Kar 60 odstotkov podjetij ni pripravljenih na GDPR

Čas branja: 4 min
13.03.2018  11:23  Dopolnjeno: 13.03.2018 11:39
Sedem vprašanj in odgovorov o novih pravilih za varstvo osebnih podatkov
Kar 60 odstotkov podjetij ni pripravljenih na GDPR
Foto: Shutterstock

Še dobra dva meseca časa imate, da se pripravite na nova pravila o varstvu osebnih podatkov, ki prinašajo kar nekaj sprememb. Že če denimo mesečno svojim strankam pošiljate bilten, morate preveriti, ali so bile vse privolitve dane povsem po novih pravilih.

GDPR je General Data Protection Regulation ali po domače Splošna uredba o varstvu osebnih podatkov. Nova uredba (in z njo tudi nova zakonodaja) velja za vsako podjetje in ustanovo, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU. Datum, ki ga morate poznati, pa je 25. maj 2018. Takrat se ta uredba namreč začne tudi v praksi uporabljati. Uredbi pa sledi tudi prenovljen zakon o varstvu osebnih podatkov (ZVOP-2). Ta je že bil v javni razpravi, končno verzijo pa bomo dobili v prvih mesecih leta.

Kdaj lahko zbirate osebne podatke?

Kot piše v uredbi, je obdelava osebnih podatkov zakonita takrat, ko je posameznik dal privolitev za enega ali več namenov, ko je potrebna za izvajanje pogodbe, za izpolnitev zakonskih obveznosti, za zaščito življenjskih interesov posameznika, za zaščito javnih interesov ali zakonitih interesov upravljavca ali obdelovalca osebnih podatkov (izjema je, če bi ti interesi prevladali nad interesi ali temeljnimi svoboščinami posameznika).

Kakšna mora biti privolitev?

Dana mora biti jasno. Uporabnik pa mora imeti prosto izbiro, da privoli (opt-in) v zbiranje osebnih podatkov ali pa to zavrne. In če se odloči za zavrnitev, zanj ne sme biti posledic.

Veljavna privolitev mora biti prosto dana, specifična, informirana (osebo morate podrobno obvestiti o namenu obdelave) in seveda nedvoumna. Za dokaz, da je bila privolitev ustrezno dana, mora poskrbeti upravljavec osebnih podatkov. Privolitev mora biti tako preprosto preklicati, kot jo dati. Molk pa ni strinjanje za obdelavo osebnih podatkov. Zato – če boste obdelovali osebne podatke na podlagi privolitve, boste morali to res dobiti.

Ko pa opisujete namen, za katerega želite zbrati osebne podatke, morate biti zelo natančni. Če napišete, da podatke zbirate za izboljšanje storitev, to ni dovolj. Iz namena mora jasno izhajati, za kaj konkretno se bodo podatki uporabljali (denimo za pošiljanje mesečnih obvestil o novih izdelkih določenega podjetja ali mesečnih e­-novic določenega podjetja). Če recimo trgovina v okviru ene privolitve prosi, da soglašate s tem, da vam mesečno pošilja bilten in da vaše podatke deli z drugimi podjetji znotraj skupine, ta privolitev ne bo veljavna. Za več različnih namenov je treba pripraviti različne privolitve.

Kaj je profiliranje?

GDPR profiliranje oziroma oblikovanje profilov definirata kot »vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika«.

Dva primera profiliranja:

  1. spletna trgovina, ki spremlja nakupne navade in stranki prikazuje ponudbo, prilagojeno temu;
  2. spletni medij, ki prikazuje članke, ki jih bralec še ni prebral.

In če se izkaže, da profilirate, potrebujete pooblaščeno osebo za varstvo podatkov, pred začetkom obdelave podatkov pa še najverjetneje oceno učinkov na varstvo osebnih podatkov.

Kdo je pooblaščena oseba za varstvo osebnih podatkov?

