GDPR112 | Varstvo osebnih podatkov
varstvo osebnih podatkov, varovanje osebnih podatkov
14479
page-template,page-template-full_width,page-template-full_width-php,page,page-id-14479,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-child-theme-ver-1.0.0,qode-theme-ver-14.4,qode-theme-bridge,wpb-js-composer js-comp-ver-5.4.7,vc_responsive
 

Varstvo osebnih podatkov

Varstvo osebnih podatkov 2018

S 25. majem 2018 se začne uporabljati  Splošna uredba EU o varstvu podatkov ali GDPR (iz angl. General Data  Protection Regulation). Zavezanci so večina podjetij, ki kakorkoli obdelujejo osebne podatke. Naj si bo to kadrovska evidenca, evidenca delovnega časa, evidenca strank, evidenca elektronskih naslovov, podatki o poslovanju na internetu, podatki o kupcih, video nadzor, ipd.

Za tiste, ki vas vsebina in materija bolj zanima, pa si bolj natančno o uredbi o varovanju osebnih podatkov (GDPR) lahko preberete spodaj.

 

Bistvo uredbe za varovanje osebnih podatkov (GDPR)

 

Gre za neposredno uporabo predpisa Evropske unije na območju vseh držav članic EU, ki strožje kot do zdaj ureja varstvo osebnih podatkov. Glede na hiter razvoj digitalne tehnologije, ki omogoča veliko novih možnosti pri obdelavi podatkov, so nameni GDPR omogočiti vsem posameznikom na območju EU boljši nadzor nad njihovimi osebnimi podatki, izboljšati nivo varstva osebnih podatkov in poenostaviti uveljavljanje pravic posameznika. Poenotena in usklajena ureditev področja varovanja osebnih podatkov posameznikov v vseh državah EU bo tudi poenostavila poslovanje podjetij na enotnem evropskem trgu in s tem prispevala k uspešnejšemu gospodarstvu in večji blaginji v EU.

Nova splošna uredba o varovanju podatkov bistveno dviguje standard varovanja osebnih podatkov in pravic posameznikov, po drugi strani pa vsem poslovnim subjektom nalaga bistveno večjo odgovornost ter zahteve varstva osebnih podatkov.

Koga varuje splošna uredba in kako?

 

GDPR varuje osebne podatke vsakega posameznika (fizične osebe). Osebni podatek je katerakoli informacija v zvezi z določenim ali določljivim posameznikom. V praksi to pomeni, da so osebni podatki ne samo ime in priimek, rojstni datum, naslov, EMŠO in davčna številka posameznika, ampak vsak podatek, ki omogoča povezavo s konkretnim posameznikom. To so tudi podatki o ustvarjenem profilu posameznika z analitičnimi orodji ali fotografija ali zvočni posnetek.

Osebni podatek je lahko tudi podatek o znamki in tipu osebnega avtomobila, če nam to pove, kdo je njegov lastnik.

Ključne pravice posameznika:

  • jasna in razumljiva seznanitev z namenom zbiranja ter načinom obdelave osebnih podatkov (kje, kdo, kako, zakaj, komu);
  • obveščenost o trajanju hrambe podatkov;
  • pravica do pozabe z izbrisom podatkov iz vseh evidenc (so izjeme);
  • do točnosti podatkov, zahtevati popravek ter do pritožbe;
  • dostopa do svojih osebnih podatkov in pravica do prenosljivosti svojih podatkov;
  • prepoved izvajanja ukrepov zoper posameznika zgolj na podlagi profiliranja ali analize z uporabo avtomatizirane obdelave podatkov (so izjeme);
  • pravica do pravnega sredstva, sankcije in odškodnine.

 

 

Obdelava osebnih podatkov

 

Pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatiziranimi sredstvi ali brez njih, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

V primeru inšpekcijskega nadzora mora biti vsak upravljavec osebnih podatkov zmožen izkazati, da je sprejel vse potrebne ukrepe po GDPR. Navedeno v praksi pomeni, da bo upravljavec podatkov moral imeti pripravljen neke vrste izkaz skladnosti poslovanja z osebnim podatki, kot npr. katalog ali poročilo, v katerem bodo povzeti izvedeni ukrepi in sprotne aktivnosti za zagotavljanje skladnosti s predpisi.

Kaj storiti?

