V zadnjem času me podjetja in posamezniki veliko sprašujejo o novi evropski uredbi GDPR (General Data Protection Regulation). Veliko je namreč ugibanj in netočnih informacij, predvsem pa strahu ter panike, zaradi visokih kazni v primeru neupoštevanja uredbe. Zato bom na kratko poskušal razložiti kaj sploh je uredba GDPR in kakšne spremembe ta uredba prinaša za posameznika ter kakšne za podjetja oziroma ustanove.

Kaj sploh je uredba GDPR?

GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov. Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v celotni EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo tudi posamezne države članice. Pri nas bo dopolnitev uredbe GDPR urejal zakon ZVOP-2 (nadgradnja že obstoječega in veljavnega zakona ZVOP-1).

Zakaj sploh je potrebna uredba GDPR?

V obdobju interneta, družabnih omrežij, pametnih telefonov in digitalizacije na vseh področij našega življenja, se je izjemno povečal obseg zbiranja ter pospešil pretok informacij o posameznikih.

Danes nam je vse lažje slediti, nas profilirati in informacije o nas uporabiti v različne namene, zato je bilo potrebno nujno ukrepati ter na tem področju zavarovati ljudi v EU.
Ni skrivnost, da je bilo v preteklosti že zelo veliko vdorov v baze podatkov, tudi velikih podjetij, kot so Yahoo, eBay, Uber, Equifax, ipd.. Hekerji so pri vdoru v te sisteme prišli do ogromne količine imen, elektronskih naslovov, rojstnih podatkov, gesel, telefonskih števil in drugih podatkov, ki so jih uporabniki zaupali tem multinacionalkam ob registracijah in drugih elektronskih obrazcih.

Evropska unija je zato že leta 2016 sprejela nov predpis GDPR, ki v zvezi z varstvom osebnih podatkov zagotavlja poenoteno in usklajeno ukrepanje v vseh državah članicah EU. Uredba pride v polno veljavo 25. maja letos in je največja sprememba na področju varstva osebnih podatkov v zadnjih 20-ih letih.

Kaj uredba GDPR pomeni za nas posameznike?

Za nas posameznike (fizične osebe) bo uredba prinesla predvsem koristi, saj bomo kot posamezniki z novo uredbo dobili več pravic. Pogoji za obdelovanje naših osebnih podatkov bodo precej strogi, kot posameznik pa bomo morali jasno privoliti v vsako uporabo naših osebnih podatkov. Poleg tega bomo lahko svoje osebne podatke kadarkoli od enega ponudnika prenesli k drugemu ponudniku, od prvega pa zahtevali, da jih za vedno izbriše, kar pomeni da bomo uveljavil našo novo pravico do pozabe. Nova uredba nam omogoča, da se lahko pri ponudniku pozanimamo, katere informacije se pri njem o nas obdelujejo in za kakšne namene. Če povzamem, bomo posamezniki prišli do novih pravic, kot so: pravica do pozabe, popravka in izbrisa, seznanitev z dolžino hranjenja naših podatkov, prepoved aktivnosti, ki so posledica profiliranja, ipd.

Kaj uredba GDPR pomeni za podjetja, ustanove?

Za podjetja in ostale ustanove nova uredba prinaša poleg precej boljšega nadzora nad svojimi podatki, še eno dodatno breme.
Uredba namreč prinaša tudi nekaj sprememb v samem vodenju zbirk podatkov, v načinu pridobivanja podatkov, pri upravljanju pridobljenih podatkov in seveda pri varovanju ter varstvu le-teh. Podjetja in ustanove bodo za uskladitev in izvajanje GDPR uredbe morala še dodatno obremeniti svoje zaposlene ali celo dodatno zaposliti ljudi. Lahko pa se bodo za pomoč obrnili na katerega od zunanjih DPO izvajalcev. Več o tem kaj prinaša nova uredba GDPR za podjetja in ustanove si lahko preberete na spletni strani – www.gdpr-uredba.si

Je res, da mora podjetje ali ustanova obvezno imeti DPO-ja (pooblaščena oseba za varstvo podatkov)?

Trenutno je na trgu veliko zmede, saj precej agresiven nastop, predvsem pravnih pisarn, daje občutek, da je imenovanje te funkcije nujno, obvezno in da bomo podjetja v prekršku, če svojih pooblaščencev za varstvo osebnih podatkov (DPO-jev) ne bomo imenovali. To pa ne drži! Evropska zakonodaja namreč imenovanje pooblaščene osebe predvideva za tri točno določene primere, v drugih primerih pa DPO ni obvezen ampak je prosta odločitev vsakega podjetja.

Pooblaščenec mora biti nujno imenovan v primeru, da gre za javno ustanovo. K imenovanju so torej zavezane predvsem vladne ustanove in drugi akterji javnega sektorja. Pooblaščenca bodo morale nujno imenovati tudi podjetja in ustanove, ki redno in sistematsko obdelujejo veliko število osebnih podatkov, ter podjetja in ustanove, ki obdelujejo občutljive osebne.

Obenem je treba poudariti, da pooblaščena oseba za varstvo podatkov zaradi svojega neodvisnega statusa ne sme biti v podjetju zaposlen direktor, glavni finančnik, vodja informatike, vodja marketinga oziroma vodja kadrovske službe. DPO pooblaščenec mora biti popolnoma neodvisna oseba, ki ni v konfliktu interesa in lahko zagotovi popolno neodvisnost delovanja.

Kakšne so kazni za kršitve?

Nespoštovanje uredbe predvideva precej višje kazni za kršitve, kot smo jih do zdaj poznali pri nas. Tudi vse do 20 milijonov evrov ali štiri odstotke skupnega svetovnega letnega prometa v preteklem proračunskem letu.

Kaj lahko pričakujemo s strani inšpekcije?

V letu 2018 verjetno še lahko pričakujemo, da bo inšpekcija izdajala manjšim kršiteljem le opozorila. Nikakor pa ne bo mogla inšpekcija spregledati in samo opozarjati podjetja pri katerih bo šlo za večje kršitve varstva osebnih podatkov in tudi tista podjetja, ki bodo preprosto ignorirala novo uredbo GDPR in zakon ZVOP-2.

Pozor, 25. maj 2018 bo kmalu tu!

Kljub temu, da je datum 25. maj že zelo blizu pa veliko stvari še vedno ostaja odprtih za interpretacijo in verjetno bo, kot je po navadi pri vsakem novem zakonu potreben čas in praksa, ki bosta izoblikovala dokončni zakon.

Če imate podjetje, preverite, če morda uredba GDPR velja tudi za vas.
V kolikor ustrezate pogojem GDPR uredbe, vam priporočam, da se čim hitreje lotite uskladitve ali pa naročite analizo stanja v vašem podjetju.

V kolikor ste v dvomih, če vaše podjetje oz. ustanova ustreza kriterijem za uvedbo GDPR uredbe, me kontaktirate in bomo to skupaj preverili. – kontaktni obrazec

Za več informacij o GDPR uredbi in ponudbi obiščite spletno stran www.gdpr-uredba.si