ZavarujmoOSEBNE PODATKE

Priročnik za upravljavce osebnih podatkov

INFORMACIJSKI POOBLAŠČENEC RS

www.ip-rs.si

INFORMACIJSKI POOBLAŠČENECREPUBLIKE SLOVENIJE

Vošnjakova 11000 Ljubljanagp.ip@ip-rs.si

Zakaj zavarovati?

Sodobne tehnologije so v vsakdanje življenjevnesle izjemno lahkost obdelave podatkov,posebej tistih, ki so shranjeni v elektronski ob-liki. To pa pomeni, da so v vsakdanje življenjeposameznikov vnesle tudi nevarnost, da jemožno osebne podatke hitreje in lažjezlorabiti in jih ob pravi kombinaciji nareditienostavno uporabne za krajo identitete,zlorabe bančnih računov in kreditnih kartic.Med prebivalci ZDA po nekaterih podatkihstrah številka 1 niso več teroristični napadi, pačpa kraje identitete in številk kreditnih kartic.

Tudi prebivalci Evropske unije nismo imuni nazlorabe osebnih podatkov, kljub dokaj strogizakonski ureditvi, ki se nanaša na zavarovanjeosebnih podatkov. Vendar pa noben zakon nemore nadomestiti tistega, kar je pri varovanjuosebnih podatkov najpomembnejše – zave-danja prav vsakega posameznika o pomem-bnosti lastnih osebnih podatkov. Če sami(torej tudi v gospodarskih družbah) ne bomoposkrbeli za zadostno zavarovanje, bomolahko kmalu ostali z izpraznjenim transakcij-skim računom, tožbami z astronomskimiodškodninami, s kriminalisti in inšpektorji predvrati ... Zato se zavedajmo pomena osebnihpodatkov in začnimo pri osnovi – zavarovanju.

Nataša Pirc MusarInformacijska pooblaščenka RS

“FBI ocenjuje, da je v ZDA spletni kriminal poobsegu že presegel trgovino z drogami,podobno pa pričakujejo tudi v nekaterih evrop-skih državah.”

Vir: Trend Micro, april 2007

Osnova zavarovanja osebnih podatkov moratemeljiti na petih osnovnih načelih:

1. Ugotavljanje, katere osebne podatkeposedujete v svojih datotekah in v računalnikih.

2. Zmanjševanje števila osebnih podatkov,ki jih ne potrebujete.

3. Zaščita osebnih podatkov.

4. Uničenje osebnih podatkov, za katere ni-mate več pravne podlage za njihovo obdelavo.

5. Planiranje nepredvidenih prihodnjih do-godkov, ki utegnejo vplivati na zavarovanje.

1. UgotavljanjeOsnova učinkovitega zavarovanja osebnih podatkov se v prvi vrstizačne z ugotavljanjem, katere osebne podatke sploh obdelujete. Pritem morate ugotoviti tudi, kako ste jih pridobili in zakaj, kakor tudi,kdo vse ima dostop do osebnih podatkov, ki jih obdelujete. Preveritimorate tudi, kolikšen obseg obdelave osebnih podatkov imajo osebe,ki obdelujejo osebne podatke. Če še nimate izdelanega postopka svo-jega poslovanja, morate izdelati tudi učinkovito preglednico (“work-flow”).

Pri ugotavljanju, katere osebne podatke sploh obdelujete, vam lahkopomagajo naslednji napotki:1. Naredite inventar računalniške opreme, preverite, kaj se nahaja na trdihdiskih, omrežju, zgoščenkah ...2. Preverite vse komunikacijske poti v vašem podjetju, kjer pride do stikaz osebnimi podatki (spletne strani, elektronska in navadna pošta, pogodbes fizičnimi osebami, telefoni ...)3. Pogovorite s svojimi zaposlenimi na vseh oddelkih, kjer prihajajo v stikz osebnimi podatki (prodajni oddelek, naročniški ...)

Ustvariti si torej morate kar se da popolno sliko o naslednjem:

Kdo v vaše pod-jetje pošilja osebnepodatke? Pošiljateljiso lahko zelo ra-zlični – od kupcev,bank, pa do drugihpravnih oseb, kisodelujejo z vami.

Na kakšen načinpridejo osebni po-datki v podjetje?Osebne podatke lahko prejmete preko elektronskepošte, spletnih strani, plačilnega mesta v trgovini,navadne pošte, izjave na zapisnik ...

