Nova evropska Splošna uredba o varstvu osebnih podatkov (GDPR – General Data Protection Regulation) se je pričela uporabljati enotno v vseh državah članicah 25. maja 2018. GDPR je uredba, ki je namenjena varovanju osebnih podatkov prebivalcev EU in uveljavlja pravila o zasebnosti podatkov in o tem, kako organizacije zbirajo, shranjujejo in uporabljajo osebne podatke.
1KA je odprtokodna aplikacija, ki podpira in združuje vse faze procesa zbiranja podatkov s pomočjo spletnega anketiranja. V tem kontekstu ima registrirani uporabnik 1KA, ki je avtor določenega anketnega vprašalnika (in s tem povezanih podatkov) vlogo upravljavca osebnih podatkov (angl. controller), aplikacija 1KA pa ima vlogo pogodbenega obdelovalca (angl. processor).
Center za družboslovno informatiko (Fakulteta za družbene vede, Univerza v Ljubljani) skrbi za vse inštalacije 1KA, ki se nahajajo na strežnikih centra, tako, da so inštalacije v skladu z GDPR zahtevami. Inštalacije temeljijo na operacijskem sistemu Linux (RedHat). To vključuje glavno inštalacijo www.1ka.si kot tudi vse poddomene *.1ka. V tem okviru je bila izvedena nadgradnja, ki omogoča naslednje funkcionalnosti:
A. Popolno šifriranje (enkripcijo) varnostnih kopij podatkovnih baz MySQL Server:
Redne varnostne kopije so šifrirane (PGP) in se na sistem za hrambo podatkov (diskovni strežnik QNAP) prenašajo preko tunela (VPN) in šifriranega prenosa (Secure Copy).
Ker se SQL podatkovna baza nahaja na istem virtualnem strežniku kot spletni strežnik, na katerem je šifriran celoten datotečni sistem, sama podatkovna baza ni dodatno šifrirana. Takšno dodatno šifriranje namreč ne vnaša dodatne zaščite v primeru vdora v spletni strežnik.
V primeru inštalacije na virtualnem gostu znotraj strežniške gruče (cluster), kar je primer inštalacije www.1ka.si, je treba poskrbeti, da ponudnik gostovanja izrecno in s pogodbo zagotavlja šifriran datotečni sistem za virtualni strežnik. S tem je onemogočen dostop do podatkov v primeru vdora (ali drugih oblik nedovoljenega dostopanja) do gostitelja virtualnega strežnika ali strežniške gruče. Ravno tako mora gostitelj strežnika, kjer se nahaja inštalacija 1KA, na osnovi 28. člena skleniti poseben aneks z obdelovalcem podatkov, kjer se opredelijo odgovornosti.
B. Sledenje dnevnikom (logom) s pomočjo sistema Linux Audit daemon:
Na strežniku je nameščen sistem za beleženje sistemskih dogodkov audit daemon. Nastavljen je tako, da med drugim beleži tudi naslednje:
- vsako uporabniško prijavo in povišanje uporabniških privilegijev v sistemu;
- vse zagnane programe in terminalske ukaze kateregakoli uporabnika (vključno sistemskih uporabnikov kot so npr. web, cron, idr.);
- dostopanje (branje, pisanje) do vseh podmap na datotečnem sistemu z namestitvijo 1KA (1KA web root);
- dostopanje (branje, zapisovanje) do map na datotečnem sistemu, ki vsebujejo podatkovne baze;
- v kombinaciji z audit daemon se v SQL dnevniške datoteke beležijo vse SQL poizvedbe.
Podatki dnevniških zapisov se varno in šifrirano aditivno prenašajo na sekundarni strežnik na drugi lokaciji (VPN, rSync prek SSH) – brisanje strežniških datotek ali njihove vsebine se ne prenaša na drug strežnik.
Dnevniške datoteke na primarnem strežniku se brišejo dnevno, na sekundarnem drugem strežniku pa se dnevno pakirajo v šifrirane arhive in zaradi zagotavljanja varnosti ohranjajo 30 dni.
C. Dodatno 1KA za zagotovitev GDPR skladnosti izvaja naslednje ukrepe:
1. Pri varnostnih kopijah (back up verzijah) podatkov upoštevamo splošno uveljavljeno prakso, da izbrisov osebnih podatkov (Pravica do izbrisa, 17. člen) ni treba izvesti tudi v vseh varnostnih kopijah. V primeru zahteve posameznika po izbrisu osebnih oziroma anketnih podatkov se zato izbris izvede le v osnovnem viru (angl. primary). Za varnostne kopije pa se vodi dnevnik logov za morebitne naknadne posege v varnostne kopije. Tako se izbris v varnostnih kopijah izvede le v primeru restavriranja specifične varnostne kopije. Odgovorna oseba, ki je zadolžena za določeno anketo, mora zato ob morebitni restavraciji podatkov iz varnostne kopije ponovno izvesti izbris v restavrirani kopiji.
