{"id":719,"date":"2023-03-07T18:13:34","date_gmt":"2023-03-07T18:13:34","guid":{"rendered":"https:\/\/arem-psn.com\/si\/?p=719"},"modified":"2023-03-07T18:40:27","modified_gmt":"2023-03-07T18:40:27","slug":"gdpr-zvop-2-kaj-sme-v-oblaku-javni-in-kaj-privatni-sektor","status":"publish","type":"post","link":"https:\/\/arem-psn.com\/si\/gdpr-zvop-2-kaj-sme-v-oblaku-javni-in-kaj-privatni-sektor\/","title":{"rendered":"GDPR, ZVOP-2 – oblak – javni in privatni sektor – vizija?"},"content":{"rendered":"\n

Povzetek 30 sek: Dileme ZVOP-2 za javni sektor; Iniciative EU; Primer prenosa procesa v oblak. <\/em><\/p>\n\n\n\n

Upravljanje z osebnimi podatki, kamor sodi tudi njihov nastanek in zbiranje oz. nadaljnja obdelava, vklju\u010dno s hrambo, vpogledovanjem, spremembami in izbrisom je kompleksna tema, kjer se prepletajo interesi vrste dele\u017enikov. Podro\u010dje obdelave in varstva osebnih podatkov pa poleg Splo\u0161ne uredbe o varstvu podatkov in podro\u010dne zakonodaje po novem komplementarno ureja tudi Zakon o varstvu osebnih podatkov (ZVOP-2).
Informacijski poobla\u0161\u010denec je za pojasnjevanje dilem, ki jih odpira ZVOP-2 \u017ee pripravil pregled klju\u010dnih novosti, posodobil nekatere smernice in gradiva ter za\u010del objavljati nezavezujo\u010da mnenja, ki upo\u0161tevajo dolo\u010dbe nove zakonodaje kar nam bo zagotovo v pomo\u010d.<\/p>\n\n\n\n

Ali sme javni sektor shranjevati osebne podatke v oblaku?<\/h2>\n\n\n\n

Kot eno izmed ve\u010djih zanimivosti novega ZVOP-2 je vredno omeniti dolo\u010dbo 23. \u010dlena, ki v \u010detrtem odstavku dolo\u010da, da upravljavci zasebnega in javnega sektorja dolo\u010denih zbirk osebnih podatkov ne smejo hraniti izven ozemlja Republike Slovenije. Prepoved se nana\u0161a na najbolj ob\u010dutljive t. i. posebne obdelave osebnih podatkov, ki zaradi svojih lastnosti tudi po mnenju zakonodajalca zahtevajo posebno urejanje in varovanje. Prepoved hrambe izven ozemlja Republike Slovenije se tako nana\u0161a na osebne podatke iz zbirk, dolo\u010denih v zakonih, ki urejajo podro\u010dja upravnih notranjih zadev, finan\u010dne uprave, dr\u017eavljanstva, Slovenske obve\u0161\u010devalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekr\u0161kovnih evidenc<\/em><\/strong>.
Splo\u0161na prepoved hrambe ob\u010dutno presega prvotni predlog ZVOP-2, ki je dolo\u010dal prepoved hrambe tovrstnih podatkov v zasebnem ra\u010dunalni\u0161kem oblaku, kjer fizi\u010dna lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave. Odpira se tudi vpra\u0161anje, ali je morda zakonodajalec prekora\u010dil pooblastilo iz Splo\u0161ne uredbe o varstvu podatkov za podrobnej\u0161e urejanje obdelave osebnih podatkov v nacionalnem predpisu, zlasti glede na prost pretok osebnih podatkov znotraj EU. (Ve\u010d informacij o tem je zapisal informacijski poobla\u0161\u010denec na svoji spletni strani<\/a>.)<\/p>\n\n\n\n

Ali hramba osebnih podatkov iz 1. to\u010dke prvega odstavka 23. \u010dlena ZVOP-2 pri ameri\u0161kem ponudniku predstavlja kr\u0161itev?<\/h2>\n\n\n\n

Na vpra\u0161anje, ali hramba zbirke osebnih podatkov iz 1. to\u010dke prvega odstavka 23. \u010dlena ZVOP-2 v oblaku ameri\u0161kega ponudnika predstavlja kr\u0161itev posebnih dolo\u010db ZVOP-2, je tako odgovor jasen. Navedeno predstavlja kr\u0161itev<\/strong> dolo\u010db v zvezi z varnostjo osebnih podatkov na podro\u010dju posebnih obdelav.<\/p>\n\n\n\n