Katere osebne podatke zbirate na vsakem odvnosnih mest? Ali zbirate številke kreditnih kartic odsvojih kupcev – za kako dolgo? Ali od svojih kupcev/ dobaviteljev / strank, če gre za fizične osebe, zbi-rate kakšne druge osebne podatke (npr. o nakupo-valnih navadah, o nakupih, osebne podatke izpogodb, EMŠO, višina plače, družinski člani ...)?

Kje hranite osebne podatke, ki jih pridobite? Alijih hranite v računalniškem omrežju, v zaprtihomarah, na posameznih računalnikih, na prenosnikih,na USB ključkih ipd.

Kdo vse ima dostop do osebnih podatkov? Aliimajo vsi delavci dostop do vseh osebnih podatkov;ali ima vsak delavec dostop zgolj do določenih oseb-nih podatkov; kako je s sledljivostjo vnosov in obde-lave osebnih podatkov?

Bodite pozorni predvsem na enolične identifikacijske znake,kot sta EMŠO in davčna številka, prav tako posebno po-zornost namenite številkam kreditnih kartic. To so namrečpodatki, ki jih nepridipravi najpogosteje zlorabijo

NamigPogosto se zgodi, da v podjetje pridejoosebni podatki, ki se izgubijo v pisarnahin skladiščih. Ne pozabite na skrita “od-lagališča” v podjetjih, saj so prav tapogosto najnevarnejša mesta, kjer lahkopride do zlorabe osebnih podatkov.

2. Zmanjševanje

Obdelujte samo tiste osebne podatke, ki jih res potrebujete.

Od svojih strank zbirajte samo tiste osebne podatke, ki jih pri svojemdelu potrebujete, oziroma tiste, ki jih resnično potrebujete za izvrše-vanje pogodbenih določil. V vseh ostalih primerih se zbiranju osebnihpodatkov izognite, saj sicer lahko storite prekršek po ZVOP-1.

Pri določanju, katere osebne podatke pravzaprav potrebujete, sedržite načela sorazmernosti iz ZVOP-1:

Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obseguprimerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

Če boste ugotovili, da obdelujete osebne podatke, ki jih ne bi smeli,oz. za njihovo obdelavo nimate podlage v zakonu ali osebni privolitviposameznika, takšne osebne podatke nemudoma uničite oz. izbrišite.

EMŠO in davčnaštevilka – ne zbi-rajte obeh enoličnihidentifikacijskih zna-kov skupaj, če zatakšno početje ni-mate zakonske pod-lage ali osebneprivolitve in izka-zanega namena zaoba podatka posa-meznika, na kate-rega se osebna po-datka nanašata. Vprimeru zbiranjaobeh znakov lahko hitro prekoračite dovoljeno obde-lavo osebnih podatkov in storite prekršek po ZVOP-1.

Davčna številka in nagradne igre – ne zahtevajte odsodelujočih, da vam vnaprej pošiljajo davčno številko.Zahtevajte jo zgolj od nagrajencev, kadar nastane davčnaobveznost.

Številke kreditnih in drugih plačilnih kartic – ne zbi-rajte številk, če jih res ne potrebujete, predvsem pa tegane počnite, če za takšno početje nimate osebne privo-litve posameznika ali podlage v zakonu. Samo pred-stavljajte si, kaj se lahko zgodi, če vam nekdo ukradebazo številk kreditnih kartic ...

Preverite programsko opremo – ugotovite, katere po-datke zbira sistem, preko katerega vodite plačevanje splačilnimi karticami, saj lahko ugotovite, da zbirateštevilke kartic, pa tega sploh ne veste.

Izdelajte politiko zasebnosti – vanjo vključite določilao tem, katere osebne podatke lahko zbirajo vaši za-posleni, in kako morajo ti ravnati z njimi.

Če niste prepričani, ali določene osebnepodatke lahko zbirate ali ne, se lahkoobrnete na Informacijskega poo-blaščenca, in sicer z elektronsko pošto,ki jo pošljete na naslov gp.ip@ip-rs.si aliz navadno pošto na naslov Vošnjakova1, p. p. 78, 1000 Ljubljana. Informacijskipooblaščenec skuša na vsako vprašanjeodgovoriti v roku dveh tednov.

