Posodobitev pravilnika o postopkih in ukrepih za zavarovanje osebnih podatkov
Zakon o varstvu osebnih podatkov za zavarovanje le-teh določa postopke in ukrepe, da se ob spoštovanju določb zakona lahko zagotavlja visoka raven varstva osebnih podatkov. Že ZVOP-1 je opredelil pomembnost slednjih, nov zakon pa je del o pravilnikih o postopkih in ukrepih za zavarovanje osebnih podatkov posodobil.
Zakon o varstvu osebnih podatkov (ZVOP-2) tako med drugimi pomembnejšimi spremembami (povezava do ZVOP-2) spreminja tudi določbe o Pravilniku o postopkih in ukrepih za zavarovanje osebnih podatkov – ti v osnovi predpisuje organizacijske, tehnične in logično-tehnične postopke in ukrepe zavarovanja osebnih podatkov pri upravljavcu.
Bistvena razlika med ZVOP-1 in ZVOP-2 je predvsem v tem, da je ZVOP-1 konkretno narekoval sprejetje internega akta za zavarovanje osebnih podatkov pri upravljavcu, in sicer v 3. poglavju, Zavarovanje osebnih podatkov, natančneje v 24. in 25. členu, kjer so določbe velevale, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.
ZVOP-2 pa tega v nobenem členu ne opredeljuje eksplicitno, se pa Splošna uredba o varstvu podatkov v II. poglavju, v členu 5, ki določa Načela v zvezi z obdelavo osebnih podatkov, dotika tega področja, in sicer implicira potrebo po ureditvi obdelave na način, ki zagotavlja ustrezno varnost osebnih podatkov.
GDPR tako določa, da se morajo osebni podatki obdelovati na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost in zaupnost).
In kako določimo in implementiramo ustrezen način obdelave osebnih podatkov?
Način obdelave, kot zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi naj se torej pisno zapiše in ureja v obliki internega akta, tj. Pravilnika o postopkih in ukrepih za zavarovanje osebnih podatkov. K temu naj bodo zavezani vsi, ki z osebnimi podatki kakorkoli prihajajo v stik (kot redno zaposleni, študenti, praktikanti, pogodbeni sodelavci, zunanji obdelovalci itd.).