Priročnik za upravljavce osebnih podatkov - Informacijski ...

ZavarujmoOSEBNE PODATKEPriročnik za upravljavce osebnih podatkovINFORMACIJSKI POOBLAŠČENEC RS

INFORMACIJSKI POOBLAŠČENECREPUBLIKE SLOVENIJEwww.ip-rs.siVošnjakova 11000 Ljubljanagp.ip@ip-rs.si

Zakaj zavarovati?Sodobne tehnologije so v vsakdanje življenjevnesle izjemno lahkost obdelave podatkov,posebej tistih, ki so shranjeni v elektronski obliki.To pa pomeni, da so v vsakdanje življenjeposameznikov vnesle tudi nevarnost, da jemožno osebne podatke hitreje in lažjezlorabiti in jih ob pravi kombinaciji nareditienostavno uporabne za krajo identitete,zlorabe bančnih računov in kreditnih kartic.Med prebivalci ZDA po nekaterih podatkihstrah številka 1 niso več teroristični napadi, pačpa kraje identitete in številk kreditnih kartic.Tudi prebivalci Evropske unije nismo imuni nazlorabe osebnih podatkov, kljub dokaj strogizakonski ureditvi, ki se nanaša na zavarovanjeosebnih podatkov. Vendar pa noben zakon nemore nadomestiti tistega, kar je pri varovanjuosebnih podatkov najpomembnejše – zavedanjaprav vsakega posameznika o pomembnostilastnih osebnih podatkov. Če sami(torej tudi v gospodarskih družbah) ne bomoposkrbeli za zadostno zavarovanje, bomolahko kmalu ostali z izpraznjenim transakcijskimračunom, tožbami z astronomskimiodškodninami, s kriminalisti in inšpektorji predvrati ... Zato se zavedajmo pomena osebnihpodatkov in začnimo pri osnovi – zavarovanju.Nataša Pirc MusarInformacijska pooblaščenka RS

“FBI ocenjuje, da je v ZDA spletni kriminal poobsegu že presegel trgovino z drogami,podobno pa pričakujejo tudi v nekaterih evropskihdržavah.”Vir: Trend Micro, april 2007

Osnova zavarovanja osebnih podatkov moratemeljiti na petih osnovnih načelih:1. Ugotavljanje, katere osebne podatkeposedujete v svojih datotekah in v računalnikih.2. Zmanjševanje števila osebnih podatkov,ki jih ne potrebujete.3. Zaščita osebnih podatkov.4. Uničenje osebnih podatkov, za katere nimateveč pravne podlage za njihovo obdelavo.5. Planiranje nepredvidenih prihodnjih dogodkov,ki utegnejo vplivati na zavarovanje.

1. UgotavljanjeOsnova učinkovitega zavarovanja osebnih podatkov se v prvi vrstizačne z ugotavljanjem, katere osebne podatke sploh obdelujete. Pritem morate ugotoviti tudi, kako ste jih pridobili in zakaj, kakor tudi,kdo vse ima dostop do osebnih podatkov, ki jih obdelujete. Preveritimorate tudi, kolikšen obseg obdelave osebnih podatkov imajo osebe,ki obdelujejo osebne podatke. Če še nimate izdelanega postopka svojegaposlovanja, morate izdelati tudi učinkovito preglednico (“workflow”).Pri ugotavljanju, katere osebne podatke sploh obdelujete, vam lahkopomagajo naslednji napotki:1. Naredite inventar računalniške opreme, preverite, kaj se nahaja na trdihdiskih, omrežju, zgoščenkah ...2. Preverite vse komunikacijske poti v vašem podjetju, kjer pride do stikaz osebnimi podatki (spletne strani, elektronska in navadna pošta, pogodbes fizičnimi osebami, telefoni ...)3. Pogovorite s svojimi zaposlenimi na vseh oddelkih, kjer prihajajo v stikz osebnimi podatki (prodajni oddelek, naročniški ...)Ustvariti si torej morate kar se da popolno sliko o naslednjem:

