S 25. majem 2018 se bosta začela uporabljati nova evropska uredba o varstvu osebnih podatkov in nov slovenski zakon o varstvu osebnih podatkov (ZVOP-2), ki izhaja iz te uredbe. Oba podjetjem, ki obdelujejo osebne podatke (to je kar velik del podjetij), nalagata nekaj novih nalog in obveznosti.
Splošna uredba o varstvu osebnih podatkov (General Data Protection Regulation ali skrajšano GDPR) določa nova pravila glede varstva osebnih podatkov. Nova uredba (in z njo tudi nova zakonodaja) velja za vsako podjetje in ustanovo, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU. Že če se zbirajo naslovi, in če se pošilja pošta naročnikom, strankam, kupcem, se bodo morale izvesti prilagoditve v skladu z novo zakonodajo.
GDPR in tudi novi zakon o varstvu osebnih podatkov se bosta začela uporabljati 25. maja 2018. Nova pravila bodo začela veljati takoj in bo potrebno že predhodno izvesti prilagoditve v skladu z novo zakonodajo.
ZVOP-2 določa, da se podatki obdelujejo zakonito, če so izpolnjeni pogoji, ki jih določajo zakonske podlage za njihovo obdelavo. Določeni morajo biti namen obdelave, vrste osebnih podatkov, ki naj bi jih obdelovali, in rok hrambe teh podatkov. ZVOP-2 prepoveduje obdelavo tistih osebnih podatkov, ki razkrivajo rasno ali etično pripadnost, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, spolno usmerjenost.
Zakon pa dovoljuje tudi nekaj izjem, kdaj se ti podatki lahko obdelujejo. Denimo, če se pridobi izrecno osebno privolitev posameznika, če je posameznik te podatke sam javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove uporabe …
Posebno pozornost je potrebno nameniti pojasnilom glede zbiranja in namena obdelave. Če se napiše, da se podatki zbirajo za izboljšanje storitev, to ni dovolj. Iz namena mora jasno izhajati, za kaj konkretno se bodo podatki uporabljali. Denimo za pošiljanje mesečnih obvestil o novih izdelkih določenega podjetja ali mesečnih e-novic določenega podjetja … stranka se mora zavedati, s čim soglaša.
Zakon za zasebni sektor določa, da je obdelava osebnih podatkov za drug namen dovoljena le:
○ če se dobi privolitev posameznika, na katerega se nanašajo osebni podatki;
○ če obdelavo za drug namen določajo zakon, pravni akti, odločitev EU (ki se uporablja neposredno);
○ če se to mora storiti, ker se te podatke potrebuje za namene preprečevanja, preiskovanja, odkrivanja, pregona kaznivih dejanj (…);
○ če se morajo podatki zbrani za prvotni namen obdelati, ker je to potrebno za uveljavljanje, izvajanje ali obrambo civilnopravnih zahtevkov, če ne prevladujejo interesi posameznika, na katerega se nanašajo osebni podatki.
Zbiranje osebnih podatkov je možno na podlagi izrecne privolitve oziroma soglasja (opt-in). Privolitev za obdelavo osebnih podatkov je v ZVOP-2 opredeljena kot prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki. Če posameznik zgolj odkljuka »da«, to ni zadostna privolitev. Da je privolitev skladna z novo evropsko splošno uredbo, mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem, ki vsebuje predvsem informacijo o identiteti upravljavca in namenu obdelave posameznih osebnih podatkov. Iz nje mora jasno in nedvoumno izhajati, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. Molk ni privolitev.
Če so se v preteklosti že dobile privolitve uporabnikov, jih je potrebno še enkrat le v primeru, če niso skladne z GDPR oziroma ZVOP-2.
GDPR in ZVOP-2 po novem opredeljujeta profiliranje oziroma oblikovanje profilov, ki je definirano kot »vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika«. Dva primera profiliranja: 1. spletna trgovina, ki spremlja nakupne navade in stranki prikazuje ponudbo, prilagojeno temu; 2. spletni medij, ki prikazuje članke, ki jih bralec še ni prebral. In če se izkaže, da podjetje profilira, potrebuje pooblaščeno osebo za varstvo podatkov, pred začetkom obdelave podatkov pa še oceno učinkov na varstvo osebnih podatkov.