Namig

Način, ki bo vašemu podjetju zagotavljal najboljše možno zavarovanjeosebnih podatkov, seveda ni določen vnaprej. Kako boste vzpostavilimehanizme varovanja osebnih podatkov in preprečevali njihovo zlo-namerno obdelavo, morate ugotoviti na podlagi poprejšnje analize (glejprejšnja poglavja). Nedvomno pa je mogoče reči, da boste moraliobčutljive osebne podatke (to so npr. zdravstveno stanje, verskoprepričanje, članstvo v sindikatu ...), če ste jih upravičeni imeti, varovatiskrbneje kot ostale osebne podatke, ki jih še obdelujete. Prav takoboste morali osebne podatke varovati na bistveno višjem nivoju, če stevečji upravljavec osebnih podatkov ali če delujete v panogi, ki imadostop do že omenjenih občutljivih osebnih podatkov. Glavne smer-nice zavarovanja osebnih podatkov pa se da vendarle predstaviti v štirihkorakih:1. Fizično varovanje2. Elektronsko varovanje3. Izobraževanje zaposlenih4. Striktno izvrševanje pogodbene obdelave.

3. Zaščita

Najboljše fizično varovanje osebnih podatkov je ševedno relativno staromodno: zaklepanje. Zlorabo oseb-nih podatkov tako najpogosteje preprečijo zaklenjenavrata in predali ali pozoren uslužbenec.

Shranite kartoteke, dokumente, zgoščenke, DVD-je indruge medije, ki vsebujejo osebne podatke, v ognje-varno omaro; prostore, v katerih se osebni podatki na-hajajo, pa zaklenite. Omejite tudi dostop zaposlenimdo osebnih podatkov. Naj imajo dostop zgolj tisti za-posleni, ki osebne podatke potrebujejo pri svojemdelu.

Zaposlene posebej opozorite, da ne bodo puščalidokumentov z osebnimi podatki na mizah, ko v pisarnine bo nikogar, ali ko jih ne bodo uporabljali.

Zahtevajte od svojih zaposlenih, da po končanem deluzaklepajo omare in pisarne, računalnike pa zaklenejo zgeslom.

Zaščitite objekt, v katerem opravljate dejavnost, takoz alarmom kot tudi z izobraževanjem delavcev. Ti najvedo, kako ravnati, če ugotovijo, da se v objektu na-haja nepooblaščena oseba.

Omejite dostop do določenih osebnih podatkov inposkrbite za sledljivost obdelave osebnih podatkov.Dobra sledljivost pomeni, da vam ta omogoči ugotav-ljanje, kdo je zbiral osebne podatke, kdo jih je obdelo-val, kdaj in s kakšnim namenom. V praksi pogosto pravdober sistem sledljivosti omogoča, da se upravljavecizogne visokim kaznim po ZVOP-1.

Fizično varovanje

Elektronsko varovanje

Elektronsko varovanje ni zgolj domena informatikov, pačpa se morajo pomena elektronskega varovanja zavedatitudi vsi zaposleni. Prav tako morajo biti zaposlenisposobni prepoznati slabosti elektronskega varovanja innanje opozarjati.

Varnost omrežij

Poiščite strežnik ali posamezen terminal, kjer so shran-jeni osebni podatki.

Prepoznajte vse priključke na računalnik, na katerem soshranjeni osebni podatki. Najpogosteje so to USB vhodi,priključek na internet, brezžične povezave in različnepodpore omrežju (servis, vzdrževanje, nadgradnja ...).

Ugotovite slabosti vsake od povezav na računalnik inpredvidite razumno pričakovane napade na sistem. Gledena okoliščine (predvsem velikost zbirke osebnih po-datkov, ki jo obdelujete) vam analizo lahko izdela za-posleni s potrebnim znanjem ali pa boste morali izdelatiobsežnejšo analizo s strani IT strokovnjakov.

Ne shranjujte nobenih osebnih podatkov na računalnikih,ki so povezani na internet, razen, če to ni res nujnopotrebno za potek poslovanja. V tem primeru poskrbiteza varnost teh računalnikov pred napadi z interneta.

Kriptirajte vsako pošiljanje po elektronski poti. Prav takorazmislite o kriptiranju osebnih podatkov, ki so shranjenina strežnikih in prenosnih napravah zaposlenih. Prav takosta obvezno kriptiranje elektronske pošte in uporaba e-podpisa, kadar si zaposleni izmenjujejo občutljive osebnepodatke med seboj po elektronski poti.

rebitnimi zlonamernimi programi. Če odkrijete takšne programe, jihizbrišite. Enako storite s programi, ki jih ne potrebujete in s programi,ki sicer omogočajo povsem zakonito uporabo svetovnega spleta, so pav danih okoliščinah nepotrebni (npr. odjemalec elektronske pošte naračunalniku, kjer dostop do svetovnega spleta ni potreben – zapretevrata – porte).