Kdo v vaše podjetjepošilja osebnepodatke? Pošiljateljiso lahko zelo različni– od kupcev,bank, pa do drugihpravnih oseb, kisodelujejo z vami.NamigPogosto se zgodi, da v podjetje pridejoosebni podatki, ki se izgubijo v pisarnahin skladiščih. Ne pozabite na skrita “odlagališča”v podjetjih, saj so prav tapogosto najnevarnejša mesta, kjer lahkopride do zlorabe osebnih podatkov.Na kakšen načinpridejo osebni podatkiv podjetje?Osebne podatke lahko prejmete preko elektronskepošte, spletnih strani, plačilnega mesta v trgovini,navadne pošte, izjave na zapisnik ...Katere osebne podatke zbirate na vsakem odvnosnih mest? Ali zbirate številke kreditnih kartic odsvojih kupcev – za kako dolgo? Ali od svojih kupcev/ dobaviteljev / strank, če gre za fizične osebe, zbiratekakšne druge osebne podatke (npr. o nakupovalnihnavadah, o nakupih, osebne podatke izpogodb, EMŠO, višina plače, družinski člani ...)?Kje hranite osebne podatke, ki jih pridobite? Alijih hranite v računalniškem omrežju, v zaprtihomarah, na posameznih računalnikih, na prenosnikih,na USB ključkih ipd.Kdo vse ima dostop do osebnih podatkov? Aliimajo vsi delavci dostop do vseh osebnih podatkov;ali ima vsak delavec dostop zgolj do določenih osebnihpodatkov; kako je s sledljivostjo vnosov in obdelaveosebnih podatkov?Bodite pozorni predvsem na enolične identifikacijske znake,kot sta EMŠO in davčna številka, prav tako posebno pozornostnamenite številkam kreditnih kartic. To so namrečpodatki, ki jih nepridipravi najpogosteje zlorabijo

2. ZmanjševanjeObdelujte samo tiste osebne podatke, ki jih res potrebujete.Od svojih strank zbirajte samo tiste osebne podatke, ki jih pri svojemdelu potrebujete, oziroma tiste, ki jih resnično potrebujete za izvrševanjepogodbenih določil. V vseh ostalih primerih se zbiranju osebnihpodatkov izognite, saj sicer lahko storite prekršek po ZVOP-1.Pri določanju, katere osebne podatke pravzaprav potrebujete, sedržite načela sorazmernosti iz ZVOP-1:Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obseguprimerni glede na namene, za katere se zbirajo in nadalje obdelujejo.Če boste ugotovili, da obdelujete osebne podatke, ki jih ne bi smeli,oz. za njihovo obdelavo nimate podlage v zakonu ali osebni privolitviposameznika, takšne osebne podatke nemudoma uničite oz. izbrišite.

EMŠO in davčnaštevilka – ne zbirajteobeh enoličnihidentifikacijskih znakovskupaj, če zatakšno početje nimatezakonske podlageali osebneprivolitve in izkazaneganamena zaoba podatka posameznika,na kateregase osebna podatkananašata. VNamigČe niste prepričani, ali določene osebnepodatke lahko zbirate ali ne, se lahkoobrnete na Informacijskega pooblaščenca,in sicer z elektronsko pošto,ki jo pošljete na naslov gp.ip@ip-rs.si aliz navadno pošto na naslov Vošnjakova1, p. p. 78, 1000 Ljubljana. Informacijskipooblaščenec skuša na vsako vprašanjeodgovoriti v roku dveh tednov.primeru zbiranjaobeh znakov lahko hitro prekoračite dovoljeno obdelavoosebnih podatkov in storite prekršek po ZVOP-1.Davčna številka in nagradne igre – ne zahtevajte odsodelujočih, da vam vnaprej pošiljajo davčno številko.Zahtevajte jo zgolj od nagrajencev, kadar nastane davčnaobveznost.Številke kreditnih in drugih plačilnih kartic – ne zbirajteštevilk, če jih res ne potrebujete, predvsem pa tegane počnite, če za takšno početje nimate osebne privolitveposameznika ali podlage v zakonu. Samo predstavljajtesi, kaj se lahko zgodi, če vam nekdo ukradebazo številk kreditnih kartic ...Preverite programsko opremo – ugotovite, katere podatkezbira sistem, preko katerega vodite plačevanje splačilnimi karticami, saj lahko ugotovite, da zbirateštevilke kartic, pa tega sploh ne veste.Izdelajte politiko zasebnosti – vanjo vključite določilao tem, katere osebne podatke lahko zbirajo vaši zaposleni,in kako morajo ti ravnati z njimi.

