Dne 25. maja 2018 se bo začela uporabljati Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov). Najkasneje tega dne naj bi stopil v veljavo tudi nov slovenski Zakon o varstvu osebnih podatkov (ZVOP-2). Do njegovega sprejetja v veljavi ostaja obstoječi ZVOP‑1.
Splošna uredba in predlog ZVOP-2 nalagata kopico novih obveznosti vsem, ki jih zadeva obdelava osebnih podatkov. Zato smo v IZUM-u pripravili serijo treh predavanj z naslovom »Splošna uredba (EU) 2016/679 in ZVOP-2: Sodelovanje IZUM-a in knjižnic, vključenih v COBISS.SI«. V nadaljevanju so povzeti najpomembnejši elementi teh predavanj, ki sva jih pripravila sodelavca IZUM-a Davor Šoštarič in Mateja Tratnjek Petre. Posnetek enega od predavanj si je mogoče ogledat na YouTube kanalu COBISS, priložene so tudi prosojnice, ki so bile prikazane.
V uvodu so prikazana stična področja Splošne uredbe in sistema COBISS.SI. V prvi vrsti gre za zbirko podatkov o članih knjižnic, ki so vključene v sistem COBISS.SI, saj ravno ta del zadeva odgovornosti knjižnic. IZUM bo preostale zbirke, ki jih obdeluje za potrebe sistema COBISS.SI (npr. podatki strokovnih sodelavcev knjižnic za avtentikacijo in avtorizacijo dela v COBISS-u, podatki o udeležencih izobraževalnih procesov ter pridobljena dovoljenja, podatki o avtorjih, ki se pojavljajo v zbirkah COBIB in CONOR, ter podatki o udeležencih raziskovalnih procesov), obravnaval posebej v okviru svojih zakonskih pooblastil.
Splošna Uredba (EU) 2017/679 in ZVOP-2 – prosojnice
Pri osebnih podatkih članov knjižnic veljajo zaveze Splošne uredbe za knjižnico in za IZUM. Uvedena sta pojma »obdelovalec« in »upravljavec«. IZUM nastopa kot obdelovalec zbirke osebnih podatkov članov knjižnic, ki so vključene v sistem COBISS.SI (generični naziv zbirke: »Zbirka podatkov o članih knjižnice«). IZUM kot obdelovalec osebnih podatkov opravlja posamezna opravila, ki jih določajo Zakon o knjižničarstvu ter drugi strokovni predpisi in navodila s področja knjižničarstva v Republiki Sloveniji. Knjižnica (oziroma pravna oseba, v sklopu katere deluje posamezna knjižnica) nastopa kot upravljavec osebnih podatkov o svojih članih.
Splošna uredba zelo neposredno navaja, katere pravne podlage je treba upoštevati pri zbiranju in obdelavi osebnih podatkov. V konkretnem primeru je za nekatere osebne podatke poskrbljeno že z Zakonom o knjižničarstvu, pri nekaterih pa se lahko sklicujemo na izpolnitev zakonske obveznosti ali izvrševanje zakonitih pristojnosti, nalog oziroma obveznosti javnega sektorja. V vseh drugih primerih pa mora knjižnica poskrbeti za posameznikovo privolitev v zbiranje oziroma obdelavo osebnih podatkov.
V nadaljevanju so predstavljeni trije pomembni dokumenti:
- evidenca dejavnosti obdelave
- ocena tveganja
- ocena učinka v zvezi z varstvom podatkov (DPIA)
Obveznost obstoja teh dokumentov je stvar presoje IZUM-a oziroma knjižnic (Splošna uredba navaja kriterije, po katerih ti dokumenti so oziroma niso obvezni). IZUM se je odločil, da bo za zbirko osebnih podatkov o članih knjižnic, kjer se pojavlja v vlogi obdelovalca, vse tri dokumente pripravil in zanje skrbel. Ti dokumenti sicer niso javni, vendar jih lahko knjižnica uporabi pri pripravi svojih dokumentov, če se bo za njihovo izdelavo odločila.
Obvezni elementi evidence dejavnosti obdelave poleg naziva upravljavca in obdelovalca ter njunih kontaktnih podatkov vsebujejo predvsem opis vrste in načinov obdelave, vključno s pravnimi podlagami, namenom obdelave, predvidenimi roki hrambe ter splošnim opisom tehničnih in organizacijskih varnostnih ukrepov. Po svoji vsebini in formatu zelo spominjajo na nekdanje »kataloge« iz ZVOP-1, ki ne bodo več obvezni.
Pri oceni tveganja se pričakuje analiza organizacijskih in tehnoloških varnostnih tveganj, priporoča pa se uporaba katere koli od uveljavljenih metodologij. IZUM bo sledil procesnim načelom skupine Ernst & Young Global Limited. Ta dokument naj bi identificiral, ovrednotil in ves čas tudi spremljal dejavnike tveganja in podal sprotne ocene kritičnosti tveganja, obenem pa predlagal ustrezne ukrepe za obvladovanje tveganj.
Ocena učinka v zvezi z varstvom podatkov (DPIA) je po našem mnenju najpomembnejši dokument med omenjenimi. Gre za orodje za identifikacijo, analizo in zmanjševanje tveganj, povezanih z nezakonitim ravnanjem z osebnimi podatki. Pri pripravi dokumenta so v veliko pomoč smernice Informacijskega pooblaščenca in smernice Delovne skupine za varstvo podatkov iz člena 29 (A29WP). Dokument vsebuje sistematični opis predvidenih dejanj in namenov obdelave osebnih podatkov, oceno potrebnosti in sorazmernosti dejanj glede na namen, oceno tveganj za pravice in svoboščine posameznikov s predvidenimi ukrepi ter mehanizme za dokazovanje skladnosti s Splošno uredbo.
Ena od novosti, ki jo uvaja Splošna uredba, je imenovanje pooblaščene osebe za varstvo podatkov (DPO). Splošna uredba in predlog ZVOP-2 navajata določene lastnosti, ki jih taka oseba mora imeti. IZUM ima svojo pooblaščeno osebo za varstvo podatkov, kar je opredeljeno v sistemizaciji delovnih mest.
Predstavljeni so bili elementi pogodbe o obdelavi osebnih podatkov med IZUM-om in posamezno knjižnico (oziroma pravno osebo, v okviru katere deluje knjižnica). V njej so podrobneje opredeljene pravice in obveznosti obeh strank, namen, obseg in način obdelave osebnih podatkov, postopki in ukrepi za zagotovitev varnosti osebnih podatkov, dostop in vse drugo, kar mora taka pogodba vsebovati. Našteti so tudi vsi (osebni in drugi) podatki, ki jih zbirka o članih knjižnic lahko vsebuje.
Na koncu so bile omenjene še nekatere posebnosti, kot so obveznost šifriranja podatkov, nadzor, poročanje in odziv pri incidentih, pooblastila, profiliranje ter nekateri drugi instrumenti, ki jih predvideva Splošna uredba in ki bi jih knjižnice v sodelovanju z IZUM-om ali brez njega lahko uporabljale (npr. kodeksi ravnanja, certificiranja, odobreni mehanizmi potrjevanja itd.).
Prispevek pripravila:
Davor Šoštarič
Mateja Tratnjek Petre