Osebni podatki kmalu na varni strani
Splošna uredba o varstvu osebnih podatkov - GDPR - bo začela veljati 25. maja. Podjetja se mrzlično pripravljajo nanjo.
Odpri galerijo
Uredba velja, četudi še nismo sprejeli novele nacionalnega zakona. FOTO: Shutterstock
Ljubljana – Odštevamo: do prelomnega datuma, ko bo Evropski uniji zavladala GDPR – General Data Protection Regulation ali splošna uredba o varstvu osebnih podatkov, nas loči še 22 dni. Mediji so preplavljeni z informacijami o novostih, podjetja se že mrzlično pripravljajo nanje, prebuja se zanimanje javnosti.
Splošno znano je troje: kratico vsaj v njeni poslovenjeni verziji zna povprečni Slovenec na izust in ve, da se nanaša na osebne podatke, uredba se bo začela uporabljati 25. maja, in – po tem datumu bo vse drugače.
Pravzaprav bi morali podjetja in ustanove, ki jih uredba zavezuje k drugačnemu ravnanju z osebnimi podatki, dotlej svoje poslovanje že prilagoditi novim pravilom igre. Iz njihovih odzivov lahko sklepamo, da so izziv večinoma vzela zelo resno, da so številne zahteve iz uredbe udejanjila, da pa ostaja precej vprašanj še nerazčiščenih. Razvozlali jih bodo čas, izmenjava izkušenj, novi nacionalni zakon o varstvu osebnih podatkov, v pomoč pa jim bodo tudi nadzorne institucije.
Čeprav evropska uredba velja že od leta 2016, se mnogi zavezanci pripravljajo nanjo tik pred zdajci. Slovenija sicer sodi med države, ki so varstvu osebnih podatkov že doslej namenjale veliko pozornosti, ampak veljavni zakon o varstvu osebnih podatkov vendarle potrebuje prenovo, uskladitev z evropskimi vatli. Zdelo se je, da bo parlamentu to uspelo storiti v zadnjem trenutku, pa se je zadeva sfižila. Vlada je hotela ujeti rok, 25. maj, zato je predlagala nujni postopek, večina poslanskih skupin pa se je zaradi zahtevnosti in občutljivosti predpisa odločila za redni postopek. Uredba kljub temu velja; v primerih, ko je premalo določna ali celo v nasprotju z veljavnim zakonom o varstvu osebnih podatkov, pa bo morala prevladati zdrava pamet, ki se bo opirala na namen zakona, v nekaterih dejavnostih si bodo pomagali s kodeksi ravnanja (npr. trgovina).
Robert Rolih, podjetnik in avtor mednarodne uspešnice The Million Dollar Decision, pravi, da je splošna uredba napisana v »pravnem jeziku, ki je za navadne smrtnike razumljiv tako kot mandarinščina«, zato bodo uporabniki potrebovali še veliko predstavitev, seminarjev, izobraževanj, nasvetov. Tudi v Delu smo zbrali odgovore na nekatera pogosta, pa tudi manj običajna vprašanja. Spomniti želimo, kako se med evropskimi pravili znajdejo podjetja in ustanove, ki jim uredba nalaga nove obveznosti, poseben poudarek pa namenjamo posamezniku, čigar zaščiti je uredba namenjena.
Podjetja se z vprašanji o izvajanju uredbe obračajo na odvetniške pisarne (najpogosteje na pisarno nekdanje informacijske pooblaščenke in strokovnjakinje za varstvo osebnih podatkov Nataše Pirc Musar), pa tudi na informacijsko pooblaščenko Mojco Prelesnik. In kaj največ sprašujejo? Kot pravi Prelesnikova, jih zanima predvsem, ali morajo znova pridobiti od posameznikov privolitve za zbiranje in obdelavo osebnih podatkov, ali morajo imenovati pooblaščeno osebo, pa tudi, kako poskrbeti za varnost baz podatkov.
Najbolj se bojijo zagroženih kazni, namreč največ 20 milijonov evrov ali 4 odstotke letnega prometa. Upoštevati pa je treba, da so to le najvišje določene kazni, ki bodo v praksi v Sloveniji redke. To namreč niso standardne kazni, ampak bo izrek odvisen od več okoliščin: ali je šlo za dejanje z naklepom ali iz malomarnosti, ali zavezanec sodeluje z nadzornim organom, kako je ta izvedel za kršitev, ali obstaja predkaznovanost itd.