Ali hramba osebnih podatkov, iz 1. to\u010dke prvega odstavka 23. \u010dlena ZVOP, pri h\u010derinski dru\u017ebi ameri\u0161kega ponudnika na Irskem predstavlja kr\u0161itev ZVOP-2?<\/h2>\n\n\n\n

Enako velja tudi za hrambo podatkov te vrste v oblaku h\u010derinske dru\u017ebe ameri\u0161kega podjetja, registriranem na Irskem. Standard, ki ga zasleduje zakonodajalec je tako visok, da problematizira sodelovanje tudi z drugimi ponudniki ra\u010dunalni\u0161tva v oblaku, \u010deprav so morda ti izklju\u010dno evropski.
Naj poudarimo, da ZVOP-2 dolo\u010da triletni rok za uskladitev posebnih obdelav. Ne glede na navedeno pa v vmesnem \u010dasu brez izzivov ne bo \u0161lo, zlasti upo\u0161tevajo\u010d pravne ovire na podro\u010dju prenosa osebnih podatkov v tretje dr\u017eave. \u0160e posebej na udaru so ameri\u0161ki ponudniki storitev elektronske komunikacije, med katere spadajo tudi ponudniki ra\u010dunalni\u0161tva v oblaku.
Globalni ponudniki storitev hrambe ali obdelave podatkov se po drugi strani dobro zavedajo zahtev Splo\u0161ne uredbe o varstvu podatkov, za zagotavljanje skladnosti z zahtevami, ki jih narekuje evropska zakonodaja pa namenjajo veliko sredstev. Skladnost lahko ponudniki do dolo\u010dene mere dose\u017eejo z vzpostavitvami fizi\u010dne infrastrukture na lokacijah, ki jih EU, posledi\u010dno pa tudi Slovenija, priznava kot lokacije, za katere velja dovolj visok standard na podro\u010dju \u010dlovekovih pravic. Pri\u010dakovati je, da bodo ponudniki svoje storitve prilagajali varnostnim standardom, ki veljajo v EU, zlasti zaradi izzivov \u010dezmejnega prenosa osebnih podatkov zunaj EU. <\/p>\n\n\n\n

EU si prizadeva pribli\u017eati uporabo storitev v oblaku javnemu sektorju<\/h2>\n\n\n\n

EU si medtem prizadeva pribli\u017eati uporabo storitev v oblaku javnemu sektorju z iniciativo, ki jo vodi Evropski odbor za varstvo osebnih podatkov (angl. \u00bbEuropean Data Protection Board\u00ab), v okviru katerega deluje tudi slovenski nadzorni organ. Januarja 2023 je bil tako sprejet dokument, ki se ukvarja z vpra\u0161anjem uporabe storitev ra\u010dunalni\u0161tva v oblaku s strani javnega sektorja. (Dokument \u00bb2022 Coordinated Enforcement Action Use of cloud-based services by the public sector\u00ab je bil sprejet 17. januarja letos.) Bli\u017eamo se tudi sprejemu sklepa o ustreznosti, s katerim bi bil iznos podatkov iz EU v ZDA la\u017eje skladen s predpisi.<\/p>\n\n\n\n

Kaj pa certificiranje in zagotovila o storitvah v oblaku?<\/h2>\n\n\n\n

Uporabniki storitev v oblaku lahko ra\u010dunajo na mo\u017enosti, ki so jim na voljo za nastavitev parametrov storitev. Tam si lahko uporabniki nastavljajo niz parametrov, ki lahko, v kolikor so pravilno nastavljeni, pripomorejo k zagotavljanju skladnosti. Zmogljivosti in delovanje teh parametrov globalni ponudniki dajejo v pregled revizijskim hi\u0161am, ki s svojimi poro\u010dili podajajo zagotovila o storitvah v oblaku, ki jih nudijo ponudniki. Kako kakovostno pa je te parametre uporabil posami\u010dni uporabnik storitev v oblaku in ali si je pri tem zagotovil skladnosti z evropsko in nacionalno zakonodajo, s podro\u010dja varstva osebnih podatkov, je drugo vpra\u0161anje. V prihodnosti je mogo\u010de pri\u010dakovati standardizacijo in certificiranje nekaterih lastnosti storitev v oblaku, zlasti z zornega kota upravljanja osebnih podatkov, kot je mogo\u010de videti v iniciativah na ravni EU<\/a> (EU data protection seal).<\/p>\n\n\n\n

