GDPR v središču pozornosti
Pridobivanje, shranjevanje in obdelava osebnih podatkov
Le na podlagi jasne, nedvoumne in dokazljive privolitve posameznika, na katerega se podatki nanašajo.
25.5.2018 bo stopila v veljavo Splošna uredba o varstvu osebnih podatkov (ZVOP-2), angleško “General Data Protection Regulation” (GDPR). Njen cilj je omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki ter s poenotenimi predpisi dvigniti raven varstva osebnih podatkov v celotni Evropski Uniji.
Ključne novosti za upravljavce in obdelovalce osebnih podatkov
- Zbiranje osebnih podatkov je dovoljeno le na podlagi izrecne in dokazljive privolitve posameznika. Upravljavec mora posamezniku jasno povedati, zakaj bodo njegovi podatki uporabljeni in koliko časa bodo hranjeni. Obdelava osebnih podatkov bo dovoljena samo za namene, ki so bili navedeni v soglasju.
- Posameznik ima pravico do umika soglasja. To mu mora biti omogočeno na enako enostaven način, kot je soglasje podal.
- Upravljavci morajo posamezniku zagotoviti pregledne in enostavno dostopne informacije o njegovih podatkih in njihovi obdelavi.
- Upravljavec mora o kršitvi varstva osebnih podatkov obvestiti nadzorni organ najkasneje v 72 urah (v določenih primerih tudi posameznike).
- V določenih primerih bo potrebno imenovanje pooblaščene osebe za varstvo podatkov.
- Upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v centralni register zbirk osebnih podatkov, vendar bo v določenih primerih obvezno vodenje evidence dejavnosti obdelave.
Ukrepi pred začetkom veljave nove uredbe
- Preveriti veljavnost obstoječih privolitev.
- Prilagoditi način pridobivanja soglasij v prihodnje.
- Prilagoditi pogodbe s pogodbenimi obdelovalci osebnih podatkov.
- Preveriti in prilagoditi popis zbirk osebnih podatkov (evidence dejavnosti obdelave).
- Zagotoviti pravice posameznikov do seznanitve, omejitve, izbrisa, popravkov in prenosa osebnih podatkov.
- Preveriti, ali bomo morali izvajati ocene učinka.
- Preveriti, ali bomo morali imenovati odgovorno osebo za varstvo osebnih podatkov (DPO).
- Preveriti, kako minimizirati količino zbranih podatkov, obseg njihove obdelave, obdobje njihove hrambe in število ljudi, ki te podatke obdelujejo (načelo vgrajenega in prevzetega varstva podatkov).
- Pregledati in prilagoditi varnostne politike o varstvu osebnih podatkov in njihovo izvajanje.
- Določiti, kdo bo poročal v primeru varnostnega incidenta.
- Razmisliti, ali potrebujemo certifikat, da za osebne podatke ustrezno skrbimo. (Certificiranje bo možno čez nekaj časa. Bo prostovoljno, a plačljivo.)
- Po potrebi poiskati zunanje strokovnjake za pomoč pri uvajanju sprememb.
Pogosta vprašanja
Kaj je osebni podatek?
Uredba GDPR ločuje osebne podatke v dve kategoriji. Kot osebni podatek opredeljuje katerokoli informacijo, s katero se lahko neposredno ali posredno identificira posameznika. To velja tudi za informacije, ki so hranjene v digitalni ali fizični obliki. Dodatno GDPR določa še posebno kategorijo – občutljivi osebni podatki, za katere so predvidene strožje zahteve za varovanje.
Kaj so občutljivi osebni podatki?
– zdravstveni podatki,
– religija,
– rasa,
– politična usmeritev.
Kakšne pravice mi prinaša GDPR?
• Pravica vedeti
Posameznik mora vedeti in razumeti, na kakšen način in zakaj se bodo zbirali in obdelovali njegovi osebni podatki, kdo jih bo obdeloval in koliko časa bodo hranjeni.
• Pravica do popravka
Posameznik ima pravico, da zahteva, da se njegovi osebni podatki popravijo, če ugotovi, da niso točni ali celoviti.
• Pravica do omejitve obdelave
V nekaterih primerih se lahko osebni podatki samo hranijo, ne smejo pa seobdelovati.
• Pravica do ugovora
V času zbiranja osebnih podatkov ima posameznik pravico do ugovora obdelave teh osebnih podatkov. V primeru ugovora mora obdelovalec ali prenehati obdelovati podatke ali dokazati, da ima druge zakonske podlage za nadaljnjo obdelavo teh podatkov.
• Pravica do dostopa
Posameznik ima pravico do dostopa do svojih osebnih podatkov. Posameznik mora vložiti poseben zahtevek, ki se mora obdelati v roku enega meseca.
• Pravica do izbrisa
Posameznik ima pravico zahtevati izbris svojih osebnih podatkov, če osebni podatki niso več potrebni za obdelavo, če je soglasje preklicano, če je posameznik podal ugovor, če so bili podatki nezakonito obdelani ali pa če se morajo osebni podatki izbrisati zaradi drugih zakonskih obveznostih.
