če je to potrebno za izkazovanje zakonitosti obdelave, izvajanje notranjega nadzora, nadzorov s strani pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov. To je določeno v tretjem odstavku 22. člena ZVOP-2.

IP RS

V primeru varnostnega incidenta je pregledovanje revizijskih sledi s strani varnostnega inženirja upravičeno, saj je namenjeno zagotavljanju varnosti osebnih podatkov in odpravljanju napak v delovanju informacijskega sistema. Pomembno je, da se pri tem upoštevajo načela sorazmernosti in najmanjšega obsega podatkov, kar pomeni, da se obdelujejo le tisti osebni podatki, ki so nujno potrebni za preiskavo incidenta.

Poleg tega mora upravljavec zagotoviti, da so revizijske sledi dostopne le pooblaščenim osebam in da se uporabljajo izključno za zgoraj navedene namene. Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, razen če drug zakon določa drugače.

IP RS

Glede na navedeno je pregledovanje revizijskih sledi s strani varnostnega inženirja v primeru varnostnega incidenta skladno z določbami ZVOP-2, pod pogojem, da se upoštevajo načela sorazmernosti, najmanjšega obsega podatkov ter da so sprejeti ustrezni varnostni ukrepi za zaščito osebnih podatkov.

Dilema 2: Kako hitro je dovolj hitro?

Kako hitro naj se varnostnemu inženirju omogoči dostop do revizijskih sledi?

Ali naj ima v današnjem dinamičnem okolju, ko pri preiskovanju incidentov odločajo že tudi sekunde stalen dostop do revizijskih sledi?

Odgovori na ti vprašanji so povezani z notranjo ureditvijo posamičnega okolja in odvisni od agilnosti vseh povezanih deležnikov, ki so vpleteni v proces odpiranja in zapiranja dostopov ter celotnega življenjskega cikla upravljanja incidentov.

Predlagamo, da se v ta namen naredi ocena tveganj in koristi ter zagotovi predvsem hiter reakcijski čas za zamejitev obsega incidenta in ohranjanje digitalnih sledi za preiskovanje in ukrepanje.

Copyright © 2026 AREM Professional Services Network Slovenija