\n

<\/p>\nHomologacija (certificiranje) avta ni dovolj za varno vo\u017enjo …<\/mark><\/cite><\/blockquote>\n\n\n\n

Nekatere izzive ponudnikov in uporabnikov storitev v oblaku lahko ponazorimo na primeru osebnih vozil z ustrezno homologacijo. Homologacija daje zagotovilo, da je vozilo primerno opremljeno za dolo\u010den trg, vendar pa \u017eal ne zagotavlja, da bo avto vo\u017een v skladu s predpisi in varno. Na koncu je seveda to odvisno od samega uporabnika vozila. Enako velja za ra\u010dunalni\u0161tvo v oblaku. Ravno za ta namen so ponudniki storitev v oblaku svoje kapacitete razvili na razli\u010dnih geografskih podro\u010djih, kjer lahko zagotovijo ve\u010d kot le en podatkovni center, tj. fizi\u010dnih lokacij, ki omogo\u010dajo zdravo osnovo za skladnost poslovanja odjemalcev storitev z zahtevami Splo\u0161ne uredbe o varstvu podatkov. Torej ni\u010d nam ne pomaga “certificirana” storitev, \u010de je ne uporabljamo ali nastavimo primerno. <\/p>\n\n\n\n

Kako naj torej uporabljamo storitve v oblaku? <\/h2>\n\n\n\n
    \n
  • Vsak upravljavec javnega in zasebnega sektorja mora v vsakem trenutku razumeti s katerimi vrstami osebnih podatkov upravlja, pri \u010demer mora spo\u0161tovati na\u010dela varstva osebnih podatkov.<\/li>\n\n\n\n
  • Nujno je poglobljeno razumevanje celotne verige dele\u017enikov in sistemov, po kateri potujejo osebni podatki.<\/li>\n\n\n\n
  • Ob nastanku dilem je smiselno posvetovanje z nadzornim organom, bodisi Informacijskim poobla\u0161\u010dencem bodisi AKOS, koristen zna biti tudi anga\u017ema svetovalca.<\/li>\n<\/ul>\n\n\n\n

    Primer iz prakse: Prenos poslovnega procesa, ki obdeluje osebne podatke v oblaku – finan\u010dna in\u0161titucija.<\/h2>\n\n\n\n

    Za ilustracijo naj omenimo primer, ko smo za mednarodno dru\u017ebo iz finan\u010dnega sektorja, koordinirali projekt prenosa, dela procesa odobravanja posojil, h globalnemu ponudniku, ki ta proces izvaja v oblaku. V nadaljevanju na kratko navajamo fokusna podro\u010dja prenos in kratek opis aktivnosti.<\/p>\n\n\n\n

      \n
    • Arhitektura<\/strong>\n
        \n
      • V tem postopku smo najprej do podrobnosti analizirali arhitekturo njihovega informacijskega sistema, ki omogo\u010da izvajanje te storitve in vse dele\u017enike, ki jih ponudnik uporablja v svojem poslovnem modelu.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
      • Podatkovni tokovi<\/strong>\n
          \n
        • Ocenili smo predvidene podatkovne tokove in relevantne kontrolne mehanizme.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
        • Zagotovila<\/strong>\n
            \n
          • Od vseh relevantnih dele\u017enikov smo pridobili neodvisna zagotovila o njihovem sistemu notranjih kontrol. Kjer zagotovila niso bila zadostna, smo govorili neposredno s tehni\u010dnimi ekipami in z vpogledi v proces dela ali sisteme pridobili dodatne informacije.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
          • Standardi<\/strong>\n
              \n
            • Uskladili smo pri\u010dakovanja z lokalnimi standardi in standardi na ravni korporacije. Razvili smo izhodno strategijo za ta proces v primeru, da bi \u017eeleli prenehati uporabo storitev tega ponudnika.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
            • Neprekinjeno poslovanje<\/strong>\n
                \n
              • Vzporedno smo osve\u017eili oceno u\u010dinka na poslovanje, ki je temelj za oblikovanje na\u010drtov neprekinjenega poslovanja ter na koncu osve\u017eili elemente na\u010drta neprekinjenega poslovanja.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
              • Izhodni na\u010drt<\/strong>\n
                  \n
                • Formalno smo opredelili vsebino izhodnega na\u010drta in vgradili elemente preizku\u0161anja v operativne – letne na\u010drte posami\u010dnih ekip.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

