GDPR – Splošna uredba EU o varstvu osebnih podatkov

Objavljeno avtor

Kaj je GDPR ?

GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov (od tu naprej: Splošna uredba).

Kaj je ZVOP-2?

ZVOP-2 je Zakon o varstvu osebnih podatkov, ki bo nadomestil Zakon o varstvu osebnih podatkov ZVOP-1, skladno s Splošno uredbo EU o varstvu podatkov.

Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno bo urejal ZVOP-2. 

ZVOP-2 lahko uredi določena vsebinska področja, kot so uporaba zdravstvenih, biometrijskih in genetskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do javnih informacij, uporaba osebnih podatkov v znanstvene in statistične namene). ZVOP-2 pa ne sme spreminjati določb Splošne uredbe, saj se mora uredba neposredno uporabljati.

 

Kaj morate storiti?

1. PREVERITE VELJAVNOST OBSTOJEČIH PRIVOLITEV. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva.

2. PREVERITE NAČIN PRIDOBIVANJA PRIVOLITEV V BODOČE. Je posameznik ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima?

3. PRILAGODITE POGODBE S POGODBENIMI OBDELOVALCI. Določene klavzule v pogodbah z zunanjimi izvajalci (računovodski servisi, IT ponudniki…) bodo obvezne.

4. PREVERITE IN PRILAGODITE POPIS ZBIRK OSEBNIH PODATKOV – EVIDENCE DEJAVNOSTI OBDELAVE. Če želimo podatke ustrezno varovati, moramo vedeti, kje in katere imamo.

5. PREGLEJTE VAŠE POSTOPKE ZA ZAGOTAVLJANJE PRAVIC POSAMEZNIKA. Posameznik lahko zahteva seznanitev, omejitev, izbris, popravek, prenos podatkov, poda ugovor.

6. PRIPRAVITE SE NA IZVAJANJE NAČELA ODGOVORNOSTI. Če so osebni podatki temelj vašega poslovanja ne čakajte na obisk inšpekcije in pravočasno preverite:

a) ALI BOSTE MORALI IZVAJATI OCENE UČINKA?

b) ALI BOSTE MORALI IMENOVATI ODGOVORNO OSEBO ZA VARSTO OSEBNIH PODATKOV (»DPO«)

c) VAŠE POSTOPKE ZA MINIMIZACIJO (NAČELO VGRAJENEGA IN PRIVZETEGA VARSTVA PODATKOV.

7. PREGLEJTE IN PRILAGODITE VAŠE VARNOSTNE POLITIKE IN NJIHOVO IZVAJANJE. Več o varnosti za mala podjetja na varninainternetu.si.

8. DOLOČITE, KDO BO POROČAL V PRIMERU VARNOSTNEGA INCIDENTA. Če izgubite podatke ali pridejo v roke nepooblaščenim osebam boste morali o tem poročati v 72-ih urah.

9. RAZMISLITE, ALI BI RADI DOBILI CERTIFIKAT, DA ZA OSEBNE PODATKE USTREZNO SKRBITE? Certificiranje bo možno čez nekaj časa, bo prostovoljno, a plačljivo.

10. NE ZMORETE SAMI? POIŠČITE ZUNANJE STROKOVNJAKE, A NE NASEDAJTE VSAKI PONUDBI IN STRAŠENJEM Z VISOKIMI KAZNIMI.

 

Obdelovanje pomeni že vpogled v podatke!

 

Primeri evidenc in podatkov, ki jih morebiti zbirate:

• o zaposlenih delavcih

• o izobraževanjih, izpopolnjevanjih in usposabljanjih

• o vzdrževanih družinskih članih

• o poškodbah pri delu, kolektivnih nezgodah, nevarnih pojavih, ugotovljenih poklicnih boleznih in o boleznih v zvezi z delom ter o njihovih vzrokih

• o zdravstvenih pregledih delavcev

• o opravljenem usposabljanju za varno delo in preizkusih praktičnega znanja

• o iskalcih zaposlitve

• o osebah, ki so napotene na delo

• o osebah, ki opravljajo delo na podlagi napotnice pooblaščene organizacije, ki opravlja dejavnost posredovanja dela dijakom in študentom

• o izvajanju strokovne prakse študentov in dijakov

• o praktikantih

• o štipendistih

• o izrabi delovnega časa

• o plačah, potnih nalogih in drugih mesečnih izplačilih

• o uporabi mobitela, avtomobila, zaščitnih sredstev oz. drugih sredstev, danih v uporabo

• o strankah in naročnikih

• o terjatvah do fizičnih oseb in plačilih iz reklamacij storitev

• o avtorskih, podjemnih in drugih pogodbah

• o imetnikih digitalnih certifikatov

• o članih nadzornega sveta

• o članih uprave

• o delničarjih oziroma lastnikih

• o povezanih osebah

• o kontaktnih osebah in zaposlenih pri poslovnih partnerjih

• o potencialnih poslovnih partnerjih

• elektronske pošte

• o vstopih v poslovne prostore

• o pravicah vstopa in gibanja po poslovnih prostorih

• o udeležencih in nagrajencih v nagradnih igrah in promocijskih akcijah

• o izvajanju videonadzora

• o klicih in vsebini klicev v klicnem centru

• o spletnem poslovanju

• s psihometričnih testiranj

• udeležencev v lojalnostnih programih

• dostopov do osebnih podatkov

• o javnem zbiranju in objavljanju slik na družbenih omrežjih

 

Ena pomembnejših nalog in tudi najbolj obsežna je ta, da popišete zbirke (evidence) osebnih podatkov, ki nastajajo v vašem podjetju.

