Kako zavarovati osebne podatke v IT-okoljih

Objavljeno: 02.10.2019

Ena od težjih in stroškovno lahko bolečih zahtev GDPR je varnost obdelave osebnih podatkov, posebej vprašanje, kako strogi moramo biti pri tem. Vsekakor neki mali upravljavec osebnih podatkov nima enakih zahtev po varnosti obdelave (zavarovanju) osebnih podatkov kot, denimo, neka bolnišnica. Težava je predvsem v tem, da GDPR ne določa natančno, katere ukrepe je treba uporabiti za na primer določeno število osebnih podatkov. Tako posledično odločitev prepusti vsakemu upravljavcu posebej. Ta mora zato izdelati analizo tveganj, ki mu bo pokazala, kje mora okrepiti svoje napore, da bo zadostil ustrezni varnosti oziroma GDPR.

Na to vprašanje tako ni enoznačnega odgovora, ampak ga mora najti vsak upravljavec za svojo organizacijo posebej. Pri odločanju o zahtevah (in posledično o morebitnih nakupih) je v prvem koraku treba upoštevati vsaj dva glavna kriterija: količino osebnih podatkov in njihovo občutljivost. Več kot je prvih in/ali drugih, višje stopnje zavarovanja sistemov bo treba vpeljati. Če ta kriterija, denimo, prenesemo na mikro upravljavca, bo za zadostitev morda štel že zvezek z osebnimi podatki, ki bo zaklenjen v omari. Vendar pa si na drugi strani velikih upravljavcev z ogromno osebnimi podatki, ki so po možnosti še občutljivi (posebne vrste osebnih podatkov), brez na primer avtentičnosti revizijske sledi praktično ne moremo več predstavljati. Seveda pa je dejstvo, da popolne varnosti obdelave (če ob tem upoštevamo še kriterij uporabnosti) praktično ni – saj poznate tisto: So organizacije, ki so vdor v sistem že doživele, in tiste, ki ga še bodo. Seveda pa to ne more biti izgovor, da ne bi storili vsega, kar je v naši moči, da morebiten vdor ali nepooblaščeno obdelavo osebnih podatkov preprečimo.

Več o tem pa na oktobrski delavnici dobre prakse GDPR za IT-strokovnjake.

Vir: Klemen Kraigher Mišič, direktor Info hiše, d. o. o.