Rok hrambe je potrebno določiti in omejiti na najkrajše možno obdobje. Če ni mogoče določiti roka hrambe osebnih podatkov (ni bil predpisan v zakonu, ni zapisan v pogodbi …), je rok hrambe v osnutku za zdaj določen na pet let.
Za zbiranje osebnih podatkov o otrocih so postavljene starostne omejitve. Zbiranje in obdelava osebnih podatkov otrok mlajši od 15 let je zakonito le, če privolitev da ali odobri starš, rejnik ali skrbnik. V uredbi GDPR sicer piše, da je privolitev otroka zakonita, če je ta starejši od 16 let. Uredba dopušča, da države članice določijo nižjo starost, vendar mejna starost ne sme biti nižja od 13 let.
V uredbi in zakonu je tudi opredeljena pravica do popravka ali prenosljivosti. To pomeni, da če so podatki nepravilni, je vedno mogoče zahtevati popravek, prav tako bo lahko posameznik, če ne bo več želel, da se njegovi osebni podatki obdelujejo, in ob pogoju, da ni zakonitih razlogov za njihovo nadaljnjo hrambo, od poslovnih subjektov in drugih zahteval, da se njegovi podatki zbrišejo. Pomembna novost je pravica do prenosljivosti podatkov. Tu gre za dolžnost upravljavca, da posamezniku zagotovi osebne podatke v zvezi z njim, ki jih je posameznik posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.
Prav tako je v ZVOP-2 določeno, da mora upravljavec osebne podatke nemudoma izbrisati na lastno pobudo ali na podlagi zahtevka posameznika, na katerega se podatki nanašajo, če osebni podatki niso več potrebni za namene, za katere so bili pridobljeni ali drugače obdelani, so bili osebni podatki obdelani nezakonito ali je izbris osebnih podatkov potreben zaradi izpolnitve druge obveznosti po zakonu ali po pravnomočni sodni odločbi.
GDPR uvaja novo funkcijo, ki je prenesena tudi v ZVOP-2, in sicer pooblaščeno osebo za varstvo osebnih podatkov (data protection officer ali krajše DPO). Ta obdelovalcu ali upravljavcu osebnih podatkov neodvisno pomaga pri zagotavljanju skladnosti obdelave osebnih podatkov z GDPR in ZVOP-2. Ne potrebujejo ga vsa podjetja. Pooblaščenca morajo imenovati vsi upravljavci in obdelovalci osebnih podatkov v javnem sektorju (tudi tisti v zasebnem sektorju, ki osebne podatke obdelujejo za javni sektor). To zajema celoten javni sektor, denimo šole, vrtce, muzeje, knjižnice, javne agencije, zdravstvene domove, bolnišnice. Potrebujejo ga tudi tista podjetja, ki redno, sistematično in obsežno spremljajo osebne podatke posameznikov. Banke, zavarovalnice, trgovci s klubi zvestobe, spletne trgovine, kadrovske agencije – vsi, ki tržijo, oblikujejo storitve, glede na preference in zmožnosti posameznika, vsi, ki se kakorkoli ukvarjajo z obdelavo velikih količin podatkov za namen napovedovanja trendov ali identifikacije potreb posamezne skupine. Ni nujno, da je pooblaščenec zaposlen v podjetju, lahko je zunanji izvajalec. To se splača tistim, pri katerih pooblaščenec ne bo imel za osem ur dela. Seveda lahko pooblaščeno osebo prostovoljno imenujejo tudi druga podjetja, tista, ki ga po zakonu ne potrebujejo. V ZVOP-2 piše, da lahko članice povezane družbe ali članice zveze društev imenujejo skupnega pooblaščenca.
Evidence obdelav bodo nadomestile kataloge zbirk osebnih podatkov. Te bodo morala voditi velika podjetja, to so torej tista podjetja in ustanove, ki imajo 250 zaposlenih ali več. Evidence bodo morali voditi tudi tisti upravljavci, pri katerih je verjetno, da obdelava, ki jo izvajajo, pomeni tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Evidence pa ne bodo nujno potrebne za mikro, mala in srednja podjetja. Evidence morajo voditi le, če podatke obdelujejo redno, če obdelava podatkov ogroža pravice in svoboščine ljudi ter če pri obdelavi podatkov ravnajo z občutljivimi podatki ali kazenskimi evidencami.
