Brez zakona o varstvu osebnih podatkov (ZVOP-2) se bo evropska uredba o varstvu osebnih podatkov (GDPR) od 25. maja 2018 dalje uporabljala neposredno. Uredba bo vplivala na vsa podjetja, zavode, društva, sindikate, politične stranke,…. osebni podatki pa se bodo lahko uporabljali izključno samo za namen, zaradi katerega so bili dani.
Uredba GDPR precej zaostruje tudi kazni, ki jih lahko nadzorni organi – pri nas bo to Informacijski pooblaščenec – naložijo podjetjem v primeru kršitev s področja varstva osebnih podatkov. Te lahko v skrajnih primerih sežejo vse do 20 milijonov evrov ali 4 odstotkov skupnega letnega prometa kršitelja!
Svetujemo vam, da se, v kolikor tega še niste storili, obrnete na pravnega strokovnjaka s področja varstva osebnih podatkov, da boste imeli področje urejeno v skladu z veljavno zakonodajo.
V nadaljevanju smo na kratko povzeli, kaj pravzaprav GDPR prinaša in kaj na področju varstva osebnih podatkov že velja po veljavni zakonodaji (ZVOP-1).
- vsaka organizacija, ki obdeluje osebne podatke fizičnih oseb, mora izdelati kataloge zbirk osebnih podatkov(za vsako zbirko osebnih podatkov posebej, npr. evidenca kupcev, evidenca članov društva,…) Ta obveznost bo po GDPR veljala ne le za upravljavce, ampak tudi za obdelovalce, kot so npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.).
- Po GDPR prijava zbirke v register Informacijskega pooblaščenca ni več obvezna.
- GDPR izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe za varstvo osebnih podatkov, morate pa imeti vzpostavljene ustrezne varnostne ukrepe za varovanje osebnih podatkov. Menimo, da je sprejetje pravilnika ali podobnega akta o načinu, postopkih in ukrepih varovanja osebnih podatkov v organizaciji smiselno.
- Pooblaščenca za varstvo podatkov (DPO) morajo imenovati:
- Javni organi in telesa (trenutno so po ZVOP-1 to državni organi, organi samoupravnih lokalnih skupnosti, nosilci javnih pooblastil, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi in samoupravne narodne skupnosti).
- Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati.
Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, kadrovske agencije, spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.), upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, sistem televizije zaprtega kroga, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd.
- Z zunanjimi ponudniki obdelave in upravljanja osebnih podatkov morate imeti sklenjeno ustrezno pogodbo ali pisni dogovor. Vaši pogodbeniki vas morajo tudi obvestiti, ali in katere podizvajalce uporabljajo, čemur pa lahko kot naročnik storitev vedno ugovarjate. Pogodbo potrebujete v primeru, da zunanjemu obdelovalcu pošiljate kakršne koli osebne podatke (od zaposlenih in drugih fizičnih oseb, kot so na primer izžrebani nagrajenci ipd.). Taki zunanji ponudniki so računovodski servisi, IT podjetja, ….
- Privolitve za pošiljanje tržnih vsebin ne potrebujete od strank oziroma naročnikov, ki so pravne osebe ali s.p.ji. Privolitev morate imeti le od fizičnih oseb! V vseh primerih, pri katerih privolitev potrebujete, mora le ta izpolnjevati zahteve po GDPR. Bistveno je, da je privolitev dana prostovoljno, sicer ne gre za privolitev.
Več informacij najdete tudi na:
https://www.ip-rs.si/
http://www.icenter.si
https://www.eugdpr.org/
https://zvop.si/
VIR: www.ozs.si , www.eugdr.org