                  Dele\u017eniki, ki so bili vpleteni v ta proces so bili med drugim: nadzorni svet, uprava, podro\u010dje skladnosti, podro\u010dje obvladovanja tveganj, poobla\u0161\u010dena oseba za varstvo osebnih podatkov, poobla\u0161\u010dena oseba za varnost informacij -CISO, varnostni in\u017eenirji, razvijalci informacijskih re\u0161itev in tehnologi, odgovorne osebe za procese, ki so bili podvr\u017eeni spremembam\u2026. regulator \u2013 finan\u010dna industrija in informacijski poobla\u0161\u010denec.<\/p>\n\n\n\n

                  Kaj nas \u010daka – geostrate\u0161ka tveganja oblaka?<\/h2>\n\n\n\n

                  Za zaklju\u010dek lahko re\u010demo, da nam ob nenehnem razvoju informacijske tehnologije in s tem povezanih poslovnih modelov tudi v prihodnje ne bo dolg\u010das.
                  V lu\u010di vse splo\u0161ne uporabe globalnih ponudnikov storitev v oblaku, od katerih smo odvisni skoraj vsi, je zanimivo ne samo tveganje nezakonite obdelave osebnih podatkov, temve\u010d tudi geostrate\u0161ka tveganja povezana z uporabo storitev v oblaku, kjer morda lahko v nekem trenutku vlada neke dr\u017eave naro\u010di ponudniku globalnih storitev v oblaku, da dolo\u010deno storitev onemogo\u010di. <\/p>\n\n\n\n

                  Kako smo pripravljeni? Se nam lahko kaj tak\u0161nega tudi dejansko zgodi? <\/p>\n\n\n\n

                  Morda o tem ob drugi prilo\u017enosti.
                  Renato Burazer, svetovalec in revizor IT, direktor, AREM d.o.o.<\/p>\n\n\n\n

                  (Uporaba vsebin v prispevku je na lastno odgovornost. Vedno se posvetujte s strokovnjaki, ki bodo ocenili in upo\u0161tevali va\u0161e specifi\u010dne okoli\u0161\u010dine.) <\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

                  Povzetek 30 sek: Dileme ZVOP-2 za javni sektor; Iniciative EU; Primer prenosa procesa v oblak. Upravljanje z osebnimi podatki, kamor sodi tudi njihov nastanek in zbiranje oz. nadaljnja obdelava, vklju\u010dno s hrambo, vpogledovanjem, spremembami in izbrisom je kompleksna tema, kjer se prepletajo interesi vrste dele\u017enikov. Podro\u010dje obdelave in varstva osebnih podatkov pa poleg Splo\u0161ne uredbe o varstvu podatkov in podro\u010dne zakonodaje po novem komplementarno ureja tudi Zakon o varstvu osebnih podatkov (ZVOP-2).Informacijski poobla\u0161\u010denec je za pojasnjevanje dilem, ki jih odpira ZVOP-2 \u017ee pripravil pregled klju\u010dnih novosti, posodobil nekatere smernice in gradiva ter za\u010del objavljati nezavezujo\u010da mnenja, ki upo\u0161tevajo dolo\u010dbe nove<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,18,17],"tags":[20,19,35,22],"class_list":["post-719","post","type-post","status-publish","format-standard","hentry","category-storitve-v-oblaku","category-varstvo-osebnih-podatkov","category-zunanje-izvajanje","tag-gdpr","tag-osebni-podatki","tag-storitve-v-oblaku","tag-zvop-2"],"_links":{"self":[{"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/posts\/719","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/comments?post=719"}],"version-history":[{"count":13,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/posts\/719\/revisions"}],"predecessor-version":[{"id":740,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/posts\/719\/revisions\/740"}],"wp:attachment":[{"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/media?parent=719"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/categories?post=719"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arem-psn.com\/si\/wp-json\/wp\/v2\/tags?post=719"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}