3. ZaščitaNačin, ki bo vašemu podjetju zagotavljal najboljše možno zavarovanjeosebnih podatkov, seveda ni določen vnaprej. Kako boste vzpostavilimehanizme varovanja osebnih podatkov in preprečevali njihovo zlonamernoobdelavo, morate ugotoviti na podlagi poprejšnje analize (glejprejšnja poglavja). Nedvomno pa je mogoče reči, da boste moraliobčutljive osebne podatke (to so npr. zdravstveno stanje, verskoprepričanje, članstvo v sindikatu ...), če ste jih upravičeni imeti, varovatiskrbneje kot ostale osebne podatke, ki jih še obdelujete. Prav takoboste morali osebne podatke varovati na bistveno višjem nivoju, če stevečji upravljavec osebnih podatkov ali če delujete v panogi, ki imadostop do že omenjenih občutljivih osebnih podatkov. Glavne smernicezavarovanja osebnih podatkov pa se da vendarle predstaviti v štirihkorakih:1. Fizično varovanje2. Elektronsko varovanje3. Izobraževanje zaposlenih4. Striktno izvrševanje pogodbene obdelave.

Fizično varovanjeNajboljše fizično varovanje osebnih podatkov je ševedno relativno staromodno: zaklepanje. Zlorabo osebnihpodatkov tako najpogosteje preprečijo zaklenjenavrata in predali ali pozoren uslužbenec.Shranite kartoteke, dokumente, zgoščenke, DVD-je indruge medije, ki vsebujejo osebne podatke, v ognjevarnoomaro; prostore, v katerih se osebni podatki nahajajo,pa zaklenite. Omejite tudi dostop zaposlenimdo osebnih podatkov. Naj imajo dostop zgolj tisti zaposleni,ki osebne podatke potrebujejo pri svojemdelu.Zaposlene posebej opozorite, da ne bodo puščalidokumentov z osebnimi podatki na mizah, ko v pisarnine bo nikogar, ali ko jih ne bodo uporabljali.Zahtevajte od svojih zaposlenih, da po končanem deluzaklepajo omare in pisarne, računalnike pa zaklenejo zgeslom.Zaščitite objekt, v katerem opravljate dejavnost, takoz alarmom kot tudi z izobraževanjem delavcev. Ti najvedo, kako ravnati, če ugotovijo, da se v objektu nahajanepooblaščena oseba.Omejite dostop do določenih osebnih podatkov inposkrbite za sledljivost obdelave osebnih podatkov.Dobra sledljivost pomeni, da vam ta omogoči ugotavljanje,kdo je zbiral osebne podatke, kdo jih je obdeloval,kdaj in s kakšnim namenom. V praksi pogosto pravdober sistem sledljivosti omogoča, da se upravljavecizogne visokim kaznim po ZVOP-1.

Elektronsko varovanjeElektronsko varovanje ni zgolj domena informatikov, pačpa se morajo pomena elektronskega varovanja zavedatitudi vsi zaposleni. Prav tako morajo biti zaposlenisposobni prepoznati slabosti elektronskega varovanja innanje opozarjati.Varnost omrežijPoiščite strežnik ali posamezen terminal, kjer so shranjeniosebni podatki.Prepoznajte vse priključke na računalnik, na katerem soshranjeni osebni podatki. Najpogosteje so to USB vhodi,priključek na internet, brezžične povezave in različnepodpore omrežju (servis, vzdrževanje, nadgradnja ...).Ugotovite slabosti vsake od povezav na računalnik inpredvidite razumno pričakovane napade na sistem. Gledena okoliščine (predvsem velikost zbirke osebnih podatkov,ki jo obdelujete) vam analizo lahko izdela zaposlenis potrebnim znanjem ali pa boste morali izdelatiobsežnejšo analizo s strani IT strokovnjakov.Ne shranjujte nobenih osebnih podatkov na računalnikih,ki so povezani na internet, razen, če to ni res nujnopotrebno za potek poslovanja. V tem primeru poskrbiteza varnost teh računalnikov pred napadi z interneta.Kriptirajte vsako pošiljanje po elektronski poti. Prav takorazmislite o kriptiranju osebnih podatkov, ki so shranjenina strežnikih in prenosnih napravah zaposlenih. Prav takosta obvezno kriptiranje elektronske pošte in uporaba e-podpisa, kadar si zaposleni izmenjujejo občutljive osebnepodatke med seboj po elektronski poti.