V preobilju različnih (dez)informacij si podjetja marsikaj razlagajo narobe: da morajo biti vsi podatki šifrirani, da ima vsak posameznik vedno pravico do izbrisa podatkov in da mora vsako podjetje imenovati pooblaščeno osebo za varstvo osebnih podatkov.
Za podjetja bo največja novost imenovanje pooblaščene osebe (»Data protection officer«). A kot poudarja informacijska pooblaščenka, je nikakor ne potrebujejo vsa podjetja, ampak predvsem tista, pri katerih je obdelava osebnih podatkov njihova temeljna dejavnost, ki poteka v velikem obsegu in sistematično (npr. operaterji, banke, zavarovalnice, trgovci, kadrovske agencije ipd.).
Problematično je lahko ponovno pridobivanje privolitev posameznikov; po Prelesnikovi mora podjetje najprej preveriti, katere podatke sploh ima na podlagi privolitve, in kje je v resnici v ozadju pogodba s posameznikom, potem pa preveri veljavnost teh privolitev.
Vtis je, da se val pridobivanja novih privolitev še ni začel, čeprav je slišati, da bodo tudi nekateri veliki sistemi to storili, a nikakor ne vsi. Nov veter pa že veje po spletu. Na primer: ponudniki pridno dodajajo vprašanje, ali se želite odjaviti od prejemanja njihovih obvestil. Nekateri vzpostavljajo nove baze strank tako, da nova včlanitev v klub, ki je možna samo, če ima potrošnik elektronski naslov, prinese kupon dobrodošlice.
Splošno znano je troje: kratico vsaj v njeni poslovenjeni verziji zna povprečni Slovenec na izust in ve, da se nanaša na osebne podatke, uredba se bo začela uporabljati 25. maja, in – po tem datumu bo vse drugače.
Najpomembnejše novosti iz GDPR- boljši nadzor državljanov nad osebnimi podatki in lažji dostop do njih;
- strožja ureditev dolžnosti obvešc(anja posameznika o obdelavi njegovih osebnih podatkov;
- pravica do pozabe in izbrisa ter do prenosljivosti podatkov;
- izrecna privolitev za obdelavo osebnih podatkov;
- obvezno obvestilo o vdoru v zbirke osebnih podatkov v roku 72 ur;
- imenovanje uradne osebe za varstvo podatkov v nekaterih institucijah in podjetjih;
- višje kazni za prekrške,do 20 milijonov evrov ali do 4 odstotke letnega prometa podjetja.
- strožja ureditev dolžnosti obvešc(anja posameznika o obdelavi njegovih osebnih podatkov;
- pravica do pozabe in izbrisa ter do prenosljivosti podatkov;
- izrecna privolitev za obdelavo osebnih podatkov;
- obvezno obvestilo o vdoru v zbirke osebnih podatkov v roku 72 ur;
- imenovanje uradne osebe za varstvo podatkov v nekaterih institucijah in podjetjih;
- višje kazni za prekrške,do 20 milijonov evrov ali do 4 odstotke letnega prometa podjetja.
Pravzaprav bi morali podjetja in ustanove, ki jih uredba zavezuje k drugačnemu ravnanju z osebnimi podatki, dotlej svoje poslovanje že prilagoditi novim pravilom igre. Iz njihovih odzivov lahko sklepamo, da so izziv večinoma vzela zelo resno, da so številne zahteve iz uredbe udejanjila, da pa ostaja precej vprašanj še nerazčiščenih. Razvozlali jih bodo čas, izmenjava izkušenj, novi nacionalni zakon o varstvu osebnih podatkov, v pomoč pa jim bodo tudi nadzorne institucije.
