Konec maja 2018 v veljavo vstopa nova uredba EU za varstvo osebnih podatkov, GDPR, ki vpeljuje številne novosti. Prinaša sledljivost med celotnim življenjskim tokom podatka, zagotavlja večjo varnost podatkov, posamezniku pa daje pravico do izbire glede privolitve v hranjenje in obdelavo njegovih osebnih podatkov. Zato morajo tudi podjetja uskladiti svoje poslovanje z uredbo GDPR in uvesti precej novosti.

Ste pripravljeni na GDPR?

GDPR je kratica za General Data Protection Regulation oziroma za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov. Veljati začne 25. maja 2018.

Imate varstvo osebnih podatkov v vašem podjetju že urejeno tako, kot zahteva nova zakonodaja? Za prilagoditev uredbi GDPR ostajajo še približno trije meseci. 

Na obveznosti s področja varstva osebnih podatkov seveda opozarjamo tudi sveže podjetnike, ki na naši SPOT (VEM) točki opravijo postopek za ustanovitev podjetja. 

Podatke lahko zbirate le na podlagi izrecne privolitve posameznika

Osebni podatki se bodo lahko zbirali in obdelovali samo na podlagi izrecne privolitve posameznika. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov.

Način za preklic privolitve mora biti enako enostaven kot podaja privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.

Preverite veljavnost obstoječih privolitev

Podjetnike v zvezi z GDPR najpogosteje zanima, ali morajo ponovno dobiti privolitev svojih obstoječih strank.

Splošna uredba v 171. uvodni določbi določa naslednje: “Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.”

Kot pojasnjujejo v uradu Informacijskega pooblaščenca, to zelo verjetno pomeni, da številne privolitve, ki so bile veljavne po starem Zakonu o varstvu osebnih podatkov (ZVOP-1) ne izpolnjujejo vseh novih pogojev.

Zato priporočajo, da “temeljito preverite vse vaše obrazce za soglasje, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Podrobno si poglejte predvsem uvodne določbe 32, 33, 42, 43 in 171 ter člene 7, 8 in 9.”

Preverite, ali potrebujete uradno osebo za varstvo podatkov

Imenovanje pooblaščenca za varstvo osebnih podatkov ni nujno potrebno. Obveznost ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje oziroma institucija, ki mora imeti pooblaščeno osebo. Imenovati jo morajo vsi javni organi, v zasebnem sektorju pa le nekateri.

Ali ga v vašem podjetju potrebujete, je odvisno od vrste in količine podatkov, ki jih zbirate. In od tega, ali je obdelava vaša osnovna dejavnost in ali obdelujete velike količine podatkov.

Kot pojasnjujejo pri Informacijskem pooblaščencu v zasebnem sektorju obveznost imenovanja pooblaščene osebe velja za tiste upravljalce in obdelovalce, “katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično (vnaprej določeno in metodično) in obsežno (veliki obdelovalci) spremljati, ali katerih temeljne dejavnosti zajemajo obsežno obdelavo posebnih vrst podatkov in osebne podatke v zvezi s kaznivimi dejanji in prekrški.” Opozarjajo tudi, da imenovanje pooblaščene osebe ne pomeni, da upravljalec oziroma obdelovalec ne bo več odgovoren in da je pooblaščenec edina oseba v podjetju, ki skrbi za varstvo podatkov.

Pooblaščenca torej potrebujete, če podatke obdelujete za namene ciljnega oglaševanja prek iskalnikov na podlagi vedenja ljudi na spletu. Ali če v imenu bolnišnice obdelujte osebne genetske in zdravstvene podatke. Če pa denimo strankam enkrat na leto pošljete oglas za svojo restavracijo, vam uradne osebe za varstvo podatkov ni treba imenovati.

Preverite, ali morate voditi evidenco o obdelavi osebnih podatkov

Uredba GDPR upravljalcem osebnih podatkov nalaga obveznost vodenja evidence o obdelavi osebnih podatkov. Vodenje take evidence bo obvezno za delodajalce, ki zaposlujejo več kot 250 delavcev.

Mala in srednja podjetja pa morajo voditi evidenco če:

• podatke obdelujejo redno,
• obdelava ogroža pravice in svoboščine ljudi,
• pri obdelavi ravnajo z občutljivimi podatki ali kazenskimi evidencami.

Evidenca mora vsebovati:

• ime in kontaktne podatke podjetja,
• razloge za obdelavo podatkov,
• opise kategorij osebnih podatkov in posameznikov, na katere se nanašajo osebni podatki,
• kategorije organizacij, ki prejemajo podatke,
• podatke o prenosu podatkov v drugo državo ali organizacijo,
• rok za odstranitev podatkov (če je mogoče),
• opis varnostnih ukrepov, ki se uporabljajo pri obdelavi (če je mogoče).

 

Visoke kazni zaradi neupoštevanja predpisov

Uredba GDPR precej zaostruje tudi kazni, ki jih lahko nadzorni organi – pri nas bo to Informacijski pooblaščenec – naložijo podjetjem v primeru kršitev. Te lahko v skrajnih primerih sežejo vse do 20 milijonov evrov ali 4 odstotkov skupnega letnega prometa kršitelja. Med hujše kršitve spada tudi obdelava podatkov brez soglasja posameznika! Podjetja zato intenzivno usklajujejo svoje poslovanje z določili uredbe GDRP.

Strožji predpisi o varstvu podatkov, ki jih prinaša GDPR, naj bi sicer državljanom omogočili več nadzora nad njihovimi podatki, podjetjem pa enake konkurenčne pogoje.

>>> Uporabne nasvete s področja varstva osebnih podatkov lahko najdete tudi v Smernicah Informacijskega pooblaščenca.

 

Povzeto po prispevku na strani: data.si

SPOT svetovanje Podravje je sofinancirano s pomočjo Evropskega sklada za regionalni razvoj, Ministrstva za gospodarski razvoj in tehnologijo ter SPIRIT Slovenija, javna agencija