Redno osvežujte protivirusnein anti-spywareprograme, takona strežniku, kakortudi na posameznihterminalih.Namestite in rednovzdržujte požarni zid.Preiščite računalnišketerminale in omrežja,ali niso povezana vNamigPrenos podatkov preko navadne elektronskepošte ni varen prenos. Zato tudiZVOP-1 predpisuje kriptiranje osebnihpodatkov, ki jih boste prenašali po elektronskipoti. Če boste osebne podatkeprenašali po nezaščiteni elektronskipoti, s tem na stežaj odpirate vratanepridipravom, ki zgolj čakajo na takšnomalomarnost.svetovni splet z morebitnimizlonamernimi programi. Če odkrijete takšne programe, jihizbrišite. Enako storite s programi, ki jih ne potrebujete in s programi,ki sicer omogočajo povsem zakonito uporabo svetovnega spleta, so pav danih okoliščinah nepotrebni (npr. odjemalec elektronske pošte naračunalniku, kjer dostop do svetovnega spleta ni potreben – zapretevrata – porte).Če prejemate ali oddajate občutljivejše osebne podatke, kot je denimoštevilka kreditne kartice, uporabite t. i. Secure Sockets Layers (SSL)ali drugo povezavo, ki omogoča zavarovanje prenašane informacije.Posebej pozorni bodite pri programski opremi, ki je povezana z vašospletno stranjo in obiskovalcem strani sporoča podatke ali jih od njihprejema. Če ne boste spoštovali zavarovanja osebnih podatkov, lahkohitro storite prekršek po ZVOP-1 ali pa doživite neprijetne posledice,nastale zaradi zlorabe osebnih podatkov, ki jih obdelujete.Če imate v podjetju vzpostavljeno brezžično omrežje, ga zavarujtetako, da ne bo možna vzpostavitev vzporednega omrežja z enakimimenom.Izdelajte t. i. dogodkovne dnevnike (log file), ki bodo omogočali ugotavljanje,kdaj je bil nek osebni podatek vnesen v računalniški sistem,kdo ga je vnesel in nadalje obdeloval, kdaj in s kakšnim namenom.

GeslaPrvo in najpomembnejše pravilo pri računalniških geslihje, da mora geslo biti “močno”. To pomeni, da:- ne sme biti enako kot uporabniško ime;- ne sme biti beseda iz slovarja;- ne sme biti sestavljeno zgolj iz pogosto uporabljenih besed;- ne sme biti sestavljeno iz imena, priimka, ali drugače enostavnougotovljivega podatka uporabnika računalnika (npr.rojstnega datuma, imena partnerja, otrok ...);- mora biti sestavljeno iz črk in številk;- mora biti kar se da dolgo;- mora biti geslo takšno, da si ga je lahko zapomniti, a težkouganiti."21 % gesel smo uganili v prvem tednu, 2,7 % paže v prvih 15 minutah preverjanja."Vir: http://www.zag.si/~jank/public/misc/dobro_geslo-r.html#1 - natem naslovu lahko najdete tudi še nekaj praktičnih napotkov gledegesel.Več:Slovensko:http://www.microsoft.com/slovenija/malapodjetja/themes/techwise/effectivepassword.mspxhttp://www.sigen-ca.si/osebni/prevzem5.phpAngleško:http://www.goodpassword.com/Od svojih zaposlenih zahtevajte, da gesla redno menjajo.Nastavite samodejno zahtevo po spremembi gesel, čeprogramska oprema to omogoča.Zaposlene poučite o pomembnosti politike gesel.Uporabljajte ohranjevalnike zaslona s samodejnim zaklepanjemz geslom.Zaklenite poskuse “logiranja” na določeno številoposkusov (priporočamo 3 do 5).

