» »

Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, niso zavezanci po GDPR

Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, niso zavezanci po GDPR

Slo-Tech - Upravljavec podatkov mora z vsakim od pogodbenih obdelovalcev podatkov skleniti pogodbo o obdelavi, kjer točno določi pogoje, načine, namene in vse kar sodi zraven. To je ena izmed novosti, ki jih je vpeljal GDPR. Vendar, kot kaže primer iz prakse, ni vedno tako.

Teorija: Upravljavec in obdelovalec

Za lažje razumevanje začnimo z malo teorije: glede na GDPR je "upravljavec" oseba, ki ima nadzor nad podatki. Torej določa kateri podatki se zbirajo, kako se obdelujejo in kako se uporabljajo. "Obdelovalec" jih obdeluje – za upravljavca. Obdelovanje je po dosedanji praksi Informacijskega pooblaščenca “karkoli” nekdo naredi s podatki: hramba, pregledovanje, upravljanje zbirke, brisanje …

Takšno razumevanje je pomenilo, da so bili praktično vsi subjekti, ki so imeli karkoli s hrambo in obdelovanjem podatkov, vsaj obdelovalci. Ne samo trgovec, ki je zbiral in uporabljal podatke o uporabi kartice zvestobe, pač pa tudi družba, ki je zanj upravljala podatkovno bazo in izdelovala poročila, njen podizvajalec, ki je skrbel za programiranje in vzdrževanje aplikacije, njen ponudnik oblačnih storitev, v katerih je gostoval virtualni strežnik, ponudnik fizičnih strežnikov in nenazadnje tudi družba, ki je ponujala kolokacijo strežnikov. Vsi imajo neke vrste dostop do podatkov, vsi imajo v končni fazi možnost, da obdelavo ustavijo, pa čeprav tako, da iz fizičnega strežnika odklopijo električni kabel. Kot je razvidno iz smernic IP o pogodbeni obdelavi, je do sedaj IP za podobdelavo štel celo hrambo kodiranih kopij podatkov, kjer ponudnik, ki izvaja hrambo pravzaprav nikoli ne pride v stik s podatki (7. stran smernic).

To razumevanje ima neko logiko. Pomeni pa veliko administrativno breme, saj mora upravljavec podatkov zagotoviti sklenitev pogodbe z vsemi v verigi. Do sedaj.

Ministrstvo za javno upravo vs. Ministrstvo za pravosodje

Od Informacijskega pooblaščenca smo po zahtevi po Zakonu o dostopu do informacij javnega značaja prejeli sklep o ustavitvi postopka zoper Ministrstvo za pravosodje. IP je izvedel inšpekcijski nadzor nad izvajanjem določb Splošne uredbe in ZVOP-1 glede obdelave posnetkov, ki so del sistema za zvočno snemanje razprav na sodiščih.

Ministrstvo je pojasnilo, da je v okviru operacije »e-pravosodje« za sodišča izvedlo nabavo opreme in vzpostavitev sistema za izvajanje zvočnega snemanja. Ministrstvo ima sicer v posesti infrastrukturo za zvočno snemanje, in sicer v kleti na lokaciji Župančičeva 6, 1000 Ljubljana in zagotavlja fizično varovanje, spremlja temperaturo v prostoru (hlajenje), skrbi za elektriko (tudi napajanje preko UPS za izpad do dve uri) in požarno varnost, vendar infrastrukturo na nivoju strojne opreme in operacijskega sistema vzdržuje Ministrstvo za javno upravo na podlagi Sporazuma o zagotavljanju storitev in razmejitvi odgovornosti. Celotna infrastruktura je po sporazumu v upravljanju Ministrstva za javno upravo. Vse pogodbe, ki jih je imel zavezanec sklenjene, so bile prenesene na Ministrstvo za javno upravo, to pa je po preteku pogodb uredilo podporo preko svojih pogodb. Ministrstvo za pravosodje s sodišči nima sklenjenega dogovora o razmejitvi odgovornosti (zvočno in slikovno snemanje sta del vpisnikov sodišč, podatki so v lasti sodišč). Virtualni strežnik je del od ministrstva vsebinsko ločene instance, kjer je to eden od strežnikov pod upravljanjem in dostopom sodišč, do koder imajo izključen dostop le dodeljeni uporabniki s strani sodišča na določen posnetek.

