webinar - result€¦ · podatki, kje in tudi zakaj in kako so povezani, česploh so). qlik sense...
TRANSCRIPT
WEBINAR:Izognite se GDPR apokalipsi. Pripravite se.
Vaša vprašanja in naši odgovori
Govorili smo:
• Zakaj vsi govorijo o GDPR in kaj je dejanski pravni izziv?
• Zakaj upravljanje podatkov (data governance) GDPR iz grožnje
spreminja v priložnost?
• Zakaj je Qlik Sense optimalno orodje za pravčasno
izpolnitev zahtev GDPR?
2
V nadaljevanju vam podajamo odgovore na vprašanja, ki ste nam jih zastavili.
GDPR - Q&A
Je javno dostopen podatek (spletna stran podjejta recimo) tudi osebni podatek?
Vsak podatek, na podlagi katerega se lahko identificira posameznika, je osebnipodatek. Tudi če ga pridobite na spletni strani, pa ga nameravate uporabiti za drugnamen, kot za kontaktiranje te osebe (ob tem predpostavljamo, da je osebni podatekna spletni strani podjetja objavljen ravno z namenom, da je mogoče s to osebo priti vstik), morate za tak (drugačen, nov) namen obdelave pridobiti izrecno soglasjeposameznika.
***
Recimo da bazo zgradimo iz javno dostopnih podatkov (sejmi, etc), jih moramoobvestiti da smo naredili neko bazo.
Ne glede na to da bazo zgradite iz javno dostopnih podatkov, morate od vsakegaposameznika pridobiti najprej izrecno privolitev za obdelavo osebnih podatkov zadoločen namen.
3
GDPR - Q&A
Npr.konkretno trgovina, ki nudi tudi servis izdelkov. Nekdo pokliče in se želi
naročiti na servis. Kako prevzeti osebne podatke, naslov itd. Kako dolgo lahko ta
info hranimo? Do sedaj so npr. sedaj to hranili v zvezku in ko je bil napolnjen, so
ga vrgli v smeti.
Izvedba servisnih storitev pomeni izvršitev pogodbe med naročnikom (fizično osebo) in
servisom, ki predstavlja podlago za obdelavo tistih osebnih podatkov, ki so nujni za
izvedbo pogodbe (če bi o naročniku radi izvedeli še kaj več, ker bi to želeli npr. uporabiti
za bodoče marketinške ali prodajne aktivnosti, bi bilo za te dodatne osebne podatke
potrebno pridobiti njegovo privolitev). Osebne podatke je dovoljeno hraniti toliko čas,
dokler ni dosežen namen obdelave. Po našem mnenju je to še 5 let od opravljene
storitve, kolikor znaša zastaralni rok, v katerem bi naročnik lahko npr. zahteval
odškodnino zaradi (domnevno) malomarno opravljenega dela. 5 let je tudi obdobje, za
katero davčna zakonodaja zahteva hrambo računa (ki vsebuje osebne podatke
naročnika). Metanje zvezka v smeti pa vsekakor ni skladno niti s trenutnim Zakonom o
varstvu osebnih podatkov (ZVOP-1) in še manj z bodočo Uredbo in ZVOP-2.
4
GDPR - Q&A
Podatke imamo v različnih bazah; do naslednjega maja je iluzorno pričakovati, da
jih bomo uredili v podatkovno skladišče – kako ukrepati v smeri izpolnjevanja
zahtev GDPR v tem primeru?
Kot sem predstavil, najpomembnejša je identifikacija podatkov (podatkovni slovar) in
identifikacija življenjskega cikla podatka (data lineage). Verjamemo, da je izgradnja
enotnega podatkovnega skladišča zalogaj, vendar če lahko predvidimo končno vsebino
(iz podatkovnega slovarja) in pot do te vrednosti (data lineage), lahko v vmesnem
obdobju naredimo podatkovno jezero (data lake), kjer s pomočjo vpogledov (views)
"simuliramo" končno rešitev. Zakaj samo simuliramo? Ker taka rešitev pripelje do pravih
rezultatov, vendar je performančno zelo potratna in kot taka torej služi le kot začasni
korak oz. kot "POC - proof of concept". Na ta način boste maja mirno spali in imeli
konkretne temelje za nadaljnje ukrepanje in celovito, trajno rešitev.
5
GDPR - Q&A
Kaj se bo zgodilo z javno objavljenimi katalogi zbirk osebnih podatkov, ki jih od
maja dalje ne bo več potrebno pošiljati na IP?
Osnutek ZVOP-2 v 99. členu predvideva bodisi prenehanje delovanja registra zbirk
osebnih podatkov bodisi njegov nadaljnji obstoj, pri čemer je za javni sektor pri tej drugi
varianti predvidno za javni sektor obvezno sporočanje podatkov, za zasebni sektor pa
prostovoljno.
***
6
Živjo, kako je s kontakti v pametnih telefonih, kjer imam številke in maile, telefon je
pa privat?
Osnutek ZVOP-2 izrecno predvideva, da se pravila glede (varstva) osebnih podatkov ne
uporabljajo za obdelavo osebnih podatkov, ki jih izvajajo fizične osebe »izključno za
osebno uporabo, družinsko življenje ali za druge domače potrebe«.
GDPR - Q&A
Zdravo. Če lastnik OP upravljavcu dovoli obdelavo OP, ga je dolžan obveščati o
spremembah? Kako sicer upravljavec odgovarja za točnost podatkov?
GDPR predvideva »razumne ukrepe za zagotovitev, da se netočni osebni podatki brez
odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo«, ne
vzpostavlja pa izrecne dolžnosti posameznika, da sporoča spremembe. Pameten
upravljavec bo to od posameznikov vsekakor zahteval, naše mnenje pa je, da ne more
trpeti negativnih posledic, če bo posameznik dal napačne podatke ali če ne bo
(pravočasno) sporočil spremembe.