Do zakona – uredba
in zdrava pamet
Čeprav evropska uredba velja že od leta 2016, se mnogi zavezanci pripravljajo nanjo tik pred zdajci. Slovenija sicer sodi med države, ki so varstvu osebnih podatkov že doslej namenjale veliko pozornosti, ampak veljavni zakon o varstvu osebnih podatkov vendarle potrebuje prenovo, uskladitev z evropskimi vatli. Zdelo se je, da bo parlamentu to uspelo storiti v zadnjem trenutku, pa se je zadeva sfižila. Vlada je hotela ujeti rok, 25. maj, zato je predlagala nujni postopek, večina poslanskih skupin pa se je zaradi zahtevnosti in občutljivosti predpisa odločila za redni postopek. Uredba kljub temu velja; v primerih, ko je premalo določna ali celo v nasprotju z veljavnim zakonom o varstvu osebnih podatkov, pa bo morala prevladati zdrava pamet, ki se bo opirala na namen zakona, v nekaterih dejavnostih si bodo pomagali s kodeksi ravnanja (npr. trgovina).
Robert Rolih, podjetnik in avtor mednarodne uspešnice The Million Dollar Decision, pravi, da je splošna uredba napisana v »pravnem jeziku, ki je za navadne smrtnike razumljiv tako kot mandarinščina«, zato bodo uporabniki potrebovali še veliko predstavitev, seminarjev, izobraževanj, nasvetov. Tudi v Delu smo zbrali odgovore na nekatera pogosta, pa tudi manj običajna vprašanja. Spomniti želimo, kako se med evropskimi pravili znajdejo podjetja in ustanove, ki jim uredba nalaga nove obveznosti, poseben poudarek pa namenjamo posamezniku, čigar zaščiti je uredba namenjena.
Kaj sprašujejo podjetja?
Podjetja se z vprašanji o izvajanju uredbe obračajo na odvetniške pisarne (najpogosteje na pisarno nekdanje informacijske pooblaščenke in strokovnjakinje za varstvo osebnih podatkov Nataše Pirc Musar), pa tudi na informacijsko pooblaščenko Mojco Prelesnik. In kaj največ sprašujejo? Kot pravi Prelesnikova, jih zanima predvsem, ali morajo znova pridobiti od posameznikov privolitve za zbiranje in obdelavo osebnih podatkov, ali morajo imenovati pooblaščeno osebo, pa tudi, kako poskrbeti za varnost baz podatkov.
Najbolj se bojijo zagroženih kazni, namreč največ 20 milijonov evrov ali 4 odstotke letnega prometa. Upoštevati pa je treba, da so to le najvišje določene kazni, ki bodo v praksi v Sloveniji redke. To namreč niso standardne kazni, ampak bo izrek odvisen od več okoliščin: ali je šlo za dejanje z naklepom ali iz malomarnosti, ali zavezanec sodeluje z nadzornim organom, kako je ta izvedel za kršitev, ali obstaja predkaznovanost itd.
V preobilju različnih (dez)informacij si podjetja marsikaj razlagajo narobe: da morajo biti vsi podatki šifrirani, da ima vsak posameznik vedno pravico do izbrisa podatkov in da mora vsako podjetje imenovati pooblaščeno osebo za varstvo osebnih podatkov.
Največja novost
in najvišji strošek
Za podjetja bo največja novost imenovanje pooblaščene osebe (»Data protection officer«). A kot poudarja informacijska pooblaščenka, je nikakor ne potrebujejo vsa podjetja, ampak predvsem tista, pri katerih je obdelava osebnih podatkov njihova temeljna dejavnost, ki poteka v velikem obsegu in sistematično (npr. operaterji, banke, zavarovalnice, trgovci, kadrovske agencije ipd.).
Problematično je lahko ponovno pridobivanje privolitev posameznikov; po Prelesnikovi mora podjetje najprej preveriti, katere podatke sploh ima na podlagi privolitve, in kje je v resnici v ozadju pogodba s posameznikom, potem pa preveri veljavnost teh privolitev.
Vtis je, da se val pridobivanja novih privolitev še ni začel, čeprav je slišati, da bodo tudi nekateri veliki sistemi to storili, a nikakor ne vsi. Nov veter pa že veje po spletu. Na primer: ponudniki pridno dodajajo vprašanje, ali se želite odjaviti od prejemanja njihovih obvestil. Nekateri vzpostavljajo nove baze strank tako, da nova včlanitev v klub, ki je možna samo, če ima potrošnik elektronski naslov, prinese kupon dobrodošlice.