Nova razlaga pojmov

Nadzorni organ se je s pojasnili zadovoljil in tudi sprejel argument, da Ministrstvo za pravosodje ne upravlja s sistemom za snemanje obravnav na sodiščih, temveč zgolj daje sodiščem oziroma Ministrstvu za javno upravo na razpolago prostore. V teh se sicer nahaja strežniška infrastruktura, namenjena temu sistemu, vendar s to strežniško opremo ne upravlja niti ni njen skrbnik. Prav tako pa nima vpogleda v podatke, ki so shranjeni na njej. Za tovrstno razbremenitev odgovornosti zadošča že, da je Ministrstvo za pravosodje predalo svojo opremo v upravljanje Ministrstvu za javno upravo (v nekih drugih bolj administrativno obremenjenih časih bi temu rekli, da so si omislili pogodbenega podobdelovalca).

Nova razlaga Informacijskega pooblaščenca glede vsebine pojmov "upravljavec" in "obdelovalec" pomeni dobrodošlo razbremenitev za vse podizvajalce, ki hranijo infrastrukturo za podatke in ki se podatkov sicer ne dotikajo (policy), pa vseeno imajo možnost, da podatke kadarkoli vzamejo, ker se fizično nahajajo pri njih. Oziroma po domače: za podizvajalce, ki samo hranijo infrastrukturo (v lasti in posesti), na kateri so shranjeni podatki, GDPR ne velja. Obrazložitev, kako je tovrstna hramba smiselno drugačna od hrambe, ki jo zagotavljajo nekateri ponudniki oblačnih storitev pa bomo seveda z veseljem objavili, ko se bo v zvezi s tem pojavila kakšna inšpekcijska odločba.

17 komentarjev

Markoff ::

IP RS pod trenutno pooblaščenko postaja strokovno razsulo, ki je ali izgubilo kompas ali pa ta deluje podobno kot tisto od Jacka Sparrowa - po potrebi in po željah njegovega nosilca. Po analogiji temu primeru bi lahko podjetje, ki razvija IS za stranko, bilo odrešeno obligacij po GDPR, če npr. stranki dostavlja binarno kodo, ki jo stranka sama namešča v produkcijsko okolje, v testnem okolju pa produkcijskih podatkov ni, zato razvijalec ni ne upravljavec, ne obdelovalec. Dejstvo, da lahko razvijalec v IS vstavi poljuben backdoor, ki ga stranka seveda ni ne strokovno usposobljena najti, niti nima resursov (časa, denarja) za vsakokratni podrobni pregled kode, IP RS očitno kmalu ne bo motilo več.

Ja, GDPR je administrativno breme, je pa predvsem zelo uspešen (četudi manj učinkovit) mehanizem dodeljevanja zakonske odgovornosti vsem vpletenim, saj je bila doslej odgovornost dodeljena predvsem upravljavcu, ta pa je ni znal ali zmogel delegirati tudi vsem izvajalcem (obdelovalcem). IP RS z duhom in določili GDPR s takšno svobodno presojo (predvsem v javnem sektorju, verjetno precej manj v zasebnem) ravna kot bin Salmanovi šoktruperji s Hadokdžijem. Razkosavanje, kislina, raztresenje po bližnjem gozdu. Sad ga ima, sad ga nema.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

ciki57 ::

Makes sense. Zakaj bi recimo ponudnik infrastrukture (fizični ali virtulani strežniki) moral odgovarjati če nekdo na strežnikih, ki jih daje v najem zlorablja osebne podatke?