Če prejemate ali oddajate občutljivejše osebne podatke, kot je de-nimo številka kreditne kartice, uporabite t. i. Secure Sockets Layers (SSL)ali drugo povezavo, ki omogoča zavarovanje prenašane informacije.

Posebej pozorni bodite pri programski opremi, ki je povezana z vašospletno stranjo in obiskovalcem strani sporoča podatke ali jih od njihprejema. Če ne boste spoštovali zavarovanja osebnih podatkov, lahkohitro storite prekršek po ZVOP-1 ali pa doživite neprijetne posledice,nastale zaradi zlorabe osebnih podatkov, ki jih obdelujete.

Če imate v podjetju vzpostavljeno brezžično omrežje, ga zavarujtetako, da ne bo možna vzpostavitev vzporednega omrežja z enakimimenom.

Izdelajte t. i. dogodkovne dnevnike (log file), ki bodo omogočali ugo-tavljanje, kdaj je bil nek osebni podatek vnesen v računalniški sistem,kdo ga je vnesel in nadalje obdeloval, kdaj in s kakšnim namenom.

Redno osvežujte pro-tivirusne in anti-spy-ware programe, takona strežniku, kakortudi na posameznihterminalih.

Namestite in rednovzdržujte požarni zid.

Preiščite računalnišketerminale in omrežja,ali niso povezana vsvetovni splet z mo-

Namig

Prenos podatkov preko navadne elek-tronske pošte ni varen prenos. Zato tudiZVOP-1 predpisuje kriptiranje osebnihpodatkov, ki jih boste prenašali po elek-tronski poti. Če boste osebne podatkeprenašali po nezaščiteni elektronskipoti, s tem na stežaj odpirate vratanepridipravom, ki zgolj čakajo na takšnomalomarnost.

Gesla

Prvo in najpomembnejše pravilo pri računalniških geslihje, da mora geslo biti “močno”. To pomeni, da:- ne sme biti enako kot uporabniško ime;- ne sme biti beseda iz slovarja;- ne sme biti sestavljeno zgolj iz pogosto uporabljenih besed;- ne sme biti sestavljeno iz imena, priimka, ali drugače eno-stavno ugotovljivega podatka uporabnika računalnika (npr.rojstnega datuma, imena partnerja, otrok ...);- mora biti sestavljeno iz črk in številk;- mora biti kar se da dolgo;- mora biti geslo takšno, da si ga je lahko zapomniti, a težkouganiti.

Več:Slovensko:http://www.microsoft.com/slovenija/malapodjetja/themes/techwise/effectivepassword.mspxhttp://www.sigen-ca.si/osebni/prevzem5.phpAngleško: http://www.goodpassword.com/

Od svojih zaposlenih zahtevajte, da gesla redno menjajo.Nastavite samodejno zahtevo po spremembi gesel, čeprogramska oprema to omogoča.

Zaposlene poučite o pomembnosti politike gesel.

Uporabljajte ohranjevalnike zaslona s samodejnim zak-lepanjem z geslom.

Zaklenite poskuse “logiranja” na določeno številoposkusov (priporočamo 3 do 5).

"21 % gesel smo uganili v prvem tednu, 2,7 % paže v prvih 15 minutah preverjanja."Vir: http://www.zag.si/~jank/public/misc/dobro_geslo-r.html#1 - natem naslovu lahko najdete tudi še nekaj praktičnih napotkov gledegesel.

Opozorite zaposlene na klice tatov identitete. Ti se pogosto predstavijokot informatiki podjetja in od zaposlenih zahtevajo, da jim povedo gesloza dostop do računalniških sistemov. Takšni klici so skoraj po praviluzlonamerni. Zaposleni se morajo zavedati, da preko telefona ne smejonikomur sporočati svojih gesel.

Ko nameščate ali posodabljate programsko opremo, spremenite pred-nastavljena gesla proizvajalca ali prodajalca.

Opozorite zaposlene, da svojih gesel ne razkrivajo nikomur, prav takojih ne smejo pošiljati po elektronski pošti.