 

Splošna uredba o varstvu osebnih podatkov je vsekakor nova obveznost za poslovne subjekte, lahko pa je tudi priložnost. Marsikdo se bo morda odločil, da bo z ukrepanjem počakal, da bo videl, kaj se bo zgodilo, ko bo uredba o varovanju osebnih podatkov GDPR zaživela v praksi, saj je sprejemanje ukrepov za uskladitev povezano s porabo časa in s stroški. To je odločitev, ki jo bo moralo vodstvo vsake organizacije sprejeti.

 

Zavedati se je treba, da bo prilagoditev novim zahtevam GPDR za večino zahtevala daljši čas in izvedbo več postopnih ukrepov. S pravočasnim ukrepanjem se bo podjetje izognilo tveganjem za nastanek kršitve in posledično morebitno upravičeno pritožbo posameznikov, čemur bi sledila inšpekcijski postopek in možna visoka denarna kazen, v primeru ugotovljenih večjih ali ponavljajočih nepravilnosti pa lahko poleg globe tudi prepoved poslovanja z osebnimi podatki. Poleg vsega navedenega bi posameznik lahko uveljavljal odškodnino. Prav tako pa bi bila konkurenca verjetno zadovoljna s slabo reklamo in izgubo zaupanja strank.

S pravočasnim in sistematičnim pristopom pa lahko podjetja tudi izkoristijo priložnost ter hkrati pristopijo tudi k izboljšanju sistema upravljanja s podatki, kar bo omogočilo poenostavitve poslovanja ali uporabo analitičnih orodij za pridobitev podatkov za lažje in boljše sprejemanje poslovnih odločitev. Z zgledno urejenostjo področja varovanja osebnih podatkov lahko podjetje pridobi konkurenčno prednost in poglobi zaupanje svojih strank. Hkrati bistveno zniža tveganje za nastanek kršitve, če pa bi do te že prišlo, pa bo podjetje pripravljeno z ustreznim načrtom za izvedbo ukrepov za čimprejšnjo zaznavo in odpravo posledic.

Kaj so ključne obveznosti upravljavcev osebnih podatkov:

  • zagotavljanje pravic posameznikom, kot so navedene zgoraj (seznanitev posameznika z njegovimi pravicami, z namenom zbiranja, načinom obdelave in trajanjem hrambe, pravica do pozabe, zagotavljati točnost podatkov, možnost popravka, dostopa in prenosa podatkov, prepoved izključno avtomatične obdelave podatkov za odločanje o pravicah, pravica do pritožbe),
  • dokazati izvajanje obveznosti skladno z Uredbo o varovanju osebnih podatkov,
  • zbiranje in obdelava podatkov v najmanjšem potrebnem obsegu in le za namen, za katerega obstaja pravna podlaga, npr. izrecno soglasje,
  • omogočiti posameznikom preprost preklic soglasja,
  • zagotavljati preprost in pregleden dostop do vseh osebnih podatkov o posamezniku, kadarkoli ta zahteva,
  • zagotavljati varnost podatkov skladno z načelom vgrajenega in privzetega varstva osebnih podatkov (sistemsko varovanje osebnih podatkov oz. »privacy by design«),
  • obveznost obveščanja o kršitvah varstva osebnih podatkov najkasneje v 72 urah,
  • imenovanje odgovorne osebe za varstvo osebnih podatkov (če je treba – javni sektor, obsežno spremljanje podatkov ali posebnih vrst podatkov),
  • vzpostavitev evidence obdelav osebnih podatkov, (potrebno zaradi zmožnosti izkazovanja skladnosti z uredbo, obvezno kadar več kot 250 zaposlenih in če obstaja tveganje za pravice in svoboščine posameznikov ali če gre za posebno vrsto podatkov ali podatke o kazenski ali prekrškovni odgovornosti),
  • priprava predhodne ocene učinka v zvezi z varstvom podatkov (kadar veliko tveganje),
  • nadzor na enem mestu posamezniku in nadzornemu organu (če podjetje posluje v več državah),
  • ko bodo vzpostavljeni, zagotavljanje skladnosti s kodeksi ravnanja in certifikacija poslovanja.

 

 

PREDOGI UKREPOV ZA IZVEDBO POSLOVANJA PO UREDBI

 

  1. Narediti pregled stanja osebnih podatkov:
  • določiti odgovorno osebo ali organizacijsko enoto v podjetju za izvedbo nalog,
  • ugotoviti, katere podatke imate in kje so shranjeni, kakšni sta njihova občutljivost in količina,
  • narediti ali urediti seznam zbirk osebnih podatkov (evidenca obdelave – glej tč. 4),
  • ugotoviti, kakšen je način zbiranja podatkov in proces njihove obdelave (kdo dostopa do njih, za kakšen namen, ipd.),
  • kako dolgo se hranijo podatki,
  • ugotoviti, komu se podatke posredujejo in kako,
  • če je treba, imenovati pooblaščeno osebo za varovanje podatkov (DPO).