111111111111 ::

Moral bi odgovoarjati če ima neprimerno zaščiteno infrastrukturo. Ampak mu ne bo treba po GDPR, ampak samo za malomarnost.

EDIT: nezadovoljni zaposleni odnese disk s podatki iz firme. Kdo je kriv?

Zgodovina sprememb…

poweroff ::

MP ugasne strežnike in onemogoči obdelavo osebnih podatkov. Kdo je odgovoren?
sudo poweroff

Gregor P ::

MJU>:D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

ciki57 ::

111111111111 je izjavil:

Moral bi odgovoarjati če ima neprimerno zaščiteno infrastrukturo. Ampak mu ne bo treba po GDPR, ampak samo za malomarnost.

EDIT: nezadovoljni zaposleni odnese disk s podatki iz firme. Kdo je kriv?



Potem bi moral ponudnik vedeti da so na strežniku osebni podatki. Ponavadi se ponudniki infrastrukture ne vtikajo v to, kaj stranke počnejo z njihovimi strežniki (in se niti ne bi smeli). Razen če pride kakšna zahteva s strani organov pregona.

V primeru ki si ga podal pa je seveda kriv zaposleni ki je odnesel disk.

111111111111 ::

ciki57 je izjavil:

111111111111 je izjavil:

Moral bi odgovoarjati če ima neprimerno zaščiteno infrastrukturo. Ampak mu ne bo treba po GDPR, ampak samo za malomarnost.

EDIT: nezadovoljni zaposleni odnese disk s podatki iz firme. Kdo je kriv?



Potem bi moral ponudnik vedeti da so na strežniku osebni podatki. Ponavadi se ponudniki infrastrukture ne vtikajo v to, kaj stranke počnejo z njihovimi strežniki (in se niti ne bi smeli). Razen če pride kakšna zahteva s strani organov pregona.

V primeru ki si ga podal pa je seveda kriv zaposleni ki je odnesel disk.

Mislim, da nosi samo del krivde. Del krivde je na podjetju, ki ni poskrbelo za primerne varnostne standarde, da do tega ne bi smelo priti.

link_up ::

ne stekam, prosim po kmecko. Ce jaz izpisem bazo na ekran, kot del recimo daily checkup rutine, sem pa samo lastnik infrastrukture? Kaj zdaj?
In and Out

Zgodovina sprememb…

  • spremenilo: link_up ()

Ales ::

Nimaš kaj izpisovat ničesar, če si samo lastnik infrastrukture. Niti gesel za dostop ne bi smel imeti.

Če pa jih imaš in to počneš, pa nisi samo lastnik infrastrukture, ane?

Matko ::

poweroff je izjavil:

MP ugasne strežnike in onemogoči obdelavo osebnih podatkov. Kdo je odgovoren?


naključni nižji uradnik, brez političnega zaledja >:D

Markoff ::

Matko je izjavil:

poweroff je izjavil:

MP ugasne strežnike in onemogoči obdelavo osebnih podatkov. Kdo je odgovoren?


naključni nižji uradnik, brez političnega zaledja >:D

Franck Dupont...:P
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

poweroff ::

Najbolj katastrofalno je pa, da je so sedaj IP-RS očitno gladko zavajal s svojimi mnenji in ljudem s tem nalagal nepotrebne stroške.

Ampak saj ni problema, mandat je bil podaljšan, tako da je vse OK...
sudo poweroff

Markoff ::

PD processors are blue,
communists are red,
IP has spoken,
GDPR is dead.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

SeMiNeSanja ::

poweroff je izjavil:

Najbolj katastrofalno je pa, da je so sedaj IP-RS očitno gladko zavajal s svojimi mnenji in ljudem s tem nalagal nepotrebne stroške.

Ampak saj ni problema, mandat je bil podaljšan, tako da je vse OK...