Opozorite zaposlene na klice tatov identitete. Ti se pogosto predstavijokot informatiki podjetja in od zaposlenih zahtevajo, da jim povedo gesloza dostop do računalniških sistemov. Takšni klici so skoraj po praviluzlonamerni. Zaposleni se morajo zavedati, da preko telefona ne smejonikomur sporočati svojih gesel.Ko nameščate ali posodabljate programsko opremo, spremenite prednastavljenagesla proizvajalca ali prodajalca.Opozorite zaposlene, da svojih gesel ne razkrivajo nikomur, prav takojih ne smejo pošiljati po elektronski pošti.Prenosni računalnikiOmejite uporabo prenosnih računalnikov zgolj na tiste zaposlene, ki jihpri svojem delu res potrebujejo.Ugotovite, ali morajo biti osebni podatki dejansko shranjeni na prenosniku.Če ugotovite, da to ni potrebno, jih zbrišite s programom, ki informacijedejansko izbriše, oz. jih prepiše. Uporaba zgolj navadnegaukaza za brisanje podatkov na disku računalnika podatkov pogosto neizbriše povsem s trdega diska.Od zaposlenih zahtevajte, da prenosnike shranjujejo v zaklenjenih prostorih.Če je možno, naj bodo prenosniki varno pritrjeni tudi meddelom zaposlenih v pisarni (s kabli ali ključavnico).Če je možno, omejite shranjevanje osebnih podatkov na prenosnikih –omogočite le dostop do njih preko omrežja, ne pa shranjevanje.Dostop do prenosnikov skušajte zaščititi še z dodatnimi zaščitami, kotje npr. kartični dostop s spreminjajočim se geslom (“smart card”).Če prenosnik vsebuje občutljive podatke, na njem onemogočite nalaganjeprogramske opreme in spreminjanje nastavitev brez dovoljenjainformatika (administratorska gesla).

Če na prenosniku hranite občutljive informacije, razmisliteo funkciji za samodejno uničenje, ki se sproži, ko setisti, ki je ukradel prenosnik, prvič skuša povezati na internet.Opozorite zaposlene, ki uporabljajo prenosnike, naj bodoprevidni na poti. Prenosnikov naj tako ne puščajo nenadzorovanona sedežih avtomobila, v preddverjih hotelov, naletališčih in podobno. Na prenosnik naj bodo pozorni celomed osebnim pregledom na letališču.Razmislite o kriptiranju tistih map, ki vsebujejo osebne podatke.Požarni zidUporabljajte požarni zid na vseh računalnikih, ki sopovezani na internet. Lahko izberete tako programski kottudi strojni požarni zid. Bistveno je, da ga pravilno nastavite,saj le pravilno nastavljen požarni zid nepridipravomotežuje dostop do vašega računalnika in njegovo vidnost vsvetovnem spletu.Razmislite o uvedbi “mejnega” požarnega zidu (“border”),ki bo ločil vaše omrežje od interneta. V njem omogočitedostop samo tistim uporabnikom, za katere je nujno, dadostopajo do potrebnih podatkov. Prav tako uporabnikomomejite možnosti dostopa.Če določeni računalniki v omrežju hranijo osebne podatke,drugi pa ne, razmislite o uvedbi dodatnih požarnih zidovpri računalnikih, ki hranijo takšne podatke.

Brezžična omrežja in oddaljen dostopUgotovite, ali že uporabljate brezžična omrežja za prenos informacij.Ne pozabite na tiskalnike in prenosne telefone, ki podpirajo prenos informacij(bluetooth).Če brezžično omrežje vzpostavljate ali ga že imate vzpostavljenega,razmislite o omejitvah dostopa. Prav tako nepridipravom otežite delo,če dovolite, da se v omrežje priključijo zgolj določene in vnaprej znanenaprave, ostale naprave pa blokirate.Za še višji nivo zaščite dostopa v brezžično omrežje razmislite o kriptiranjupovezave. Kriptiranje povezave med računalnikom in brezžičnonapravo onemogoča nepridipravom, da do osebnih podatkov na računalnikupridejo v postopku, imenovanem “spoofing” – postopek lažnegapredstavljanja. Razmislite o uvedbi kriptiranja, če vaše podjetjeomogoča oddaljen dostop do omrežja zaposlenim in / ali pogodbenikom,ki skrbijo za nadgadnjo in servisiranje programske opreme.Kriptiranje in uporaba e-podpisa sta obvezna, kadar po elektronski potipošiljate občutljive osebne podatke. To od vas zahteva ZVOP-1.Zaznavanje vdorovDa bi sploh lahko zaznali vdore v sistem, razmislite o nakupu programskeopreme, ki vam bo omogočala nadzor. Pri tem ne pozabite naredno osveževanje podatkovne baze programa.Vzpostavite učinkovite dogodkovne dnevnike (“log file”), iz katerih borazvidno delovanje omrežja. Zapisi v teh dnevnikih vam bodoomogočali, da boste prepoznali napade v sistem in znali nanje odgovoriti.Nadzorujte tudi vse komunikacijske kanale, skozi katerepritekajo informacije v vaše podjetje ali odtekajo iz njega – pozornibodite predvsem na nenavadno visok promet, večkratne poskuse logiranjaneznancev ali nenavadno velike količine podatkov, ki se prenašajoneznanemu uporabniku. Izdelajte tudi odzivni plan v primeruvdora v sistem.