Prenosni računalniki

Omejite uporabo prenosnih računalnikov zgolj na tiste zaposlene, ki jihpri svojem delu res potrebujejo.

Ugotovite, ali morajo biti osebni podatki dejansko shranjeni na prenos-niku. Če ugotovite, da to ni potrebno, jih zbrišite s programom, ki in-formacije dejansko izbriše, oz. jih prepiše. Uporaba zgolj navadnegaukaza za brisanje podatkov na disku računalnika podatkov pogosto neizbriše povsem s trdega diska.

Od zaposlenih zahtevajte, da prenosnike shranjujejo v zaklenjenih pro-storih. Če je možno, naj bodo prenosniki varno pritrjeni tudi meddelom zaposlenih v pisarni (s kabli ali ključavnico).

Če je možno, omejite shranjevanje osebnih podatkov na prenosnikih –omogočite le dostop do njih preko omrežja, ne pa shranjevanje.Dostop do prenosnikov skušajte zaščititi še z dodatnimi zaščitami, kotje npr. kartični dostop s spreminjajočim se geslom (“smart card”).

Če prenosnik vsebuje občutljive podatke, na njem onemogočite nala-ganje programske opreme in spreminjanje nastavitev brez dovoljenjainformatika (administratorska gesla).

Če na prenosniku hranite občutljive informacije, razmis-lite o funkciji za samodejno uničenje, ki se sproži, ko setisti, ki je ukradel prenosnik, prvič skuša povezati na in-ternet.

Opozorite zaposlene, ki uporabljajo prenosnike, naj bodoprevidni na poti. Prenosnikov naj tako ne puščajo nenad-zorovano na sedežih avtomobila, v preddverjih hotelov, naletališčih in podobno. Na prenosnik naj bodo pozorni celomed osebnim pregledom na letališču.

Razmislite o kriptiranju tistih map, ki vsebujejo osebne po-datke.

Požarni zid

Uporabljajte požarni zid na vseh računalnikih, ki sopovezani na internet. Lahko izberete tako programski kottudi strojni požarni zid. Bistveno je, da ga pravilno na-stavite, saj le pravilno nastavljen požarni zid nepridipravomotežuje dostop do vašega računalnika in njegovo vidnost vsvetovnem spletu.

Razmislite o uvedbi “mejnega” požarnega zidu (“border”),ki bo ločil vaše omrežje od interneta. V njem omogočitedostop samo tistim uporabnikom, za katere je nujno, dadostopajo do potrebnih podatkov. Prav tako uporabnikomomejite možnosti dostopa.

Če določeni računalniki v omrežju hranijo osebne podatke,drugi pa ne, razmislite o uvedbi dodatnih požarnih zidovpri računalnikih, ki hranijo takšne podatke.

Brezžična omrežja in oddaljen dostop

Ugotovite, ali že uporabljate brezžična omrežja za prenos informacij.Ne pozabite na tiskalnike in prenosne telefone, ki podpirajo prenos in-formacij (bluetooth).

Če brezžično omrežje vzpostavljate ali ga že imate vzpostavljenega,razmislite o omejitvah dostopa. Prav tako nepridipravom otežite delo,če dovolite, da se v omrežje priključijo zgolj določene in vnaprej znanenaprave, ostale naprave pa blokirate.

Za še višji nivo zaščite dostopa v brezžično omrežje razmislite o krip-tiranju povezave. Kriptiranje povezave med računalnikom in brezžičnonapravo onemogoča nepridipravom, da do osebnih podatkov na raču-nalniku pridejo v postopku, imenovanem “spoofing” – postopek lažnegapredstavljanja. Razmislite o uvedbi kriptiranja, če vaše podjetjeomogoča oddaljen dostop do omrežja zaposlenim in / ali pogod-benikom, ki skrbijo za nadgadnjo in servisiranje programske opreme.

Kriptiranje in uporaba e-podpisa sta obvezna, kadar po elektronski potipošiljate občutljive osebne podatke. To od vas zahteva ZVOP-1.

Zaznavanje vdorov

Da bi sploh lahko zaznali vdore v sistem, razmislite o nakupu pro-gramske opreme, ki vam bo omogočala nadzor. Pri tem ne pozabite naredno osveževanje podatkovne baze programa.

