Kaj mora vsako podjetje vedeti o GDPR?

S 25. majem 2018 bomo začeli uporabljati novo Splošno uredbo o varstvu osebnih podatkov (General Data Protection Regulation – GDPR), ki bo postala temeljni predpis s področja varstva osebnih podatkov v vseh državah Evropske unije. To torej pomeni, da bodo tudi vsa slovenska podjetja, ki obdelujejo osebne podatke, morala upoštevati njene določbe.

Amela Žrt in Tajda Vrhovec

Facebook
Twitter
Google Plus
LinkedIn

Foto: Pixabay

GDPR prinaša strožje globe v primeru kršitev varstva osebnih podatkov, posameznikom omogoča večji nadzor nad njihovimi osebnimi podatki in dviguje splošno raven varstva osebnih podatkov v Evropski uniji. V kratkem pričakujemo tudi sprejem novega Zakona o varstvu osebnih podatkov (ZVOP-2), ki bo podrobneje uredil določena vprašanja iz uredbe na nacionalni ravni.

Kako se pripraviti na GDPR?

Če že sedaj dosledno upoštevate trenutno veljavno zakonodajo na področju varstva osebnih podatkov, vam ni treba preveč skrbeti. Seveda bo kljub temu potrebno nekaj prilagoditev, vendar vam slednje ne bi smele povzročati prevelikih preglavic. V nadaljevanju smo vam pripravili kratek povzetek najpomembnejših določb in praktične napotke pri zagotavljanju skladnosti poslovanja.

Varstvo osebnih podatkov zadeva vse zaposlene v podjetju. Predvsem je pomembno, da so o ključnih temah v zvezi z varstvom osebnih podatkov poučeni kadrovski, marketing in IT-oddelek.

Ocenite status quo

Da boste zagotovili skladnost poslovanja z GDPR, najprej naredite pregled, katere osebne podatke in na kakšen način obdelujete znotraj vašega podjetja. Pri tem si pomagajte z vprašanji, kot so: od koga, zakaj, katere in na kakšen način pridobivate podatke ter koliko časa jih hranite.

Se vidimo na Kongresu ADMA 2018 v Portorožu med 17. in 19. 5.!

Vključite odgovorne osebe že v zgodnji fazi

Varstvo osebnih podatkov zadeva vse zaposlene v podjetju. Predvsem je pomembno, da so o ključnih temah v zvezi z varstvom osebnih podatkov poučeni kadrovski, marketing in IT-oddelek. Priporočamo, da napredek spremljate na vnaprej dogovorjenih sestankih.

Zbirajte le osebne podatke, ki so relevantni in omejeni na namene, za katere se obdelujejo. Zato minimalizirajte količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost.

Preglejte obstoječe privolitve in posodobite obrazce za privolitev

Če obdelujete osebne podatke na podlagi privolitve, preverite, ali je bila slednja dana na način, ki je skladen z GDPR. Če ni tako, boste morali obrazce za privolitev uskladiti z novo zakonodajo in privolitve znova pridobiti.

GDPR zahteva, da mora biti privolitev dana z jasnim pritrdilnim dejanjem. Soglasje mora tako biti izraženo prostovoljno, specifično, informirano in nedvoumno. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Za različna dejanja obdelave morate imeti predvidene ločene privolitve.

Izjava o privolitvi naj bo v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku.

V obrazcu za privolitev jasno navedite vse pravice, ki posamezniku, čigar osebne podatke obdelujete, v skladu z uredbo pripadajo. Uredba namreč širi krog pravic posameznika (npr. pravica do prenosljivosti). Beležiti morate, na kakšen način in kdaj je posameznik podal privolitev, saj morate biti zmožni dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov.

Preverite svoje postopke za zagotavljanje pravic posameznika

Posamezniku morate pisno ali v e-obliki zagotoviti informacije o vseh njegovih pravicah. Informacije naj bodo podane v jedrnati, pregledni, razumljivi ter lahko dostopni obliki, napisane v jasnem in preprostem jeziku. Zahteve v zvezi s pravicami posameznika je potrebno uresničevati v enem mesecu po prejemu zahteve, pri čemer se lahko ta rok podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev.

Ugotovite, ali potrebujete pooblaščeno osebo za varstvo osebnih podatkov

Imenovanje pooblaščene osebe za varstvo osebnih podatkov (v angleščini pogosto označena s kratico »DPO«) je ena izmed najpomembnejših novosti uredbe. Njena glavna naloga bo zagotavljanje skladnosti poslovanja na področju varstva osebnih podatkov. Ta oseba mora biti neodvisna in imenovana na podlagi poklicnih odlik ter strokovnega znanja o zakonodaji in praksi na področju varstva osebnih podatkov. Pomembno je vedeti, da so v skladu z GDPR pooblaščeno osebo za varstvo osebnih zavezani imenovati le določeni upravljavci in obdelovalci osebnih podatkov.

Ugotovite, ali boste morali izvajati ocene učinka

Kadar je možno, da bi lahko vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec pred obdelavo opraviti t. i. oceno učinka v zvezi z varstvom podatkov. GDPR primeroma navaja, kdaj je potrebno izvesti oceno učinka, v prihodnjih mesecih pa bo v dodatno pomoč informacijski pooblaščenec objavil seznam obdelav, za katere bo potrebno izdelovati ocene učinka in tistih, za katere to ne bo potrebno.

Vzpostavite interni postopek poročanja v primeru kršitve

Svetujemo vam, da vzpostavite interni sistem poročanja v primeru kršitve varstva osebnih podatkov (npr. izguba osebnih podatkov ali vdor v informacijski sistem) najpozneje. Po novem mora upravljavec o kršitvi v 72 urah obvestiti informacijskega pooblaščenca, razen če ni verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Pogodbeni obdelovalci morajo po seznanitvi s kršitvijo brez nepotrebnega odlašanja obvestiti upravljalca.

Minimizirajte osebne podatke

Zbirajte le osebne podatke, ki so relevantni in omejeni na namene, za katere se obdelujejo. Zato minimalizirajte količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S tem si boste olajšali delo v zvezi z varstvom osebnih podatkov in obenem zagotovili skladnost z GDPR.

Preverite svoje zunanje obdelovalce in prilagodite pogodbe o obdelavi

Preverite, ali sodelujete z zunanjimi obdelovalci, ki izpolnjujejo zahteve iz uredbe. Poleg tega bo potrebno prenoviti obstoječe pogodbe o obdelavi, saj GDPR uvaja nove obvezne sestavine pogodb o obdelavi in standardna pogodbena določila. Slednja bo na svoji spletni strani objavil informacijski pooblaščenec.

Prilagodite popis zbirke osebnih podatkov – evidence dejavnosti obdelave

Upravljavci od 25. maja 2018 sicer ne bodo več dolžni prijavljati zbirk osebnih podatkov v centralni register osebnih podatkov, vendar morajo upravljavci, po novem pa tudi obdelovalci, kljub temu še vedno voditi (katalogu podobne) evidence dejavnosti obdelave.

GDPR sicer določa izjemo v zvezi z vodenjem evidenc dejavnosti obdelave za podjetja z manj kot 250 zaposlenimi, vendar bo ta izjema redko prišla v poštev. Izjema namreč ne velja, če obstaja verjetnost, da obdelava (i) predstavlja tveganje za pravice in svoboščine posameznikov, (ii) ni občasna, ali (iii) vključuje posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Prilagodite vaše varnostne politike

V skladu z GDPR morajo upravljavci izvesti ustrezne tehnične in organizacijske ukrepe, da zagotovijo in so zmožni dokazati, da obdelava resnično poteka v skladu z GDPR. Preglejte in dopolnite ukrepe, če je to potrebno.

Sklep

Ker bo maj tu, kot bi trenil, vam svetujemo, da se, če še niste, čim prej lotite implementacije sprememb. Nikar se ne učite na lastnih napakah, saj GDPR predpisuje stroge kazni. Za najhujše kršitve vas lahko oglobijo celo za vrtoglavih 20 milijonov evrov ali 4 % skupnega svetovnega letnega prometa, odvisno od tega, kateri znesek je višji.

Če želite aktivno stopiti v korak z vsemi spremembami, ki ji narekuje GDPR in pridobiti še več konkretnih informacij glede na vaše področje dela, se za posvet obrnite na zunanje svetovalce ter razmislite o novi vlogi v podjetju, ki jo predstavlja pooblaščena oseba za varstvo podatkov.

NE ZAMUDITE: Amela Žrt in Tajda Vrhovec iz odvetniške pisarne CMS Reich-Rohrwig Hainz - Podružnica v Sloveniji bosta na Kongresu ADMA predavali na temo Kaj mora vsako podjetje vedeti o GDPR?