 

  1. Preveriti zakonitost pridobivanja podatkov
  • kakšna je pravna podlaga za posamezno evidenco,
  • preveriti veljavnost in dokazljivost obstoječih privolitev,
  • v primeru pomanjkljive privolitve le to urediti in zagotoviti pravilnost bodočih privolitev,

 

  1. Brisanje nepotrebnih podatkov:
  • izbrišejo naj se vsi nepotrebni podatki (podvojene evidence, nepotrebne varnostne kopije) in podatki za katere ni izkazanega soglasja ali druge pravne podlage,
  • izbrišejo naj se vsi podatki, za katre nimate zakonite podlage,
  • če imate različne zbirke osebnih podatkov (evidence) – treba je izbrisati nepotrebne podatke v posameznih evidencah (lahko zamudno),
  • če jih podjetje ne potrebuje več.

 

  1. Evidenca dejavnosti obdelave osebnih podatkov (30. člen):
  • za zagotavljanje pravic posameznikom je nujno treba vedeti, katere podatke obdelujete,
  • vsebino evidence določa uredba (30. člen),
  • nadzornemu organu je treba zagotoviti dostop do tega dokumenta.

 

  1. Varovanje osebnih podatkov:
  • pregledati ustreznost varovanja osebnih podatkov – skladnost z načelom privzetega varstva »privacy by design«,
  • oceniti tveganja za kršitev varstva osebnih podatkov in predvideti ustrezne ukrepe (organizacijski in tehnični ukrepi),
  • priprava varnostne politike (interni akti) in njeno izvajanje.

 

  1. Urediti pogodbena razmerja:
  • s pogodbenimi obdelovalci in soupravljavci skleniti pogodbe (anekse) z ustreznimi pogodbenimi klavzulami skladno z uredbo (računovodski servisi, IT ponudniki, …),
  • urediti razmerja s tretjimi osebami – posebnosti zunaj EU.

 

  1. Zagotavljanje pravic in postopek v primeru zahteve posameznika:
  • obveščanje posameznika o njegovih pravicah in zagotavljanje izvedbe njegovih pravic (členi 12 – 22),
  • določiti postopek odziva v primeru zahteve (določiti osebo in izvedbo).

 

  1. Projekti v nastajanju – Izvedba ocene učinkov v zvezi z varstvom osebnih podatkov:
  • potrebna je v primeru velikega tveganja za pravice in svoboščine posameznikov,
  • ocena tveganj zajema vsaj ukrepe po členu 35/2 splošne uredbe,
  • priporočljivo narediti čim večkrat – da se vzpostavi dobra praksa,
  • razmisliti o informacijsko-tehnološki varnosti za spremljanje tveganj (različna analitična orodja …).

 

  1. Ukrepi v primeru kršitve varstva osebnih podatkov in nadzor:
  • določiti osebo, ki bo poročala v primeru varnostnega incidenta,
  • kadar gre za kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, (4. člen, 12. tč.),
  • priprava načrta za ukrepanje v primeru kršitev:
    • nujni ukrepi za zavarovanje podatkov in preprečitev škodljivih posledic,
    • poročanje nadzornemu organu v 72 urah (33. člen),
    • poročanje posamezniku, kadar je veliko tveganje za njegove pravice in svoboščine (34. člen),
  • nadzornemu organu je treba:
    • izkazati izvedbo ukrepov za zmanjšanje škodljivih posledic v primeru kršitve,
    • dopustiti vpogled v evidence,
    • kadarkoli izkazati skladnost poslovanja z uredbo.

 

Našteti ukrepi so zgolj opora za bolj osredotočeno izvedbo potrebnih aktivnosti za izvedbo skladnosti poslovanja z uredbo. Vsako podjetje ali drug upravljavec in obdelovalec osebnih podatkov mora narediti svoj pregled stanja in načrt izvedbe ter izvesti ukrepe glede na njegovo individualno situacijo. Posamezni primeri so sicer lahko zelo podobni, vendar kopiranje rešitev lahko pripelje do neželenih napak, zato le to odsvetujemo.