Vzpostavite učinkovite dogodkovne dnevnike (“log file”), iz katerih borazvidno delovanje omrežja. Zapisi v teh dnevnikih vam bodoomogočali, da boste prepoznali napade v sistem in znali nanje odgo-voriti. Nadzorujte tudi vse komunikacijske kanale, skozi katerepritekajo informacije v vaše podjetje ali odtekajo iz njega – pozornibodite predvsem na nenavadno visok promet, večkratne poskuse lo-giranja neznancev ali nenavadno velike količine podatkov, ki se pre-našajo neznanemu uporabniku. Izdelajte tudi odzivni plan v primeruvdora v sistem.

Izobraževanje zaposlenih

Veriga je močna samo toliko kot njen najšibkejši člen. Naj torej naj-šibkejši člen v sistemu zavarovanja osebnih podatkov v vašem podjetjune bodo prav vaši zaposleni. Zato jih seznanite z vsemi zakonitostmizavarovanja osebnih podatkov in jim predstavite njihove pravice indolžnosti s tega področja.

Posebej skrbno preverite reference in veščine tistih kandidatov, kibodo obdelovali osebne podatke ali skrbeli za kakršnokoli ravnanje znjimi.

Zaposlenim v podpis ponudite izjavo, da so seznanjeni s pravilnikomo zavarovanju osebnih podatkov in postopki zavarovanja osebnih po-datkov. Zaposlene neprestano opozarjajte na njihove dolžnosti ob rav-nanju z občutljivimi podatki.

Določite osebe, ki imajo lahko dostop do občutljivih podatkov v vašempodjetju. Še posebej skrbno določajte osebe, ki ravnajo z osebnimipodatki, ki so največkrat tarča nepridipravov, in z občutljivimi oseb-nimi podatki.

Zaposlenim, ki bodo odšli iz vašega podjetja ali nadrugo delovno mesto, kjer ne bodo več imeli dostopado občutljivih podatkov, uničite gesla, od njih zahte-vajte, da vrnejo vse identifikacijske kartice in ključe, skaterimi so dostopali do občutljivih podatkov v pod-jetju. Naj takšen postopek postane rutina v vašem pod-jetju.

Uvedite konstnan-tno izobraževanjezaposlenih s pod-ročja zavarovanjaosebnih po datkov.Tako bodo tudi za-posleni dobili ob-čutek, da je zava-rovanje osebnihpodatkov pomem-ben dejavnik prinjihovem delu. Za-poslene sproti sez-nanjajte z novimi nevarnostmi vdorov v računalniškesisteme, prav tako tudi z novostmi sodobnih trendovzavarovanja osebnih podatkov. Pri izobraževanju nespreglejte svojih podružnic, občasnih delavcev, študen-tov ...

Delavcem predstavite postopke, ki jih morajo izpeljativ primeru napadov na računalniške sisteme ali drugihzlorab osebnih podatkov. Nagradite delavce za vsakprijavljen napad ali opozorilo na nepravilnosti, saj vammajhna nagrada zaposlenemu lahko prinese koristi ve-liko večjih vrednosti, če upoštevate možne zlorabeslabo zavarovanih osebnih podatkov.

NamigOb izobraževanju se še posebejzavedajte, da je za večino zlorabosebnih podatkov še vedno najboljodgovoren človeški faktor. Pravzaradi preprečevanja takšnihzlorab, vedite, da sta izobraževanjein “vzgoja” zaposlenih izrednegapomena za vaše podjetje.

Ob računalniški opremi, kjer shranjujete ali obdelujete osebne po-datke, namestite opozorila o ravnanju z osebnimi podatki.

Zaposlene, ki sprejemajo telefonske klice ali kakorkoli komuni-cirajo z osebami izven vašega podjetja, posebej opozorite, najbodo pazljivi pri razkritju osebnih podatkov.

