Po 25. maju bo vse drugače. Ste že pripravljeni?

- 29 jan 2018

Prihajajoča splošna uredba o varstvu osebnih podatkov (GDPR) predstavlja prelomnico na področju varstva osebnih podatkov, vendar širše gledano ne moremo govoriti o revoluciji, temveč zgolj evoluciji na področju varstva osebnih podatkov. Uredba je pričakovan korak glede na razvoj informacijsko-komunikacijske tehnologije, zaradi katere smo v zadnjih letih priča bistvenim spremembam v intenzivnosti in načinu rabe osebnih podatkov. Uredba tako širi pojem osebnega podatka in ga prilagaja modernim tehnologijam. Osebni podatek je po novem katerakoli informacija, ki določa fizično osebo oziroma na podlagi katerega je fizično osebo mogoče določiti. Ti so denimo ime in priimek, naslov, lokacija, spletni identifikator (IP, piškotki), podatki o zdravstvenem stanju ipd.


Cilj uredbe je predvsem zaščititi posameznika in mu vrniti nadzor nad lastnimi osebnimi podatki. Posebnost pa je v tem, da si prizadeva pravila o zbiranju, hrambi in uporabi osebnih podatkov poenotiti za vse članice EU.

Za koga velja uredba?


Uredba se uporablja enako za vse družbe s sedežem v državah članicah EU, ki kakorkoli zbirajo, hranijo ali uporabljajo osebne podatke. A pozor – k spoštovanju uredbe so zavezana tudi podjetja izven EU, ki blago in storitve nudijo posameznikom v EU in v ta namen zbirajo in hranijo njihove osebne podatke.


Pravila, ki jih prinaša uredba so kompleksna, zato je pomembno, da podjetja, ki želijo ohraniti zaupanje, ugled ter poslovati transparentno, čimprej pristopijo k izdelavi načrta za zagotovitev skladnosti poslovanja z določili uredbe.


5 ključnih novosti GDPR

1. Strožje zahteve za pridobitev soglasij

Soglasje je le eden izmed načinov, na podlagi katerega je mogoče zakonito obdelovati osebne podatke. Podano mora biti jasno, razumljivo, z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljivo. To pomeni, da privolitev dana v splošnih pogojih ali preko predhodno odkljukanih obrazcev ne bo veljavna. Zadoščala ne bo niti »domnevna privolitev«, o kateri bi lahko sklepali na podlagi molka ali neodzivnosti posameznika. Prav tako bo potrebno preveriti, ali so doslej pridobljene privolitve skladne z uredbo in jih, v primeru, da niso, pridobiti znova.

2. Pooblaščena oseba za varstvo osebnih podatkov (DPO)

Podjetja, ki redno in sistematično obdelujejo osebne podatke v velikem obsegu (banke, zavarovalnice, klubi zvestobe, kadrovske agencije ipd.) oz. podjetja, ki obdelujejo posebne vrste osebnih podatkov (občutljivi osebni podatki in osebni podatki v zvezi s kazenskimi ovadbami in prekrški) bodo morale imenovati pooblaščeno osebo za varstvo osebnih podatkov. Za pooblaščenca morajo imenovati osebo, ki ima ustrezno strokovno znanje na področju varovanja osebnih podatkov in je neodvisna od vodstva organizacije. Glavne naloge pooblaščenca bodo predvsem izobraževanje zaposlenih v podjetju, svetovanje vodstvu pa tudi sodelovanje z nadzornim organom. Podjetja, bodo morala kontaktne podatke pooblaščenca objaviti na spletnih straneh ter jih sporočiti nadzornemu organu.

3. Nove pravice posameznikov

Težnja uredbe po tem, da se nadzor nad obdelovanjem osebnih podatkov znova prenese na posameznike, se uresničuje tudi preko dveh novih pravic. Prva je pravica do pozabe, ki posamezniku omogoča, da od podjetja zahteva izbris svojih osebnih podatkov. Podjetje bo, ob pogoju, da ni zakonitih razlogov za njihovo nadaljnjo hrambo, osebne podatke moralo izbrisati. Druga pravica je pravica do prenosljivosti, ki omogoča posamezniku, da svoje osebne podatke pridobi v strukturirani, splošno uporabljani in strojno berljivi obliki ter jih prenese k drugemu, tudi konkurenčnemu podjetju.

4. Obveščanje o kršitvah

Pomembna novost za podjetja, ki je bila doslej le nenapisano pravilo , je obveznost obveščanja o kršitvah varstva osebnih podatkov. Podjetja bodo morala o vsaki kršitvi brez nepotrebnega odlašanja, najpozneje v 72 urah, obvestiti nadzorni organ. Kadar pa bo kršitev tako resna, da bi lahko ogrozila pravice in svoboščine posameznika, pa bo potrebno o vdoru obvestiti tudi njega. Podjetja morajo čimprej vpeljati učinkovit mehanizem zaznavanja kršitev ter se dogovoriti o načinu poročanja o kršitvah.

5. Obvezna ocena vpliva na zasebnost

Gre proaktivno delovanje, s katerim lahko podjetja preprečijo kršitve varstva osebnih podatkov. Ocena vpliva na zasebnost je namenjena prepoznavanju verjetnosti kdaj bi lahko določena vrsta obdelave osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov in jo bodo podjetja morala pripraviti v naprej.


Dodatna "motivacija": visoke kazni

Višina kazni, ki bo sicer odvisna od narave kršitve, lahko doseže do 20 milijonov evrov ali do 4 % skupnega letnega prometa kršitelja. Denarna kazen pa ni edina, ki bo podjetje doletela v primeru kršitve varstva osebnih podatkov. Podjetja s tem, ko ne bodo skladna z uredbo na kocko postavljajo svoj ugled, izguba katerega pa utegne imeti za podjetje precej bolj dolgoročne posledice, kot zgolj denarna kazen. Torej, ne zatiskajte si oči, ampak se na GDPR pripravite že danes.