Izobraževanje zaposlenihVeriga je močna samo toliko kot njen najšibkejši člen. Naj torej najšibkejšičlen v sistemu zavarovanja osebnih podatkov v vašem podjetjune bodo prav vaši zaposleni. Zato jih seznanite z vsemi zakonitostmizavarovanja osebnih podatkov in jim predstavite njihove pravice indolžnosti s tega področja.Posebej skrbno preverite reference in veščine tistih kandidatov, kibodo obdelovali osebne podatke ali skrbeli za kakršnokoli ravnanje znjimi.Zaposlenim v podpis ponudite izjavo, da so seznanjeni s pravilnikomo zavarovanju osebnih podatkov in postopki zavarovanja osebnih podatkov.Zaposlene neprestano opozarjajte na njihove dolžnosti ob ravnanjuz občutljivimi podatki.Določite osebe, ki imajo lahko dostop do občutljivih podatkov v vašempodjetju. Še posebej skrbno določajte osebe, ki ravnajo z osebnimipodatki, ki so največkrat tarča nepridipravov, in z občutljivimi osebnimipodatki.

Zaposlenim, ki bodo odšli iz vašega podjetja ali nadrugo delovno mesto, kjer ne bodo več imeli dostopado občutljivih podatkov, uničite gesla, od njih zahtevajte,da vrnejo vse identifikacijske kartice in ključe, skaterimi so dostopali do občutljivih podatkov v podjetju.Naj takšen postopek postane rutina v vašem podjetju.Uvedite konstnantnoizobraževanjezaposlenih s področjazavarovanjaosebnih po datkov.Tako bodo tudi zaposlenidobili občutek,da je zava-NamigOb izobraževanju se še posebejzavedajte, da je za večino zlorabosebnih podatkov še vedno najboljodgovoren človeški faktor. Pravzaradi preprečevanja takšnihzlorab, vedite, da sta izobraževanjein “vzgoja” zaposlenih izrednegapomena za vaše podjetje.rovanje osebnihpodatkov pomembendejavnik prinjihovem delu. Zaposlenesproti seznanjajtez novimi nevarnostmi vdorov v računalniškesisteme, prav tako tudi z novostmi sodobnih trendovzavarovanja osebnih podatkov. Pri izobraževanju nespreglejte svojih podružnic, občasnih delavcev, študentov...Delavcem predstavite postopke, ki jih morajo izpeljativ primeru napadov na računalniške sisteme ali drugihzlorab osebnih podatkov. Nagradite delavce za vsakprijavljen napad ali opozorilo na nepravilnosti, saj vammajhna nagrada zaposlenemu lahko prinese koristi velikovečjih vrednosti, če upoštevate možne zlorabeslabo zavarovanih osebnih podatkov.

