c S
Še je čas za zadnje prilagoditve poslovanja določbam splošne uredbe za varstvo osebnih podatkov (GDPR) 09.05.2018

Prilagoditev poslovanja določbam Uredbe (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba) je v teh dneh ena večjih skrbi poslovnih subjektov. Čeprav Uredba velja že eno leto, pa se vse bolj približuje čas, ko jo bo dejansko potrebno izvajati.

Določbe Uredbe so odraz hitrega tehnološkega razvoja in globalizacije ter občutnega povečanja čezmejnih prenosov osebnih podatkov. Cilj Uredbe je tako zagotovitev dosledne in visoke ravni varstva posameznikov ter uvedbo enotnih pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov ter zagotavljanja pravne varnosti.

S ciljem ustreznega informiranja državljanov ter pravočasne in celovite prilagoditve poslovanja pravnih oseb določbam Uredbe je na strani Informacijske pooblaščenke na voljo vrsta navodil, opozoril in mnenj o prilagoditvi poslovanja določbam Uredbe. Uredba tudi omogoča sprejem nacionalne zakonodaje z vidika varstva osebnih podatkov, vendar pa v tem vladnem prehodnem obdobju, ni za pričakovati sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2) in se zato še vedno uporablja star Zakon o varovanju osebnih podatkov (ZVOP-1), ki pa z vidika Uredbe ne ureja varovanja osebnih podatkov v celoti. Ne glede na to, pa se Uredba od 25. maja 2018 izvaja in jo bo potrebno pri aktivnostih varovanja osebnih podatkov upoštevati, saj bo le-to tudi predmet nadzora s strni Informacijske pooblaščenke.

Najpomembnejše novosti Uredbe so:

  • boljši nadzor državljanov nad njihovimi osebnimi podatki, lažji dostop in strožja ureditev dolžnosti obveščanja posameznika o obdelavi njegovih osebnih podatkov;
  • pravica posameznika do pozabe oz. izbrisa in pravica do prenosljivosti podatkov;
  • informirana privolitev posameznika in pravica do delne omejitve obdelave osebnih podatkov;
  • izrecna privolitev za obdelavo osebnih podatkov, kar pomeni, da ni več „domnevnih privolitev“;
  • obvezno obvestilo o vdoru v zbirke osebnih podatkov v roku 72 ur;
  • imenovanje uradne osebe za varstvo osebnih podatkov (t.i. data protection officer - DPO) DPO je obvezen za državne organe in organizacije, ki izvajajo množičen nadzor in procesiranje posebnih kategorij osebnih podatkov;
  • višje kazni za prekrške, kazen do 20.000.000 EUR oziroma do 2-4 % letnega svetovnega prometa podjetja.

Uredba tudi strožje opredeljuje osebni podatek, ki je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. Tako Uredba med osebne podatke tudi uvršča spletne identifikatorje, ID piškotke, RFID oznake, IP naslove kot tudi psevdonimne podatke.

Informacijska pooblaščenka napotuje prilagoditev poslovanja določbam Uredbe v naslednjih korakih:

1)      preverjanje veljavnosti obstoječih privolitev - privolitev mora biti jasna in razumljiva, z nedvoumnim pritrdilnim dejanjem ter dokazljiva

2)      določiti način pridobivanja privolitev v bodoče – zahteva se ustrezna obveščenost ter sledljivost razpolaganja s podatki in z njimi povezanimi pravicami

3)      prilagoditev pogodb z izvajalci z ustreznimi pogodbenimi klavzulami

4)      popis zbirk osebnih podatkov po vrstah, vrstah obdelave in lokacijah

5)      preverjanje postopkov za zagotavljanje pravic posameznika, saj lahko posameznik zahteva seznanitev, omejitev, izbris, popravek, prenos podatkov ali poda ugovor.

6)      priprava postopkov za izvajanje načela odgovornosti

7)      preverjanje potrebe po imenovanju odgovorne osebe za varstvo osebnih podatkov

8)      vzpostavitev postopkov vgrajenega in privzetega varstva podatkov z minimizacijo količine zbranih podatkov, obsega njihove obdelave, ustrezno hrambo in obdelavo.

9)      pregled in prilagoditev varnostne politike

10)  priprava na pridobitev certifikata skrbnega gospodarja osebnih podatkov (možno čez čas).

Glede imenovanje DPO pa Informacijska pooblaščenka opozarja, da je potrebno vlogo pooblaščene osebe razumeti kot neodvisnega notranjega svetovalca in »revizorja« glede osebnih podatkov, saj mora izvajati preglede, ozaveščati sodelavce in poročati vodstvu o svojih ugotovitvah. To pomeni, da takšnih nalog zato ne more opravljati nekdo, ki odloča o sredstvih in namenih obdelave osebnih podatkov, direktor, prokurist, član uprave, ravnatelj ali drug zakoniti zastopnik ali zaposleni, če odloča o namenih in sredstvih obdelave osebnih podatkov, saj je sicer v konfliktu interesov. Ime osebe za varovanje osebnih podatkov DPO morajo zavezanci sporočiti Informacijski pooblaščenki do začetka izvajanja Uredbe.

Oglejte si še druge članke s področja Gospodarsko pravne zadeve


PRIJAVITE  SE
Prijavite se z vašim uporabniškim imenom in geslom.

Ste pozabili geslo?

Želite postati nov uporabnik?