7
GDPR - Q&A
Zanima me primer klicnega centra, ki do sedaj hrani podatke; ogromno
strank/potencialnih strank. Kakšen je potek skladnosti z GDPRjem, bo treba od
vsakega posameznika dobiti privolitev, kar se mi zdi abusurdno zamudno .. ?
Imate kakšno lažjo rešitev ? hvala za odgovor
Potrebno bo pridobiti tudi za nazaj soglasje oz. izrecno privolitev od vsakega
posameznika za točno določen namen obdelave njegovih podatkov, v kolikor tega klicni
center še nima. Lažje rešitve vam žal ne moremo predlagati.
8
GDPR - Q&A
Pozdravljeni. Končno rešitev ste predstavili v orodju Qlik, če sem pravilno zaznal,
ker je »hitrejša« oz. omogoča bližnjico? Zanima me, zakaj točno naj bi bilo temu
tako in ali vendarle ni vseeno katero »končno« aplikacijo uporabljamo?
S Qlikovim asociativnim pristopom do podatkov, lahko hitro pridemo do povezav med
podatki v vseh podatkovnih virih, ki so vam na voljo. Torej lahko na enem mestu vidite
celotno zgodbo nastopanja oz. pojavljanja podatkov v vaših podatkovnih virih (kateri
podatki, kje in tudi zakaj in kako so povezani, če sploh so). Qlik Sense zmore torej
samostojno povezati polja z enako vsebinsko definicijo. Zato pravimo, da je hitra in
učinkovita pot do GDPR skladnosti. Torej v osnovi potrebujete urejen podatkovni slovar z
definicijami in pot do teh (data lineage), kar pomeni, da v samem začetku (še) ne
potrebujete 100% urejenega podatkovnega skladišča, da ugotovite, kje vse se nahajajo
podatki in kakšni so.
9
GDPR - Q&A
So cloud providerji dolžni nadzirati tip podatkov, ki jih pri njih hranijo upravljavci
OP? Mora biti v primeru občutljivih OP o tem zaradi nujne vpeljave nadprednejših
varnostnih meril obveščen?
Iz GDPR to ni povsem jasno. V pogodbi, ki jo mora upravljavec (naročnik) obvezno
skleniti s pogodbenim obdelovalcem (cloud providerjem), je med drugim potrebno
opredeliti vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih
podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter
obveznosti in pravice upravljavca (naročnika). Iz tega bi izhajalo, da mora biti cloud
provider vsaj seznanjen s tipi podatkov, ki jih misli na njegovi infrastrukturi hraniti /
obdelovati naročnik. Po našem mnenju to ne pomeni, da bi moral aktivno nadzirati, ali
se naročnik drži dogovora; oziroma je dogovor, po katerem sploh nima take pravice
(četudi tehnično morda taka možnost obstaja, ker npr. podatki niso kriptirani ali
psevdonimizirani), lahko pomemben element zagotavljanja varnosti osebnih podatkov.
10
GDPR - Q&A
Ali so osebni podatki fizičnih oseb, ko nastopajo v vlogi predstavnika pravne osebe (npr.
zakoniti zastopniki družb), predmet zaščite po GDPR? Ali torej varstvo pripada vsem
posameznikom, katerih osebni podatki se pojavljajo npr. kot zastopniki in podpisniki
poslovnega partnerja na pogodbah, ki jih z njim sklene naša družba? Ali bi to veljalo le (da
torej varstvo zapade pod novo GDPR uredbo), v kolikor bi bili ti osebni podatki del zbirke ali
namenjeni, da postanejo del zbirke (15. odstavek uvodnih določb GDPR)? Ali velja enaka
logika tudi za osebne podatke zaposlenih (ime, priimek, službeni e-mail naslov; službeni
telefon) pri poslovnem partnerju naše družbe, ki jih ima (hrani) naša družba že za
zagotavljanje nemotenega poslovanja?
Če so podatki avtomatizirano obdelani (pri čemer "avtomatizirano" razumemo kot "v digitalni obliki"),
zanje velja GDPR, tudi če niso del zbirke oziroma niso namenjeni vključitvi v zbirko. Obenem
opozarjamo, da je tudi "navadna" preglednica ali celo tekstovna datoteka lahko zbirka osebnih
podatkov v smislu GDPR, torej ni nujno, da gre za nek CRM ali drugo podobno rešitev. Načelno so
torej tudi podatki, ki jih navajate, osebni podatki, pri čemer pa verjetno za njihovo obdelavo
(hrambo) ni potrebno pridobivati soglasij oseb, na katere se ti podatki nanašajo, saj zanjo obstaja
druga pravna podlaga, to je sklenjena pogodba. Pri tem pa je potrebno biti pozoren na to, ali morda
te podatke pri vas "obogatite", npr. s podatki o rojstnem dnevu, hobijih, otrocih ipd., ki so lahko
dragoceni z marketinškega vidika.
11
12
Na vaša vprašanja so odgovarjali
Jure JerajDWH & BI arhitekt v podjetju Result d.o.o.
e: [email protected]: +386 1 542 17 80m: +386 40 519 232
www.result.si
Matija Jamnikpartner v JK Groupspecialist za področja IT prava, varstva osebnih podatkov in zasebnosti v informacijski družbi
e: [email protected]: + 386 590 91 794
www.jkgroup.si
Qlik Sense®
Napredna platforma za vizualno analitiko
Nejc ŽupevecProduktni vodja
e: [email protected]: +386 1 542 17 80