Mene bolj moti to, da so te "pogodbe" manj vredne od papirja, na katerem so spisane.

Štos je v tem, da so pogodbe spisane zgolj zato, da se 'zadovolji potrebi', če bi že kdo kdaj vtikal nos v to, če imaš vso papirologijo.
Nikogar pa dejansko ne zanima, kaj stoji zadaj za njo.

Vzami za primer računovodski servis. Ti notri 10x napišejo katere tvoje osebne podatke obdelujejo, niti 1x pa ne napišejo, v skladu s katerim varnostnim standardom te osebne podatke varujejo. No, predvsem zato, ker ne izpolnjujejo nobenega od uveljavljenih standardov. A kljub temu z papirologijo ustvarjajo lažen vtis v neko navidezno 'profesionalnost'.

A na koncu plačilne liste in plačilne naloge še vedno pošiljajo nekriptirane po mailu.

Zaposlene pošiljajo na raznorazna računovodska izobraževanja, ko se gre za cybersecurity, pa se niti vodstvo ne udeleži vsaj kakšnega povsem začetniškega izobraževanja.

Skratka, kaj naj narediš s tisto pogodbo, če ti jo pošljejo? Za zadnjico obrisat papir ni primeren.....

Zgodovina sprememb…

AndrejO ::

SeMiNeSanja je izjavil:

poweroff je izjavil:

Najbolj katastrofalno je pa, da je so sedaj IP-RS očitno gladko zavajal s svojimi mnenji in ljudem s tem nalagal nepotrebne stroške.

Ampak saj ni problema, mandat je bil podaljšan, tako da je vse OK...

Mene bolj moti to, da so te "pogodbe" manj vredne od papirja, na katerem so spisane.

Pogodba je spisana in podpisana za to, da se ve kdo je odgovoren za kaj.

Če podpisniki ne delajo tega, k čemer so se v pogodbi jasno zavedali, naj bi za to seveda bili odgovorni.

Nujen pogoj, da pa to deluje, pa je seveda "delujoč" nadzorni organ.

krho ::

SeMiNeSanja je izjavil:


Vzami za primer računovodski servis. Ti notri 10x napišejo katere tvoje osebne podatke obdelujejo, niti 1x pa ne napišejo, v skladu s katerim varnostnim standardom te osebne podatke varujejo. No, predvsem zato, ker ne izpolnjujejo nobenega od uveljavljenih standardov. A kljub temu z papirologijo ustvarjajo lažen vtis v neko navidezno 'profesionalnost'.

A na koncu plačilne liste in plačilne naloge še vedno pošiljajo nekriptirane po mailu.


Če dobiš plačilni list v nezaščitenem pdfju, potem je računovodski servis v prekršku.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

SeMiNeSanja ::

@Andrej / @krho

Meni je čisto jasno čemu naj bi služila pogodba ter da se gre za prekršek in to ne šele od GDPR dalje.

Istočasno pa nisem naiven, da bom pričakoval, da bo IP RS kot 'nadzorni organ' delal inšpekcije po outbox-ih nekih računovodskih (in podobnih) servisov/podjetij.

Teoretično naj bi podal ovadbo, pa da bo potem IP RS ukrepal.

V praksi je to tako, da 90% ljudi nima pojma, da bi to lahko bil prekršek, če se pošilja osebne podatke v navadnem mailu. Preostalih 10% pa se ne bo zganilo, da bi sprožili postopek, ker je to nekako zadnja inštanca in ti lahko dolgoročno škoduje v odnosu z 'izvajalcem', če si sicer zadovoljen z njim.

Skratka vpleta se zelo velika mera človeškega faktorja.

GDPR ima sicer neke pametne ideje, od nekega pooblaščenca, ki naj bi se mu vsaj malo bolj sanjalo, kaj je pri barantanju z osebnimi podatki še dopustno ali ne, pa vse do nekakšne 'samoregulative' v smislu da lastnik osebnih podatkov izvaja nadzor nad tem, kako obdelovalec baranta z njegovimi podatki.