 

Minimizirajte:

1. količino zbranih podatkov,

2. obseg njihove obdelave,

 3. obdobje njihove hrambe in

 4. kdo jih obdeluje.

 

Podatke lahko zbirate le na podlagi izrecne privolitve posameznika:

Osebni podatki se bodo lahko zbirali in obdelovali samo na podlagi izrecne privolitve posameznika. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov.

Način za preklic privolitve mora biti enako enostaven kot podaja privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.

 

Ali še ostajajo izjeme, ki jih je ZVOP-1 predvideval za podjetja z manj kot 50 zaposlenimi?

Splošna uredba ne pozna takšnih izjem, vendar pa ne nalaga vseh obveznosti za vsa podjetja – nekatera podjetja ne bodo dolžna imeti pooblaščenih oseb (angl. Data Protection Officer, DPO) in jim ne bo treba izvajati ocen učinkov, nekaterim celo ne bo treba imeti popisanih zbirk podatkov (kar sicer odsvetujemo).

Ali moramo imenovati pooblaščeno osebo za varstvo osebnih podatkov (»DPO«)?

Splošna uredba v 37. členu določa, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo osebnih podatkov (»DPO«). Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščena oseba. Imenovati jih bodo morali:

  1. Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-2, ni pa pričakovati večjih odstopanj od definicije javnega sektorja iz ZVOP-1.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.). Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo obdelujejo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.

 

PRIMER:

Pooblaščenca torej potrebujete, če podatke obdelujete za namene ciljnega oglaševanja prek iskalnikov na podlagi vedenja ljudi na spletu. Ali če v imenu bolnišnice obdelujte osebne genetske in zdravstvene podatke. Če pa denimo strankam enkrat na leto pošljete oglas za svojo restavracijo, vam uradne osebe za varstvo podatkov ni treba imenovati.

 

Ali lahko posameznik zahteva izbris svojih podatkov?

Splošna uredba daje posameznikom pravico do izbrisa oz. pozabe, a je ta pravica precej omejena, in sicer predvsem na primere, kot so nespametne objave podatkov na družabnih omrežjih v mladosti, ki posamezniku kasneje v življenju škodijo ali pa izbrisi nezakonito zbranih podatkov. Če hrambo podatkov določa ali zahteva zakon, ali pa za objavo prevlada javni interes, potem praviloma posameznik izbrisa ne bo dosegel. Omenjeno pravico ureja 17. člen Splošne uredbe.

 

 »Samoprijava« in kršitev varstva podatkov? V katerih primerih in kako?

Drži. Če se vam, npr. zgodi, da izgubite prenosnik z bazo osebnih podatkov, ali pa vam vdrejo na spletno stran in ukradejo osebne podatke strank, boste morali obvestiti IP kot nadzorni organ, in sicer v 72-ih urah. V ta namen bo razvit spletni obrazec na naši spletni strani.

 

Kaj se zgodi, če se ne prijavimo, čeprav bi se morali?

S tem kršite obveznosti iz 33. in 34. člen Splošne uredbe, zaradi česar se vam lahko izreče globa, predpisana v 4. odstavku 83. člena Splošne uredbe, poleg tega pa se lahko to upošteva kot oteževalna okoliščina pri izreku višine izrečene globe.

 

Morate voditi evidenco o obdelavi osebnih podatkov ?

Uredba GDPR upravljalcem osebnih podatkov nalaga obveznost vodenja evidence o obdelavi osebnih podatkov. Vodenje take evidence bo obvezno za delodajalce, ki zaposlujejo več kot 250 delavcev.

Mala in srednja podjetja pa morajo voditi evidenco če:

  • podatke obdelujejo redno,
  • obdelava ogroža pravice in svoboščine ljudi,
  • pri obdelavi ravnajo z občutljivimi podatki ali kazenskimi evidencami.

Evidenca mora vsebovati:

  • ime in kontaktne podatke podjetja,
  • razloge za obdelavo podatkov,
  • opise kategorij osebnih podatkov in posameznikov, na katere se nanašajo osebni podatki,
  • kategorije organizacij, ki prejemajo podatke,
  • podatke o prenosu podatkov v drugo državo ali organizacijo,
  • rok za odstranitev podatkov (če je mogoče),
  • opis varnostnih ukrepov, ki se uporabljajo pri obdelavi (če je mogoče).

 

Pripravila:  Pušnjak Anka

Viri: