25. maj je že zelo blizu - #gdpr 1. del
Je kratica za General Data Protection Regulation oziroma za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov in začne veljati 25. maja 2018.
Bistvenega pomena je, da boste podatke lahko zbirali le na podlagi izrecne privolite posameznika. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem ter dokazljiva. Da zgolj napišete, da zbirate podatke za izboljšanje storitev, to ni dovolj. Iz namena mora jasno izhajati, zakaj točno se bodo podatki uporabljali. Posameznik mora izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov in se s tem zavedati, s čim soglaša.
Tako kot privolitev, mora biti enostaven tudi preklic privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov. To velja zlasti v primeru neposrednega trženja.
Kje začeti ?
Splošna uredba v 171. uvodni določbi določa naslednje: “Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.”
Vendar pa v uradu Informacijskega pooblaščenca pojasnjujejo, da to zelo verjetno pomeni, da številne privolitve, ki so bile veljavne po Zakonu o varstvu osebnih podatkov (ZVOP-1) ne izpolnjujejo vseh novih pogojev.
Zaradi tega v podjetju (1) najprej preverite vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne storitve s katerimi ste pridobili privolitve. Preverite kje in kako jih hranite, skratka naredite popis. (2) Nato preverite kateri zaposleni lahko do teh podatkov dostopajo ter kako jih uporabljajo. Do podatkov bodo namreč lahko dostopali le zaposleni, ki so do tega upravičeni. Šele (3) nato pride na vrsto zaščita podatkov. Podjetja morajo zagotoviti vzpostavitev varnostnih kontrol za zaščito in odziv na vdore in ne avtoriziran dostop. Sedaj na vrsto (4) pride sistem poročanja, ki bo spremljal, kaj se s podatki v podjetju dogaja.
(5) Preveriti morate tudi ali potrebujete uradno osebo za varstvo podatkov, saj imenovanje pooblaščenca za varstvo osebnih podatkov ni nujno potrebno. Res je, da morajo pooblaščeno osebo imenovati vsi javni organi, GDPR pa določa kriterije za tiste v zasebnem sektorju, po katerih lahko sami ocenite ali pooblaščenca potrebujete. Vse je odvisno od vrste in količine podatkov, ki jih zbirate. In od tega, ali je obdelava podatkov vaša osnovna dejavnost in ali obdelujete velike količine podatkov. Pooblaščenec je lahko zaposlen v podjetju, lahko pa je zunanji izvajalec. Zunanji izvajalec se splača takrat, ko ne bo imel za osem ur dela.
(6) Preverite tudi, ali morate voditi evidenco o obdelavi osebnih podatkov. Evidence obdelav bodo nadomestile kataloge zbirk osebnih podatkov. Uredba GDPR namreč upravljalcem osebnih podatkov nalaga obveznost vodenja evidence o obdelavi osebnih podatkov. Le to bo obvezno za tiste, ki zaposlujejo več kot 250 delavcev. Seveda pa obstajajo tudi pogoji za vodenje evidence pri malih in srednjih podjetjih. Tako bodo mala in srednja podjetja morala voditi evidenco če a) Podatke obdelujejo redno, b) če obdelava ogroža pravice in svoboščine ljudi in c) če pri obdelavi ravnajo z občutljivimi podatki ali kazenskimi evidencami.
Kazni predvidene zaradi neupoštevanja predpisov segajo do 20 milijonov EUR ali 4 odstotkov skupnega letnega prometa kršitelja. Velja poudariti, da med hujše kršitve spada tudi obdelava podatkov brez soglasja posameznika. Podjetjem zato priporočamo, da intenzivno usklajujejo svoje poslovanje z določili uredbe GDPR.
IZPOSTAVLJENI ČLANKI
ABC zamenjave računovodstva za prihodnost
VIRI:
- Varovanje podatkov, priloga časnika Finance, 19.10.2017
- Data.si, GDPR – ste pripravljeni? https://data.si/blog/2018/02/22/gdpr-ste-pripravljeni/
- EUR-Lex.europa.eu http://eur-lex.europa.eu/legal-content/SL/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.SLV&toc=OJ:L:2016:119:FULL
- https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori/
- Comparex-group.com