Nadzorni organ bo informacijski pooblaščenec. Kot je zapisano v osnutku ZVOP-2, bo informacijski pooblaščenec tudi tisti, ki bo izvajal inšpekcijski nadzor, nadzor nad zakonitostjo obdelave osebnih podatkov v skladu z določbami zakona ... Imel bo možnost odločati o postopkih za prekrške za kršitve zakona in ZVOP-2.
Kaj lahko podjetja storite še pred začetkom veljavnosti nove zakonodaje?
1. PREVERITE VELJAVNOST OBSTOJEČIH PRIVOLITEV. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Glej uredbo člene 6, 7 in 8, uvodne določbe: 32, 42, 43, 171.
2. PREVERITE NAČIN PRIDOBIVANJA PRIVOLITEV V BODOČE. Je posameznik ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima? Glej člene 12, 13 in 14.
3. PRILAGODITE POGODBE S POGODBENIMI OBDELOVALCI. Določene klavzule v pogodbah z zunanjimi izvajalci (računovodski servisi, IT ponudniki …) bodo obvezne. Glej člen 28.
4. PREVERITE IN PRILAGODITE POPIS ZBIRK OSEBNIH PODATKOV – EVIDENCE DEJAVNOSTI OBDELAVE. Če želimo podatke ustrezno varovati, moramo vedeti kje in katere imamo. Glej člen 30.
5. PREGLEJTE VAŠE POSTOPKE ZA ZAGOTAVLJANJE PRAVIC POSAMEZNIKA. Posameznik lahko zahteva seznanitev, omejitev, izbris, popravek, prenos podatkov, poda ugovor. Glej člene 12 - 22.
6. PRIPRAVITE SE NA IZVAJANJE NAČELA ODGOVORNOSTI. Če so osebni podatki temelj vašega poslovanja, ne čakajte na obisk inšpekcije in pravočasno preverite:
1. ALI BOSTE MORALI IZVAJATI OCENE UČINKA? Glej člen 35.
2. ALI BOSTE MORALI IMENOVATI ODGOVORNO OSEBO ZA VARSTO OSEBNIH PODATKOV (»DPO«)? Glej člen 37.
3. VAŠE POSTOPKE ZA MINIMIZACIJO (NAČELO VGRAJENEGA IN PRIVZETEGA VARSTVA PODATKOV. Minimizirajte 1) količino zbranih podatkov, 2) obseg njihove obdelave, 3) obdobje njihove hrambe in 4) kdo jih obdeluje. Glej člen 25.
7. PREGLEJTE IN PRILAGODITE VAŠE VARNOSTNE POLITIKE IN NJIHOVO IZVAJANJE. Več o varnosti za mala podjetja na varninainternetu.si. Glej člen 24.
8. DOLOČITE, KDO BO POROČAL V PRIMERU VARNOSTNEGA INCIDENTA. Če izgubite podatke ali pridejo v roke nepooblaščenim osebam boste morali o tem poročati v 72-ih urah. Glej člen 33.
9. RAZMISLITE, ALI BI RADI DOBILI CERTIFIKAT, DA ZA OSEBNE PODATKE USTREZNO SKRBITE? Certificiranje bo možno čez nekaj časa, bo prostovoljno, a plačljivo. Glej člen 42.
10. NE ZMORETE SAMI? POIŠČITE ZUNANJE STROKOVNJAKE, A NE NASEDAJTE VSAKI PONUDBI IN STRAŠENJEM Z VISOKIMI KAZNIMI. Glej »zdrava pamet«.
Za SPOT svetovanje Koroška:
David Valič, Podjetniški center Slovenj Gradec d.o.o.
VIRI:
○ Uradni besedili uredbe in direktive v vseh jezikih članic EU
○ Informacijski pooblaščenec: Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov - https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/
○ informativni letak - 10 korakov za pripravo na GDPR
○ informativni letak Evropske komisije za mala in srednja podjetja,
○ https://www.finance.si/8861401/%28GDPR%29-Nova-pravila-o-varstvu-osebnih-podatkov-za-telebane-kaj-prinasajo-in-zakaj-se-ticejo-tudi-vas?src=XNASLVAM
○ ZVOP-2 - http://www.mp.gov.si/fileadmin/mp.gov.si/pageuploads/mp.gov.si/novice/2017/september_2017/171004_ZVOP-2_status.pdf
Naložbo sofinancirata Republika Slovenija in Evropska Unija iz Evropskega sklada za regionalni razvoj www.eu-skladi.si