Delavce temeljito poučite o “phishingu”, spletnih in telefonskihprevarah, kjer nepridipravi za različne namene od kličočega alinaslovnika zahtevajo razkritje določenega podatka o omrežju, oterminalih, gesla ipd. za namene kraje denarja. Kako hitro naraščaštevilo takšnih goljufij, dokazujejo številke: V avgustu 2003 je bilozaznanih 14 primerov tovrstnih elektronski sporočil, številka pa seje v januarju 2004 povzpela že na 290,016 (Vir: http://www.arnes.si). V primeru telefonskih klicev dvojno preverite kli-čočega in se z njim dogovorite, da ga pokličete nazaj na telefonskoštevilko, ki jo poznate, ali tisto, ki je objavljena v telefonskemimeniku. Glede spletnega phishinga pa upoštevajte naslednjenapotke (Vir: http://www.arnes.si/si-cert/obvestila/2004-06.html),ki so uporabni tako za pravne osebe, kot tudi za posameznike:* Nikoli ne odgovarjajte na elektronska pisma, ki od vas zahtevajoosebne in finančne podatke. Prav tako ne sledite povezavam dotakšnih spletnih strani. Legitimna podjetja vam takšnih zahtev nikoline bodo pošiljala po elektronski pošti ali preko spleta.* Ko se prijavljate na spletne strani, ki imajo karkoli opraviti z denar-jem, njihov spletni naslov (url) obvezno vtipkajte neposredno vnaslovno vrstico.* Osebnih in finančnih podatkov nikoli ne pošiljajte po elektronskipošti. Takšno pošiljanje podatkov ni varno.* Redno preverjajte izpiske bančnih računov in kreditnih kartic.* Na računalniku imejte nameščene najnovejše popravke opera-cjskega sistema (npr. windows update) in posodobljen antivirusni pro-gram.

Od svojih zaposlenih zahtevajte, da nemudoma poročajo o vsakipotencialni nevarnosti zlonamerne obdelave osebnih podatkov,npr. o kraji prenosnika, odprtih vratih v strežniško sobo ...

Ko vzpostavljate sistem varovanja oseb-nih podatkov, ne pozabite na pogod-bene obdelovalce. Prav od teh jenamreč pogosto odvisna varnost vašega podjetja, saj pogodbeni ob-delovalci pogosto vzdržujejo računalniške sisteme, izvajajo servise ra-zlične opreme, s katero se zbirajo in nadalje obdelujejo osebni podatki,ali pa zgolj skrbijo za čiščenje prostorov, kjer se obdelujejo ali shran-jujejo osebni podatki.

Ob izvajanju pogod-bene obdelave jepomembno, da uprav-ljavci osebnih podat-kov upoštevajo nasled-nje smernice pri zava-rovanju osebnih po-datkov:

* za zavarovanje stadolžna skrbeti tako u-pravljavec osebnih po-datkov kot tudi pogod-beni obdelovalec,* posebno pozornost namenite zavarovanju in sledljivosti obdelave oseb-nih podatkov pri tistih pogodbenih upravljavcih, ki imajo oddaljen dostopdo vaših informacijskih virov (npr. vzdrževalci programskih rešitev),* upravljavec je dolžan nadzirati pogodbenega obdelovalca glede izvajanjazavarovanja osebnih podatkov,* preverite reference bodočega pogodbenega obdelovalca in ugotovite,katere varnostne standarde upošteva,* od pogodbenega obdelovalca zahtevajte, da vas obvešča o vseh varnos-tnih težavah, četudi osebni podatki morda niso bili ogroženi.

Pogodbeni obdelovalci

Namig

Dolžnost skleniti pogodbo inzavarovati osebne podatke upravljavcunalaga 11. člen ZVOP-1. Brezplačnivzorec pogodbe za potrebe pogod-bene obdelave je objavljen na spletnistrani Informacijskega pooblaščenca:http://www.ip-rs.si/index.php?id=426.

Zavedajmo se, da so dokumenti, ki so morda za nas neuporaben kossmeti, za iskalce informacij rudnik zlata in odlična priložnost za krajoidentitete. Malomarno “pozabljanje” računov, ki vsebujejo številkekreditnih kartic, na lahko dostopnih mestih, metanje neuničenihzgoščenk v smeti in podobne “malomarnosti” povečujejo nevarnostgoljufij in kraje identitete. Zato je pravilno uničenje dokumentov inmedijev bistvenega pomena za zavarovanje vaše identitete in premo-ženja.

V svojem podjetju uvedite politiko uničevanja dokumentov, ki vse-bujejo osebne podatke. Uničenje naj bo prilagojeno osebnim po-datkom, ki jih obdelujete, in naj bo razumno in primerno, tako dabistveno ne bo vplivalo na potek dela zaposlenih. To pomeni, damorate uničenje prilagoditi glede na občutljivost osebnih podatkov,nove tehnologije, stroške in koristi, ki jih izbrani način uničevanjadokumentov prinese.

Papirnate dokumente, ki vsebujejo osebne podatke, razrežite, zaž-gite ali jih spremenite v prah. Rezalce papirja (“shredder”) posta-

4. Uničenje

vite na takšna mesta v pi-sarnah, da bodo do njihimeli enostaven dostopvsi zaposleni. Rezalec pa-pirja postavite tudi ob fo-tokopirnem stroju.