To je nova funkcija, ki jo uvaja GDPR. A brez skrbi, pooblaščenca ne bodopotrebovala vsa podjetja. Banke, spletne trgovine, vsi tisti, ki profilirate svoje stranke, vsi tisti s klubi zvestobe – vi ga boste potrebovali. Pooblaščena oseba za varstvo osebnih podatkov je tista, ki bo morala obdelovalcu ali upravljavcu osebnih podatkov neodvisno (!) pomagati pri zagotavljanju skladnosti obdelave osebnih podatkov z GDPR.

Če imate zbirk veliko, če profilirate, če imate v zbirkah posebne oziroma občutljive zbirke osebnih podatkov, potem bo dela za osem ur na dan več kot dovolj in se vam pooblaščenca splača zaposliti. Če pa to ni vaše temeljno poslovanje, a se obdelava osebnih podatkov v vaših zbirkah vseeno nanaša na omenjene kategorije, vendarle razmislite, ali ni ceneje in bolj učinkovito pooblaščenca najeti. Vaš zunanji pooblaščenec je lahko tudi podjetje, ki ponuja to storitev.

Pravica do popravka, pozabe ali prenosljivosti: kaj to pomeni?

Če so podatki nepravilni, je vedno mogoče zahtevati popravek. Prav tako bo lahko posameznik (ob pogoju, da ni zakonitih razlogov za njihovo nadaljnjo hrambo) lahko zahteval, da se njegovi podatki izbrišejo (pravica do pozabe). To lahko zahteva takrat, ko osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani, posameznik prekliče privolitev ali pa so bili osebni podatki denimo obdelani nezakonito.

Pomembna novost pa je pravica do prenosljivosti podatkov. Tu gre za dolžnost upravljavca, da posamezniku zagotovi osebne podatke v zvezi z njim, ki jih je posameznik posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.

Je prišlo do kršitve osebnih podatkov? Časa imate 72 ur …

GDPR prinaša novosti tudi na področju kršitev osebnih podatkov. Vse kršitve varnosti morate podjetja in organizacije dokumentirati pri sebi, o nekaterih obveščati nadzorni organ (urad informacijske pooblaščenke), o posameznih zelo hudih kršitvah pa bo treba obvestiti vsakega prizadetega posameznika ali splošno javnost.

V primeru obveščanja informacijskega pooblaščenca gre za nekakšno samoprijavo. To morate opraviti v 72 urah po tem, ko se zaveste, da je do kršitve prišlo. Kdaj pa začne teči ta rok? Denimo, da ste izgubili disk, na katerem so nešifrirani podatki. Ali je dejansko kdo dostopal do teh podatkov oziroma ali je sploh prišlo do kršitve, velikokrat ne morete vedeti. A Delovna skupina za izmenjavo informacij in varstvo podatkov (Delovna skupina 29 – Article 29 Working Party – WP29) vseeno priporoča, da v tem primeru izgubo diska javite informacijskemu pooblaščencu, saj obstaja možnost, da je do kršitve prišlo. Javite pa takrat, ko se zaveste, da ste disk izgubili.

Tudi če denimo hekerji sporočijo podjetju, da so vdrli v sistem in dostopali do podatkov, je treba takoj obvestiti nadzorni organ. Podjetje se v tem primeru brez dvoma zaveda, da je do kršitve prišlo.

Javnosti pa morate kršitev javiti takrat, ko gre za visoka tveganja za kratenje pravic in svoboščin posameznikov (denimo, če hekerji ukradejo podatke). Če tega ne storite, bo od vas to lahko zahteval informacijski pooblaščenec.

Kakšne pa so kazni?

Kazni, ki jih predvideva GDPR so visoke. A dodajmo – gre za maksimalne zneske. Kazni so predvidene v vrednosti do 20 milijonov evrov ali štirih odstotkov letnega prometa, odvisno od tega, kateri znesek je večji.

Prispevek Špele Mikuš (vse na enem mestu) Kaj morate vedeti o GDPR je bil prvič objavljen na spletnem mestu Financ 4.1.2018.

Več iz teme: