S 25. majem 2018 se je začela uporabljati Splošna uredba o varstvu podatkov ali GDPR (iz angl. General Data Protection Regulation). Gre za neposredno uporabo predpisa Evropske unije na območju vseh držav članic EU, ki strožje kot do zdaj ureja varstvo osebnih podatkov. Glede na hiter razvoj digitalne tehnologije, ki omogoča veliko novih možnosti pri obdelavi podatkov, so nameni GDPR omogočiti vsem posameznikom na območju EU boljši nadzor nad njihovimi osebnimi podatki, izboljšati nivo varstva osebnih podatkov in poenostaviti uveljavljanje pravic posameznika. Poenotena in usklajena ureditev področja varovanja osebnih podatkov posameznikov v vseh državah EU bo tudi poenostavila poslovanje podjetij na enotnem evropskem trgu.

Nova splošna uredba bistveno dviguje standard varovanja osebnih podatkov in pravic posameznikov, po drugi strani pa vsem poslovnim subjektom nalaga bistveno večjo odgovornost ter zahteve z namenom zagotavljanja višjega nivoja varstva osebnih podatkov.

Koga varuje splošna uredba in kako?

GDPR varuje osebne podatke vsakega posameznika (fizično osebo). Osebni podatek je katerakoli informacija v zvezi z določenim ali določljivim posameznikom. V praksi to pomeni, da so osebni podatki ne samo ime in priimek, rojstni datum, naslov, EMŠO in davčna številka posameznika, ampak vsak podatek, ki omogoča povezavo s konkretnim posameznikom. To so tudi podatki o ustvarjenem profilu posameznika z analitičnimi orodji ali fotografija ali zvočni posnetek.

Osebni podatek je lahko tudi podatek o znamki in tipu osebnega avtomobila, če nam to pove, kdo je njegov lastnik.

Primer

Za ponazoritev vzemimo primer, ko nekdo vpraša: »Poznaš Janeza?« Ker niti približno ne vemo, katerega ima v mislih, to še ni varovan osebni podatek, saj oseba ni določljiva. Ko pa pove še: »Tistega, ki ima novega maseratija,« bodo poznavalci luksuznih avtomobilov ali bralci trač revij verjetno hitro ugotovili, kateri Janez konkretno je to, saj je bil v zadnjem času v Sloveniji kupljen le en tak avto. V tem primeru gre za dva podatka, ki skupaj tvorita varovani osebi podatek, za katerega je treba zagotavljati standarde ravnanja po uredbi.

Vsak posameznik lahko svoje pravice uveljavlja neposredno pri upravljavcih osebnih podatkov (tistih, ki imajo naše osebne podatke) tako, da pri pooblaščeni osebi ali kontaktni točki upravljavca pridobi vse informacije o njegovih podatkih in vloži zahtevo glede želenega ravnanja z njegovimi osebnimi podatki. V primeru neupoštevanja ali kršitve upravljavca lahko poda prijavo inšpekcijski službi.

Inšpekcija lahko kršitelju naložil odpravo kršitve in/ali plačilo denarne kazni. V primeru nastanka materialne ali nematerialne škode bo posameznik od podjetja zaradi kršitve lahko uveljavljal tudi odškodnino.

Ključne pravice posameznika:

  • Jasna in razumljiva seznanitev z namenom zbiranja ter načinom obdelave osebnih podatkov (kje, kdo, kako).

  • Obveščenost o trajanju hrambe podatkov.

  • Pravica do pozabe z izbrisom podatkov iz vseh evidenc (so izjeme).

  • Pravica do točnosti podatkov in pravica zahtevati popravek ter pravica do pritožbe.

  • Pravica dostopa do svojih osebnih podatkov in pravica do prenosljivosti svojih podatkov.

  • Prepoved izvajanja ukrepov zoper posameznika zgolj na podlagi profiliranja ali analize z uporabo avtomatizirane obdelave podatkov.

  • Pravica do pravnega sredstva, sankcije in odškodnine.

Kdo je zavezanec in kakšne so obveznosti?

Zavezanec za zagotavljanje pravic po uredbi o varovanju osebnih podatkov GDPR je vsak poslovni subjekt, ki ima v svojih evidencah osebne podatke o vsaj eni osebi, kot npr. podatke o zaposlenem delavcu, različne sezname ali elektronske naslove, podatke o kupcih, pogodbenih strankah, tudi spletnih identifikatorjih itd. Vsak tak subjekt je upravljavec in običajno hkrati tudi obdelovalec osebnih podatkov ter je dolžan zagotavljati ukrepe, ki jih predpisuje uredba o varovanju osebnih podatkov oz. GDPR.

Obdelava osebnih podatkov

Obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki z avtomatiziranimi sredstvi ali brez njih, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

V primeru inšpekcijskega nadzora mora biti vsak upravljavec osebnih podatkov zmožen izkazati, da je sprejel vse potrebne ukrepe po GDPR. Navedeno v praksi pomeni, da je priporočljivo, da bo upravljavec podatkov imel pripravljen neke vrste katalog ali poročilo, v katerem bodo povzeti izvedeni ukrepi in sprotne aktivnosti za zagotavljanje skladnosti s predpisi.

Kršitve uredbe in kazni

Za neupoštevanje ali kršenje določb splošne uredbe so določene stroge kazni. Njihovi nameni so učinkovitost, sorazmernost in odvračilnost, kar pomeni, da bo nadzorni organ v primeru ugotovitve kršitve pri inšpekcijskem nadzoru ali v primeru obravnave prijave upošteval tudi, koliko je kršitelj upošteval GDPR, okoliščine posameznega primera ter težo in posledice kršitve. Izrečene kazni bodo lahko precej visoke.

Za manjše kršitve splošna uredba določa do 10 mio. EUR ali 2 % skupnega svetovnega prometa v preteklem letu, za težje pa celo do 20 mio. EUR ali 4 % skupnega svetovnega prometa v preteklem letu, karkoli od tega je več. Poleg visoke globe podjetje s kršitvijo tvega tudi odškodninske zahtevke posameznikov in zmanjšanje ugleda ter zaupanja svojih strank.

Kaj storiti?

Splošna uredba o varstvu osebnih podatkov je vsekakor nova obveznost za poslovne subjekte, lahko pa je tudi priložnost. Marsikdo se bo morda odločil, da bo z ukrepanjem počakal, da bo videl, kaj se bo zgodilo, ko bo uredba o varovanju osebnih podatkov GDPR zaživela v praksi, saj je sprejemanje ukrepov za uskladitev povezano s porabo časa in s stroški. To je odločitev, ki jo bo moralo vodstvo vsake organizacije sprejeti.

Zavedati se je treba, da bo prilagoditev novim zahtevam GPDR za večino zahtevala daljši čas in izvedbo več postopnih ukrepov. S pravočasnim ukrepanjem se bo podjetje izognilo tveganjem za nastanek kršitve in posledično morebitno upravičeno pritožbo posameznikov, čemur bi sledila inšpekcijski postopek in možna visoka denarna kazen, v primeru večjih nepravilnosti lahko tudi prepoved poslovanja z osebnimi podatki. Poleg vsega navedenega bi posameznik lahko uveljavljal odškodnino. Prav tako pa bi bila konkurenca verjetno zadovoljna s slabo reklamo in izgubo zaupanja strank.

S pravočasnim in sistematičnim pristopom pa lahko podjetja tudi izkoristijo priložnost ter hkrati pristopijo tudi k izboljšanju sistema upravljanja s podatki, kar bo omogočilo poenostavitve poslovanja ali uporabo analitičnih orodij za pridobitev podatkov za lažje in boljše sprejemanje poslovnih odločitev. Z zgledno urejenostjo področja varovanja osebnih podatkov lahko podjetje pridobi konkurenčno prednost in poglobi zaupanje svojih strank. Hkrati bistveno zniža tveganje za nastanek kršitve, če pa bi do te že prišlo, pa bo podjetje pripravljeno z ustreznim načrtom za izvedbo ukrepov za čimprejšnjo zaznavo in odpravo posledic.

Prvi nujni ukrepi za zakonitost poslovanja po uredbi

  1. Pregled stanja osebnih podatkov:

    • določiti odgovorno osebo ali organizacijsko enoto v podjetju za izvedbo nalog,
    • ugotoviti, katere podatke ima in kje so shranjeni, kakšni sta njihova občutljivost in količina,
    • narediti seznam zbirk osebnih podatkov,
    • ugotoviti način in zakonitost pridobivanja,
    • ugotoviti, kakšen je način oziroma proces njihove obdelave, kdo dostopa do njih in kako,
    • kako dolgo se hranijo,
    • ugotoviti, komu jih posreduje in kako,
    • če je treba, imenovati pooblaščeno osebo (DPO).

  2. Brisanje nepotrebnih podatkov:

    • izbrišejo naj se vse nepotrebni podatki (podvojene evidence, nepotrebne varnostne kopije),
    • če obstajajo različne zbirke podatkov (evidence) je potrebno izbrisati nepotrebne podatke v posameznih evidencah,
    • izbrisati je potrebno tudi podatke, ki jih podjetje ne potrebuje več.

  3. Izvedba ocene tveganja:

    • ugotoviti, ali se zbirajo samo podatki, ki jih potrebujete (zakonitost),
    • varnostna ocena – kakšne bi bile posledice v primeru kršitve zaupnosti podatkov za posameznika,
    • razmerja s tretjimi osebami, tj. pogodbenimi obdelovalci, pri čemer so določene posebnosti za tretje osebe zunaj EU.

  4. Postopek v primeru zahteve posameznika:

    • zagotoviti je potrebno sledeče pravice: pravica vedeti, pravica do kopije vseh podatkov, pravica do točnosti – popravka podatkov, pravica do izbrisa podatkov, pravica do omejitve obdelave podatkov, pravica do prenosa podatkov, pravica do ugovora posameznika, pravica ne biti predmet avtomatiziranega sprejemanja odločitev,
    • urediti postopek, kako se odzvati na zahtevo (določiti pristojnosti in tehnično izvedbo).

Nadaljevalni ukrepi

  1. Priprava seznama tveganj:

    • izpostaviti možna tveganja v odnosu do posameznikov v primeru zahtev,
    • določiti stopnjo tveganja,
    • izpostaviti možna tveganja v stopnji izpolnjevanja zahtev uredbe in odprava le-teh,
    • nujnost izvedbe ukrepov (nekatere zahteve verjetno ne bodo imele neposrednih takojšnjih posledic v primeru neizpolnitve),
    • če je treba veliko narediti, se je treba osredotočiti na najpomembnejše.

  2. Načrt zmanjšanja tveganj in odprava posledic:

    • pripraviti načrt izvedbe ukrepov za odpravo tveganj,
    • oceniti, ali je neka obdelava podatkov res potrebna,
    • zagotoviti zaupnost podatkov – pseudonimizacija, šifriranje podatkov,
    • kontrola dostopa do podatkov – ali res vsak potrebuje dostop,
    • varnostne nastavitve – morebitno določanje varnostnih stopenj (do česa ima posameznik dostop).

  3. Izvedba ocene učinkov projektov v nastajanju v zvezi z varstvom osebnih podatkov:

    • potrebna je v primeru velikega tveganja za pravice in svoboščine posameznikov,
    • ocena tveganj zajema vsaj ukrepe po 35/2. členu splošne uredbe,
    • dobro narediti čim večkrat, z namenom da se vzpostavi dobra praksa,
    • razmisliti o informacijsko-tehnološki varnosti za spremljanje tveganj (različna analitična orodja …).

  4. Evidenca dejavnosti obdelave (ni vedno obvezna):

    • določitev namena obdelave,
    • opis kategorij posameznikov in vrst osebnih podatkov,
    • določitev kategorij uporabnikov, katerim so bili ali bodo osebni podatki razkriti, vključno iz tretjih držav,
    • kadar je mogoče, določiti predvidene roke za izbris podatkov,
    • kadar je mogoče, dodati splošni opis tehničnih in organizacijskih varnostnih ukrepov (32. člen),
    • nadzornemu organu je treba zagotoviti dostop do tega dokumenta.

  5. Načrt ukrepov v primeru kršitve varstva osebnih podatkov:

    • kršitev varstva osebnih podatkov pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani,
    • priprava načrta za ukrepanje in preizkus načrta,
    • ukrepi v primeru kršitev:
    - poročanje nadzornemu organu v 72 urah,
    - poročanje posamezniku, kadar je veliko tveganje za njegove pravice in svoboščine.

Če se boste odločili, da ukrepov za izvajanje skladnosti z GDPR ne boste izvajali sami, vam lahko pri tem pomagamo s svetovanjem ali z izvedbo konkretnih ukrepov in pripravo ustreznih aktov. Prav tako za vas izvedemo izobraževanje vodstva in zaposlenih, kar je eden od ključnih ukrepov, ki naj jih organizacija izvede.