Ko odpisujete računal-nike in medije, na katereshranjujete osebne po-datke, poskrbite, daboste osebne podatkeizbrisali. Pri tem ni dovolj,da podatke na diskuizbrišete s tipko Del(Delete), pač pa morate naknadno uporabiti tudi program, kinepovratno izbriše podatke z medijev. V nasprotnem primeru je nam-reč zapisane podatke moč enostavno ponovno priklicati (“Restore”).

Poskrbite, da bodo tudi delavci, ki delajo doma, upoštevali enakevarnostne postopke uničenja.

5. Načrtovanje

Ne glede na varnostne ukrepe, ki sicer bistveno zmanjšajo nevarnostzlorab osebnih podatkov, se še vedno lahko zgodi, da pride do vdorav računalniški sistem ali da osebni podatek “spolzi” (npr. zaradi malo-marnosti ali celo naklepa zaposlenih) iz zbirke osebnih podatkov. Zatopriporočamo, da upoštevate naslednje nasvete, s katerimi boste zman-jšali možnost zlorab:

* izdelajte načrt, kako postopati v primeru zlorab in vdorov. Njegovoizdelavo in izvajanje zaupajte osebi v podjetju, ki ji zaupate,

* če je računalnik kakorkoli okužen ali mu preti nevarnost vdora, ga takojizključite z interneta in z internega omrežja,

* takoj začnite preiskavo in ugotovite, kako je do kršitve sploh prišlo, insprejmite ustrezne ukrepe, da do teh v prihodnje v enakih ali podobnihprimerih ne bo več prihajalo.

Razmislite, komu bi lahko kršitev sporočili, tako znotrajvašega podjetja, kakor tudi, ali je stopnja ogroženosti žedosegla katero izmed pregonljivih dejanj, npr. prekršek alikaznivo dejanje. Prav tako razmislite, ali morate o zlorabahobvestiti posameznike, na katere se osebni podatkinanašajo, Informacijskega pooblaščenca ali vaše poslovnepartnerje (pogodbene obdelovalce).

Predvidite možne scenarije zlorab osebnih podatkov, kotso npr. nepooblaščen vstop v delovne prostore ali v raču-nalniško mrežo izven delovnega časa.

Opravite vnaprejšnji test, da se seznanite, v kolikšni meriste pravilno predvideli varnostne dogodke. To storite npr.tako, da z lažnim predstavljanjem od svojih zaposlenihskušate zvabiti osebne podatke ali dostopna gesla (t. i.penetracijski test – svetujemo previdnost). Na podlagitakšnega poskusa ocenite varnostni položaj vašega pod-jetja in sprejmite ustrezne varnostne ukrepe. Pri tem sezavedajte, da je za nepooblaščeno razkritje osebnih po-datkov pogosto odgovoren prav človeški faktor.

www.ip-rs.siwww.safe.siwww.arnes.si/si-cert/obvestila/2004-06.htmlwww.arnes.si/si-cert/www.varnostne-novice.com/index.phpwww.microsoft.com/slovenija/varnost/default.mspxwww.enisa.europa.eu/www.enisa.europa.eu/doc/pdf/deliverables/enisa_a_users_guide_how_to_raise_IS_awareness.pdfwww.csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdfwww.dhs.gov/xlibrary/assets/National_Cyber-space_Strategy.pdfwww.sans.org/top20www.owasp.org/index.php/Main_Pageonguardonline.gov/index.htmlwww.cisecurity.org/

Uporabne povezave

Urednica: Nataša Pirc MusarAvtorji: Klemen Mišič, mag. Andrej Tomšič, Federal Trade

CommissionGrafično oblikovanje: Klemen MišičFotografije: FotoliaNaklada: 500 izvodov

CIP - Kataložni zapis o publikacijiNarodna in univerzitetna knjižnica, Ljubljana

342.738(497.4)

MIŠIČ, KlemenZavarujmo osebne podatke : priročnik za upravljavce oseb-nih podatkov / [avtorja Klemen Mišič, Andrej Tomšič]. –Ljubljana : Informacijski pooblaščenec, 2007.

ISBN 978-961-91762-3-81. Gl. stv. nasl. 2. Tomšič, Andrej.233243392

INFORMACIJSKI POOBLAŠČENEC

www.ip-rs.si