Področje varstva osebnih podatkov je kompleksno področje. Vsi smo namreč občutljivi na podatke, na podlagi katerih nas lahko drugi identificirajo (in z njimi upravljajo). Ker se z razvojem tehnologije potreba po varnosti osebnih podatkov vedno bolj povečuje, je EU reagirala na tem področju in poskušala poenotiti varstvo osebnih podatkov po vseh državah članicah. Ker želimo, da je poslovanje naših strank (in vseh zainteresiranih) v vseh pogledih zakonito, smo poskrbeli tudi za to, da bo vaša interna zakonodaja skladna z novimi pravili o varstvu osebnih podatkov.

Z dnem 25. 5. 2018 se je namreč začela uporabljati Splošna uredba o varovanju osebnih podatkov (Splošna Uredba (EU) 2016/679; t. i. GDPR – General Data Protection Regulation), ki prinaša nekaj novosti na področju varovanja osebnih podatkov. Sicer Uredba v precejšnji meri ne odstopa od dosedanje ureditve varovanja osebnih podatkov, ki jo urejajo evropske nacionalne zakonodaje (v Sloveniji je to zaenkrat še veljaven Zakon o varstvu osebnih podatkov – ZVOP-1)), prinaša pa nekaj novosti (zaostritev), ki lahko vaše podjetje ob neupoštevanju njenih določb stanejo veliko denarja (zagrožene kazni so do 20.000,00 milijonov evrov oziroma do 4% letnega prometa, če ta presega višino denarne kazni).

Pravica do varstva osebnih podatkov predstavlja eno izmed temeljnih pravic in svoboščin, ki jih zagotavlja že Ustava Republike Slovenije (38. člen).

Splošna Uredba daje velik poudarek načelu odgovornosti, ki zavezuje upravljavce osebnih podatkov, da izvedejo ocene učinkov v zvezi z varstvom podatkov (t. i. DPIA). Gre za orodje, namenjeno pravočasnemu prepoznavanju tveganj, analizo in zmanjševanje tveganj ter posledično sprejemanje ustreznih ukrepov za obvladovanje tveganj, ki bi lahko pripeljala do kršitve zakonodaje. »Zaupanje v odgovorno ravnanje s podatki posameznikov bi moralo biti v informacijski družbi, kjer so osebni podatki najpomembnejša valuta, ključno« (vir: Informacijski pooblaščenec).

Po trenutno veljavni zakonodaji so osebni podatki kateri koli podatki, ki se nanašajo na posameznika, ne glede na njegovo izraženo obliko. Posameznik je fizična oseba, na katero se nanaša osebni podatek. Fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira na podlagi osebnih podatkov, obdelava osebnih podatkov pa pomeni kakršno koli delovanje ali niz delovanj, ki se izvaja v zvezi z osebnimi podatki (zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje, spreminjanje, vpogled, uporaba, širjenje ali drugo dajanje na razpolago …).

Cilj Uredbe je omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki in poenotiti ter dvigniti raven varstva osebnih podatkov po EU. Uredba v zvezi s tem zagotavlja poenoteno in usklajeno ukrepanje vseh držav članic.

Ena glavnih značilnosti, ki jih prinaša Uredba, je pravilo, da se osebni podatki lahko zbirajo in obdelujejo zgolj na podlagi izrecne privolitve oziroma soglasja posameznika. Gre za jasno, razumljivo, preverljivo in dokazljivo izjavo posamezniko, dano z nedvoumnim pritrdilnim soglasjem.

Podjetja morajo za nazaj preveriti tudi do sedaj podane privolitve in preveriti njihovo veljavnost.

Naslednja značilnost Uredbe je posameznikova pravica do preklica privolitve in pravico do umika soglasja. Prav tako mora posameznik imeti možnost biti seznanjen z vsemi evidencami, v katerih se hranijo njegovi osebni podatki ter na jasen in razumljiv način obveščen o tem, kako in na kakšen način ter namen se njegovi osebni podatki obdelujejo.

Ob pogoju, da določen predpis ne določa obveznosti vodenja osebnih podatkov, ima posameznik pravico do pozabe. Le-ta pomeni, da lahko posameznik zahteva, da se njegovi podatki kadar koli izbrišejo iz evidence (oziroma zbirke) osebnih podatkov.

Uredba uveljavlja tudi nov institut – pooblaščeno osebo za varstvo podatkov (t. i. »DPO«). Javni sektor ter podjetja, katere dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov (vsi upravljavci, ki se ukvarjajo s trženjem, banke, zavarovalnice, klubi zvestobe, kadrovske agencije …) morajo imenovati pooblaščeno osebo za varstvo osebnih podatkov, ki skrbi za zakonito in pravilno izvajanje varstva osebnih podatkov. »DPO« mora o vseh kršitvah najpozneje v 72 urah od ugotovitve nepravilnosti obvestiti nadzorstveni organ.

Podjetja morajo voditi tudi opis zbirk osebnih podatkov. Gre za zbirke (evidence) o osebnih podatkih posameznikov, ki morajo biti v internih aktih podjetja ustrezno opisane in popisane. Podatkov namreč ne moremo ustrezno varovati, če jih nismo nikoli preverili in popisali. Dokumentacije, ki opredeljujejo evidence zbirk osebnih podatkov, je potrebno osveževati, in prilagajati dejanski praksi ter potrebam.

Agencija SPIN d.o.o. kot eno izmed svojih storitev ponuja:

- možnost izvedbe ocene tveganja,

- uskladitev vaših pravilnikov z novo evropsko zakonodajo in

- zagotoviti pooblaščeno osebo, ki bo upravljala z vašimi osebnimi podatki.

GDPR bo nedvomno močno vplivala na poslovanje in delovanje javne uprave ter organizacij in podjetij, ki obdelujejo osebne podatke, saj bodo morala ta ustrezno uskladiti svoje delovanje in varovanje podatkov z novimi standardi in zahtevami.

Pokličite nas še danes! Ne pozabite, da so lahko kazni ob neupoštevanju Uredbe o varovanju osebnih podatkov, za vaše podjetje pogubne.