Ob računalniški opremi, kjer shranjujete ali obdelujete osebne podatke,namestite opozorila o ravnanju z osebnimi podatki.Zaposlene, ki sprejemajo telefonske klice ali kakorkoli komunicirajoz osebami izven vašega podjetja, posebej opozorite, najbodo pazljivi pri razkritju osebnih podatkov.Delavce temeljito poučite o “phishingu”, spletnih in telefonskihprevarah, kjer nepridipravi za različne namene od kličočega alinaslovnika zahtevajo razkritje določenega podatka o omrežju, oterminalih, gesla ipd. za namene kraje denarja. Kako hitro naraščaštevilo takšnih goljufij, dokazujejo številke: V avgustu 2003 je bilozaznanih 14 primerov tovrstnih elektronski sporočil, številka pa seje v januarju 2004 povzpela že na 290,016 (Vir: http://www.arnes.si). V primeru telefonskih klicev dvojno preverite kličočegain se z njim dogovorite, da ga pokličete nazaj na telefonskoštevilko, ki jo poznate, ali tisto, ki je objavljena v telefonskemimeniku. Glede spletnega phishinga pa upoštevajte naslednjenapotke (Vir: http://www.arnes.si/si-cert/obvestila/2004-06.html),ki so uporabni tako za pravne osebe, kot tudi za posameznike:* Nikoli ne odgovarjajte na elektronska pisma, ki od vas zahtevajoosebne in finančne podatke. Prav tako ne sledite povezavam dotakšnih spletnih strani. Legitimna podjetja vam takšnih zahtev nikoline bodo pošiljala po elektronski pošti ali preko spleta.* Ko se prijavljate na spletne strani, ki imajo karkoli opraviti z denarjem,njihov spletni naslov (url) obvezno vtipkajte neposredno vnaslovno vrstico.* Osebnih in finančnih podatkov nikoli ne pošiljajte po elektronskipošti. Takšno pošiljanje podatkov ni varno.* Redno preverjajte izpiske bančnih računov in kreditnih kartic.* Na računalniku imejte nameščene najnovejše popravke operacjskegasistema (npr. windows update) in posodobljen antivirusni program.Od svojih zaposlenih zahtevajte, da nemudoma poročajo o vsakipotencialni nevarnosti zlonamerne obdelave osebnih podatkov,npr. o kraji prenosnika, odprtih vratih v strežniško sobo ...

Pogodbeni obdelovalciKo vzpostavljate sistem varovanja osebnihpodatkov, ne pozabite na pogodbeneobdelovalce. Prav od teh jenamreč pogosto odvisna varnost vašega podjetja, saj pogodbeni obdelovalcipogosto vzdržujejo računalniške sisteme, izvajajo servise različneopreme, s katero se zbirajo in nadalje obdelujejo osebni podatki,ali pa zgolj skrbijo za čiščenje prostorov, kjer se obdelujejo ali shranjujejoosebni podatki.Ob izvajanju pogodbeneobdelave jepomembno, da upravljavciosebnih podatkovupoštevajo naslednjesmernice pri zavarovanjuosebnih podatkov:* za zavarovanje stadolžna skrbeti tako u-pravljavec osebnih podatkovkot tudi pogodbeniobdelovalec,NamigDolžnost skleniti pogodbo inzavarovati osebne podatke upravljavcunalaga 11. člen ZVOP-1. Brezplačnivzorec pogodbe za potrebe pogodbeneobdelave je objavljen na spletnistrani Informacijskega pooblaščenca:http://www.ip-rs.si/index.php?id=426.* posebno pozornost namenite zavarovanju in sledljivosti obdelave osebnihpodatkov pri tistih pogodbenih upravljavcih, ki imajo oddaljen dostopdo vaših informacijskih virov (npr. vzdrževalci programskih rešitev),* upravljavec je dolžan nadzirati pogodbenega obdelovalca glede izvajanjazavarovanja osebnih podatkov,* preverite reference bodočega pogodbenega obdelovalca in ugotovite,katere varnostne standarde upošteva,* od pogodbenega obdelovalca zahtevajte, da vas obvešča o vseh varnostnihtežavah, četudi osebni podatki morda niso bili ogroženi.

4. UničenjeZavedajmo se, da so dokumenti, ki so morda za nas neuporaben kossmeti, za iskalce informacij rudnik zlata in odlična priložnost za krajoidentitete. Malomarno “pozabljanje” računov, ki vsebujejo številkekreditnih kartic, na lahko dostopnih mestih, metanje neuničenihzgoščenk v smeti in podobne “malomarnosti” povečujejo nevarnostgoljufij in kraje identitete. Zato je pravilno uničenje dokumentov inmedijev bistvenega pomena za zavarovanje vaše identitete in premoženja.V svojem podjetju uvedite politiko uničevanja dokumentov, ki vsebujejoosebne podatke. Uničenje naj bo prilagojeno osebnim podatkom,ki jih obdelujete, in naj bo razumno in primerno, tako dabistveno ne bo vplivalo na potek dela zaposlenih. To pomeni, damorate uničenje prilagoditi glede na občutljivost osebnih podatkov,nove tehnologije, stroške in koristi, ki jih izbrani način uničevanjadokumentov prinese.Papirnate dokumente, ki vsebujejo osebne podatke, razrežite, zažgiteali jih spremenite v prah. Rezalce papirja (“shredder”) posta-