• Pravica do prenosa podatkov
Posameznik ima pravico zahtevati kopijo vseh osebnih podatkov, ki jih ima obdelovalec ali upravljavec pri sebi. Kopija mora biti podana v obliki, ki jo uporablja posameznik ali upravljavec – ta oblika se mora določiti pred dostavo kopije.
• Pravice v odnosu do avtomatske obdelave podatkov – izbira odločitve in profiliranje
Če proces obdelave podatkov poteka avtomatsko, mora obdelovalec vanj vključiti postopek, ki omogoča, da lahko posameznik vedno vstopi v ta proces, poda mnenje o njem ali zaprosi za obrazložitev procesa.
Kaj bo glavna naloga DPO?
DPO bo pri agenciji opravljal pomembno nalogo zagotavljanja skladnosti poslovanja s predpisi s področja varstva osebnih podatkov; in sicer neodvisno, kar pomeni, da za svoje delo ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. DPO-jev položaj bo moral omogočati le poročanje vodstvu upravljavca oziroma obdelovalca (podjetja, organa ali organizacije), kjer bo deloval. Če morda naredimo primerjavo, bo njegov položaj znotraj upravljavca/obdelovalca v našem pravnem redu primerljiv položaju notranjega revizorja. Brez ustreznega znanja in sredstev za njegovo delo seveda ne bo šlo. Uredba izrecno zahteva, da mora imeti DPO za svoje delo dovolj finančnih sredstev, da bo lahko opravljal naloge. DPO bo moral imeti tudi neomejen dostop do vseh zbirk osebnih podatkov v organizaciji in vpogled v vse postopke obdelave.
Poleg nadzora nad vsakršno obdelavo osebnih podatkov, bo DPO dolžan komunicirati tudi s posamezniki, iskalci zaposlitve, katerih osebni podatki se obdelujejo pri upravljalcu ali obdelovalcu, in jim odgovarjati na njihova vprašanja/zahteve glede pravic, ki jim jih daje GDPR.
Kdo je lahko DPO?
Vaš DPO je lahko eden od zaposlenih ali zunanji izvajalec. Uredba zahteva, da mora biti DPO neodvisen in imenovan na podlagi strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. DPO je lahko tudi pravna oseba, ki nudi te storitve (recimo SOFTEH d.o.o.), kar je zagotovo lahko dodana vrednost, saj bo imel posameznik težko vsa potrebna znanja, ki se od njega zahtevajo in pričakujejo – tj. pravna znanja, znanja s področja informacijske varnosti in modernih informacijskih tehnologij.
Kako izgleda pritrdilno soglasje?
V skladu z GDPR mora biti privolitev izražena »prostovoljno, konkretno, ozaveščeno in nedvoumno.« GDPR na eni strani določa nedvoumno soglasje, medtem ko na drugi strani zahteva soglasje, ki se izrazi »z izjavo ali jasnim pritrdilnim dejanjem.« Uvodna izjava 32 pojasnjuje, da »to lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.«
Kako se lotiti GDPR-ja ?
1. korak: Razumevanje
Z uredbo se ne morete ustrezno spopasti, če je ne razumete. Zato jo najprej prenesite s spleta in preberite, šele nato boste lahko ukrepali, saj boste razumeli, kje in kako se dotika vašega poslovanja, IT-okolja, varnostnih politik, upravljanja tveganja in zagotavljanja združljivosti poslovanja.
2. korak: Preglejte kaj vaše podjetje dela s osebnimi podatki
Preveriti boste morali podatkovne tokove znotraj in zunaj vaše organizacije. To bo naloga za prav vsak oddelek, ki hrani in obdeluje osebne podatke. Pri spremljanju dela s podatki si boste lahko pomagali z različnimi tehnološkimi rešitvami in pridobili boljši vpogled, kaj se s podatki sploh dogaja v vašem poslovnem okolju.
3. korak: Prebrskajte
Preveriti morate prav vse podatkovne nosilce, kakšne podatke vsebujejo in narediti temeljit popis. Šele nato boste lahko začeli v praksi izvajati pravico do pozabe po novi regulativi.
4. korak: Plan izvedbe
Mapiranje podatkovnih lokacij in virov v vaši organizaciji ter uvajanje rešitev za njihovo upravljanje in odkrivanje bosta odkrila marsikateri s podatki povezan poslovni proces, pa tudi varnostno luknjo. Tudi te vključite v izdelavo časovnega, organizacijskega in tehničnega načrta zagotavljanja skladnosti z GDPR.
5. korak: Implementacija
Tehnologija bo eden glavnih sestavnih delov vašega projekta za zagotavljanja skladnosti z uredbo GDPR. Ne bo pa vsemogočna, saj boste morali hkrati poskrbeti tudi za ustrezno prevetritev poslovnih procesov. Bo pa tehnologija v pomoč pri avtomatizaciji različnih z GDPR povezanih zahtevkov.
Viri:
Splošna uredba o varstvu podatkov
IP RS – Vprašanja in odgovori
IP RS Zloženka
IP RS Top 10
ZVOP-2 javna razprava
*Ta članek je zasnovan kot interpretacija Splošne uredbe o varstvu osebnih podatkov (ZVOP-2), vendar ne predstavlja pravnega nasveta.