FIN ZAJTRK: Kaj moram vedeti o uredbi GDPR?
Bistvene zapovedi, novosti, obveznosti in pravice
V drugi polovici maja 2018 smo v celotni Evropi vstopili v obdobje večje urejenosti upravljanja s podatki. Spremembe so se dotaknile tako posameznikov kot pravnih oseb, pri čemer pa se razlikujejo njihove obveznosti, pravice in odgovornosti. Da bo prehod na novo uredbo čim lažji in jasnejši, smo pripravili pregled bistvenih obveznosti, ki jih morate izpolnjevati kot podjetje.
Kaj in zakaj ureja uredba GDPR?
Nastanek Uredbe (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov so spodbudile mnoge zlorabe osebnih podatkov, do katerih je v Evropi prihajalo pravzaprav vsako sekundo. Nova uredba tako določa načela upravljanja s podatki in predstavlja nekatere novosti na tem področju, ki bodo zagotovile večjo preglednost, varnost in nadzor nad uporabo podatkov.
V osnovi uredba GDPR ureja ravnanje s t.i. določljivimi podatki, kar pomeni, da lahko z njimi določimo identiteto osebe: ime in priimek, naslov, elektronski naslov, podatek o lokaciji, IP naslov, EMŠO, davčna številka, številka kreditne kartice in registrska številka. Ob tem pa naj samo omenimo, da ne smemo hraniti elektronskih kopij osebnih izkaznic in potnih listov ter posebnih podatkov, kot so članstvo v sindikatu, spolno življenje, spolna usmerjenost, podatki o zdravju in biometrični podatki.
Osnove ravnanja in varovanja določljivih podatkov
Med novostmi, ki jih prinaša GDPR uredba, je zagotovo dejstvo, da lahko podatke obdelujete samo, če imate za to pravno podlago, t.j. privolitev ali pogodbeni odnos ter načelo omejevanja podatkov, pri čemer lahko zbirate in obdelujete samo podatke, ki jih nujno potrebujete za nadaljne aktivnosti.
Novost je tudi odškodninska odgovornost na strani pravnih oseb, medtem ko ima fizična oseba pravico do pozabe. To pomeni, da je na zahtevo pravna oseba dolžna izbrisati njene podatke iz svojih evidenc. Poleg tega morate kot pravna oseba posamezniku v vsakem trenutku omogočiti vpogled v podatke, ki jih hranite o njemu, ta pa lahko na podlagi pravice do prenosljivosti podatkov te tudi prenese drugam.
Pri pridobivanju privolitev bodite pozorni na specifike. Za vsak namen obdelave podatkov, kamor spada tudi shranjevanje, je potrebno posebej pridobiti soglasje. To lahko storimo z običajno privolitvijo ali v posebnih primerih z dvostopenjsko. Privolitev naj definira upravljalca, namen in čas hranjenja podatkov. Po morebitnem poteku časovnega obdobja pa morate od fizične osebne ponovno pridobiti soglasje.
Večja podjetja potrebujejo osebo, ki je pooblaščena za varstvo podatkov in ki nadzoruje katere podatke obdelujemo, za kakšen namen, od katerih oseb ter čas hranjenja podatkov. Zelo pomemben vidik je tudi varovanje teh podatkov, kjer vam svetujemo posvet z vašo IT službo ter določitev učinkovite rešitve.
Kljub temu, da je uredba GDPR stopila v veljavo 25. maja, pa v Sloveniji na področju zakonodaje, ki ureja varovanje podatkov, še vedno velja zakon ZVOP – 1, ob upoštevanju uredbe GDPR – vse dokler ne bo v veljavo stopil zakon v pripravi ZVOP – 2.