vite na takšna mesta v pisarnah,da bodo do njihimeli enostaven dostopvsi zaposleni. Rezalec papirjapostavite tudi ob fotokopirnemstroju.Ko odpisujete računalnikein medije, na katereshranjujete osebne podatke,poskrbite, daboste osebne podatkeizbrisali. Pri tem ni dovolj,da podatke na diskuizbrišete s tipko Del(Delete), pač pa morate naknadno uporabiti tudi program, kinepovratno izbriše podatke z medijev. V nasprotnem primeru je namrečzapisane podatke moč enostavno ponovno priklicati (“Restore”).Poskrbite, da bodo tudi delavci, ki delajo doma, upoštevali enakevarnostne postopke uničenja.

5. NačrtovanjeNe glede na varnostne ukrepe, ki sicer bistveno zmanjšajo nevarnostzlorab osebnih podatkov, se še vedno lahko zgodi, da pride do vdorav računalniški sistem ali da osebni podatek “spolzi” (npr. zaradi malomarnostiali celo naklepa zaposlenih) iz zbirke osebnih podatkov. Zatopriporočamo, da upoštevate naslednje nasvete, s katerimi boste zmanjšalimožnost zlorab:* izdelajte načrt, kako postopati v primeru zlorab in vdorov. Njegovoizdelavo in izvajanje zaupajte osebi v podjetju, ki ji zaupate,* če je računalnik kakorkoli okužen ali mu preti nevarnost vdora, ga takojizključite z interneta in z internega omrežja,* takoj začnite preiskavo in ugotovite, kako je do kršitve sploh prišlo, insprejmite ustrezne ukrepe, da do teh v prihodnje v enakih ali podobnihprimerih ne bo več prihajalo.

Razmislite, komu bi lahko kršitev sporočili, tako znotrajvašega podjetja, kakor tudi, ali je stopnja ogroženosti žedosegla katero izmed pregonljivih dejanj, npr. prekršek alikaznivo dejanje. Prav tako razmislite, ali morate o zlorabahobvestiti posameznike, na katere se osebni podatkinanašajo, Informacijskega pooblaščenca ali vaše poslovnepartnerje (pogodbene obdelovalce).Predvidite možne scenarije zlorab osebnih podatkov, kotso npr. nepooblaščen vstop v delovne prostore ali v računalniškomrežo izven delovnega časa.Opravite vnaprejšnji test, da se seznanite, v kolikšni meriste pravilno predvideli varnostne dogodke. To storite npr.tako, da z lažnim predstavljanjem od svojih zaposlenihskušate zvabiti osebne podatke ali dostopna gesla (t. i.penetracijski test – svetujemo previdnost). Na podlagitakšnega poskusa ocenite varnostni položaj vašega podjetjain sprejmite ustrezne varnostne ukrepe. Pri tem sezavedajte, da je za nepooblaščeno razkritje osebnih podatkovpogosto odgovoren prav človeški faktor.

Uporabne povezavewww.ip-rs.siwww.safe.siwww.arnes.si/si-cert/obvestila/2004-06.htmlwww.arnes.si/si-cert/www.varnostne-novice.com/index.phpwww.microsoft.com/slovenija/varnost/default.mspxwww.enisa.europa.eu/www.enisa.europa.eu/doc/pdf/deliverables/enisa_a_users_guide_how_to_raise_IS_awareness.pdfwww.csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdfwww.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdfwww.sans.org/top20www.owasp.org/index.php/Main_Pageonguardonline.gov/index.htmlwww.cisecurity.org/

Urednica: Nataša Pirc MusarAvtorji: Klemen Mišič, mag. Andrej Tomšič, Federal TradeCommissionGrafično oblikovanje: Klemen MišičFotografije: FotoliaNaklada: 500 izvodovCIP - Kataložni zapis o publikacijiNarodna in univerzitetna knjižnica, Ljubljana342.738(497.4)MIŠIČ, KlemenZavarujmo osebne podatke : priročnik za upravljavce osebnihpodatkov / [avtorja Klemen Mišič, Andrej Tomšič]. –Ljubljana : Informacijski pooblaščenec, 2007.ISBN 978-961-91762-3-81. Gl. stv. nasl. 2. Tomšič, Andrej.233243392

www.ip-rs.siINFORMACIJSKI POOBLAŠČENEC