A je tu spet problem, da brez vpletanja 'nadzornega organa' nisi ravno tisti, ki se ga bo poslušalo, če ne predstavljaš neko resno finančno izgubo za obdelovalca v primeru, da ga zamenjaš z drugim.
In resno: koliko računovodskih in podobnih servisov poznate, kjer se poleg rolanja številk spoznajo še na kaj drugega?
Jaz imam vtis, da so šefi obiskali kakšen GDPR seminarček, toliko da so se naučili katere papirje je treba urediti (po možnosti so na seminarju dobili že kar vzorce, ki so jih samo še dopolnili), s tem pa je zanje zgodba tudi končana.

Že dolgo nazaj sem trdil, da so pravniki 'ugrabili' GDPR in iz njega naredili izključno pravni 'problem'. Zavedanje, da je potrebno pravni okvir potem zapolniti tudi z ustreznimi dejanji in ravnanji, pa je nekaj, kar marsikje še dolgo ne bomo videli.

Po pravici povedano, bi 100x raje videl, da ima podjetje / servis / agencija vse okoli varovanja osebnih podatkov pošlihtano na praktičnem nivoju, pa četudi nima niti enega samega papirja, s katerim bi se k temu kvazi zavezovalo.

Dejstvo pa je tudi, da nas tepe odsotnost nekih preverljivih standardov. Vs je nekako 'po potrebi'. Le redke stvari so jasne, da so 'no go'. Gledaš američane, pa se tresejo zaradi PCI DSS, če poslujejo s kreditnimi karticami. Če sodelujejo s katerokoli vladno agencijo imajo spet nek standard, ki se ga morajo držati. Enako v zdravstvu. Povsod so zelo konkretno določeni minimalni standardi, ki se periodično dopolnjujejo.

Kaj imamo pa pri nas? ISO standarde, ki so namenjeni 'eliti', širša javnost pa niti vpogleda vanje nima, če ne seže v žep in plača za svoj izvod standarda.

GDPR tu tudi ni nič 'rešil', saj tudi tu ni definirano, kaj se npr. smatra kot ustrezno tehnično varovanje, še manj kaj se smatra kot neustrezno. Če te 'nadzorni organ' pride v inšpekcijo - na kaj se lahko sklicuje, ko ti bo hotel nabiti kazen zaradi zanemarjanja osnovnih načel varovanja in dobrih praks?
Recimo, da boš imel na WiFi WEP enkripcijo. Na osnovi česa te lahko kaznije? Ne vem, če pri nas obstaja nek zakon ali predpis, bi bi mu dal možnost kaznovanja, celo če bi poganjal accesspoint čisto brez vsake enkripcije.

Pogodba... tista o kateri je bilo govora na začetku, je že ok - če pride do štale. Ko gre vse v maloro, je seveda dobro, da imaš črno na belem, da je imel XY za poskrbeti, da se to ne bo zgodilo.
Ni pa ravno v veliko pomoč dokler se to ne zgodi....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SOVA še vedno skovika na vaših žicah

Oddelek: Novice / NWO
3711877 (8032) zmaugy
»

Ustavno sodišče razveljavilo obvezno hrambo prometnih podatkov

Oddelek: Novice / Zasebnost
2716701 (8394) ulemek
»

Nove oblike spletne cenzure v Sloveniji (strani: 1 2 )

Oddelek: Novice / Zasebnost
8939439 (28210) Zvezdica27
»

Policija zavaja glede pridobivanja podatkov o uporabnikih spletnih portalov

Oddelek: Novice / NWO
4316871 (14605) ulemek
»

Meje zbiranja bioloških sledi (strani: 1 2 3 )

Oddelek: Novice / NWO
14640715 (37407) kuglvinkl

Več podobnih tem