Na kratko o GDPR

25. maja 2018 se začne uporabljati Splošna uredba o varstvu podatkov – GDPR. Nadomestila bo nacionalne zakone o varstvu osebnih podatkov (v Sloveniji Zakon o varstvu osebnih podatkov (ZVOP). Področje varstva osebnih podatkov se tako enotno ureja po celotni EU, vsaka država članica pa mora določena vprašanja urediti z izvedbenimi akti. Nadzor nad slovenskimi upravljavci bo lahko izvajal tudi nadzorni organ iz druge države članice EU, zato bo izjemno pomembno “videti” čez meje Slovenije.

Skladnost z zakonodajo o varstvu osebnih podatkov je pomemben del poslovne politike. Organizacije v ta namen prilagodimo svoja interna pravila o varovanju podatkov ter sprejmemo ukrepe za učinkovit nadzor in ukrepanje v primeru kršitev ter pripravimo oceno tveganja.

Pri uvedbi in zagotavljanju skladosti sodelujejo:

• lastniki, vodstvo, direktorji (zavedanje, pooblaščanje, spremljanje, odločanje, poročanje ob vdorih)
• vsebinski skrbniki zbirk podatkov (zavedanje, izvajanje aktivnosti, poročanje)
• IT skrbniki (lahko zunanji ali notranji. zagotavljanje pogojev / platforme / opreme. Zaznavanje vdorov / ogrožanj (internih / zunanjih), alarmiranje, poročanje).
• pravnik (lahko zunanji ali notranji)
• operativni vodje (zavedanje o varni rabi podatkov, spremljanje izvajanja aktivnosti za varno rabo, zaznavanje in poročanje ob sumih).
• zaposleni, sodelavci (zavedanje o varni rabi podatkov, izvajanje aktivnosti za varno rabo, zaznavanje in poročanje ob sumih).

Osnovno vodilo je to, da v večjih podjetjih vzpostavite mesto DPO (Data Protection Officer). V manjši pa obstoječi sodelavec (lahko vodja, tržnik, IT, pravnik) dobi v svoj popis del in nalog skrbništvo skladnosti z GDPR ob tem, da dobi tudi vire kot so čas, denar, orodja in podporo vodstva in razpoložljivost področnih sodelavcev (IT, pravo, marketing/trženje, prodaja,…)

Najpomembnejše novosti Splošne uredbe na področju Slovenije so:

• državljani imajo boljši nadzor nad svojimi osebnimi podatki, lažji dostop do podatkov ter strožjo ureditev;
• dolžnost obveščanja posameznika o obdelavi njegovih osebnih podatkov;
• pravica posameznika do pozabe oziroma izbrisa in pravica do prenosljivosti podatkov;
• informirana privolitev posameznika in pravica do delne omejitve obdelave osebnih podatkov;
• izrecna privolitev za obdelavo osebnih podatkov, kar pomeni, da se podjetja ne morejo zanašati na “domnevno privolitev”;
• posebna ureditev za privolitev otrok;
• obvezno obvestilo o vdoru v zbirke osebnih podatkov v roku 72 ur;
• javni organi, podjetja, ki opravljajo tvegane postopke obdelave podatkov (npr. segmentiranje in profiliranje) in podjetja, ki obdelujejo posebne vrste osebnih podatkov (npr. zdravstvene podatke), morajo imenovati uradno osebo za varstvo podatkov (t. i. data protection officer – DPO);
• višje kazni za prekrške, nadzorni organ za najhujše kršitve lahko izreče kazen do 1.000.000 do 20.000.000 EUR oziroma do 2-4 % letnega svetovnega prometa podjetja;
• obvezna izvedba presoje vplivov na zasebnost v določenih primerih.

Kratice:

• GDPR – General Data Protection Regulation (Splošno
• DPO – Data Protection Officer
• ZVOP – Zakon o varovanju osebnih podatkov

Viri:

• Zakon o varstvu osebnih podatkov (Ministrstvo za pravosodje)
• Varstvo osebnih podatkov (Informacijski pooblaščenec Republike Slovenije)

Infotrans d.o.o.