2. Na nivoju uporabniškega vmesnika ima avtor ankete (angl. controller) na voljo več funkcionalnosti, ki podpirajo izvedbo anket v skladu z GDPR predpisi:
a. Pregled vseh anket (vmesnik za pregledovanje) določenega avtorja, kjer lahko avtor anket označi, katere ankete so zavezane GDPR. V prvi fazi orodje 1KA avtomatsko označi ankete, ki lahko potencialno vsebujejo osebne podatke. Pri tem se upošteva imena spremenljivk (npr. email, ime, priimek) ter eventuelno uporabo 1KA email sistema.
b. Vmesnik za vnos splošnih informacij za vse uporabnikove ankete. To vključuje predvsem informacije o tem, kdo je v organizaciji pooblaščena oseba za varstvo osebnih podatkov (angl. DPO – data protection officer), kako je poskrbljeno za obdelavo podatkov (uporaba, analiza, objava, arhiviranje), procedura za obdelavo prošenj za izbris, kontaktne informacije itd. Te informacije so na voljo (potencialnim) respondentom pri vseh anketah določenega avtorja.
c. Za vsakega avtorja za vse njegove ankete je na voljo vmesnik za pregledovanje in upravljanje zahtevkov za izbris, ki jih predložijo anketiranci.
d. Poleg zgornjih funkcionalnosti, ki se nanašajo na splošno urejanje GDPR vidikov za vse ankete avtorja, za katere je odgovoren avtor ankete, ki je upravljavec osebnih podatkov (angl. controller), so na nivoju vsake ankete, ki zbira osebne podatke in mora biti usklajena z GDPR zahtevami, na voljo še naslednje funkcionalnosti:
i. Vmesnik za vnos in spremembo dodatnih informacij v primeru konkretne GDPR-ju zavezane ankete. Avtor ankete lahko za vsako tako anketo poda izjavo, ali anketa vsebuje osebne podatke, opis osebnih podatkov, navede način in namen obdelave podatkov in navede, kdaj se bodo določeni osebni podatki (avtomatsko) izbrisali (npr. email).
ii. Avtorju ankete se v primeru GDPR-ju zavezane ankete ponudi standardna predloga za obveščanje respondentov, ki jim je avtomatično prikazana posebna vmesna stran, ki respondente seznani z GDPR. Obenem ta vmesna stran vključuje tudi soglasje, s pomočjo katerega bo respondent moral izrecno potrditi strinjanje z zbiranjem podatkov. Brez tega izrecnega soglasja respondent ne more nadaljevati z odgovarjanjem na vprašalnik.
3. Za respondente so pripravljene naslednje predloge, ki jih avtor ankete lahko dodatno prilagodi:
a. Forma za strinjanje respondenta, ki je respondentu prikazana pred samim izpolnjevanjem ankete, v primeru GDPR-ju zavezane ankete (glej 2/d/ii). Če anketa ne zbira nobenih z GDPR povezanih osebnih podatkov, je dodano le splošno obvestilo respondentu o zasebnosti pri zbiranju podatkov.
b. Izdelan je splošen obrazec na spletni strani 1KA z zahtevo za izbris osebnih in/ali drugih anketnih podatkov, zbranih z anketami, ustvarjenimi v orodju 1KA. Izpolnjen obrazec dobi urednik oziroma avtor ankete (angl. controller), ki je nato tudi odgovoren za procesiranje izbrisa. Avtomatsko nadzorovanje, opomnike, opozorila in potrditve zagotavlja 1KA sistem.
4. 1KA email sistem vabil za pošiljanje vabil v anketo je posodobljen, tako da omogoča enostavno brisanje ustreznega elektronskega naslova (in z njim povezanih anketnih podatkov) v skladu z GDPR. Glede strogega ločevanja osebnih podatkov (npr. email za vabilo v anketo) in anketnih odgovorov 1KA tehnično ločuje in jih avtor ankete (nadzornik) ne more povezovati. Če uporabnik izkaže ustrezno pravno podlago (soglasje in vednost anketirancev), lahko zahteva od 1KA, da se to izredno vklopi na zahtevo uporabnika.
5. Sledenje in dokumentacija vseh sprememb v anketnih podatkih (kot tudi spremembe vprašalnika) omogoča orodje 1KA. To velja tudi za vse vpoglede v podatke, ki jih na določeni anketi izvede avtor ankete, manager ali administrator. Omenjena dokumentacija je v celoti na voljo v arhivih 1KA, do katerih lahko dostopate preko vseh drugih nivojev navigacij pri obravnavi določene ankete.
6. V skladu z 28. členom GDPR uredbe je z našim ponudnikom gostovanja in vzdrževanja spletnega strežnika aplikacije 1KA (Telemach d.o.o.), kjer je na oblaku nameščena osnovna inštalacija www.1ka.si, sklenjena ustrezna pogodba, ki določa kakšne pravice ima pogodbeni obdelovalec podatkov in do katerih podatkov lahko v primeru okvar ali popravil dostopa.
V primeru, da je orodje 1KA nameščeno na lastnem strežniku uporabnika (npr. organizacije ali avtorja ankete), je uporabnik/avtor/upravljavec (ang. controller) odgovoren tudi za zgoraj opisani točki (A) in (B). Namestitve v operacijskem sistemu Linux lahko pri tem seveda uporabijo rešitve, ki smo jih razvili v točkah (A) in (B). V primeru, da ima uporabnik še nadaljnjega posrednika oziroma obdelovalca (angl. processor), kot npr. storitev v oblaku, mora uporabnik/avtor ankete to tudi odgovorno formalizirati z drugimi obdelovalci (glej točko 6).