Naj vas GDPR ne preseneti

Objavljeno v ponedeljek, 14. avgust 2017 v kategoriji Digitalni marketing. Članek za 3 min branja • Piše:

Matija Jamnik

25. maja 2018 se začne uporabljati evropska Splošna uredba o varstvu podatkov (General Data Protection Regulation – GDPR). Njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah EU. Ta za podjetja in druge organizacije, vključno z javnim sektorjem (zavezanci), prinaša nove izzive na področju zbiranja in obdelave (uporabe) osebnih podatkov, torej podatkov, ki se nanašajo na fizične osebe: naročnike, uporabnike, zaposlene, obiskovalce spletnih strani, udeležence nagradnih iger, prejemnike e-zinov in vse druge posameznike, s katerimi zavezanci prihajajo v stik.

Reči, da gre za revolucijo, bi bilo najbrž pretirano; prej gre za evolucijo, vendar – gledano s stališča zavezancev – na slabše.

Ni mogoče spregledati, da EU tokrat očitno misli smrtno resno: če so bile do zdaj kazni za kršitve prepuščene članicam in v Sloveniji malodane simbolične, po novem najvišja kazen znaša 20 milijonov EUR ali do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Tudi v primeru izreka nižjih glob bo moral nadzorni organ (Informacijski pooblaščenec) zagotoviti, da bodo te učinkovite, sorazmerne in odvračilne. Tehtanje, ali ni v določenih primerih ceneje plačati globe kot pa spremeniti poslovnega procesa ali modela, tako skoraj zagotovo odpade.

Vgrajeno in privzeto varstvo osebnih podatkov

Najpomembnejša zahteva GDPR-ja je zagotovo ta, da varovanje podatkov postane sestavni del poslovnih procesov in odločitev, in to že v času njihovega načrtovanja, nato pa tudi med njihovim izvajanjem, ter ideja, da naj bodo podatki, kadar je mogoče, psevdonimizirani. Posledično to pomeni, da bodo morali zavezanci najprej ugotoviti, kateri osebni podatki sploh prihajajo k njim, in nato zelo natančno spremljati, kaj se z njimi dogaja skozi njihovo »življenjsko dobo«, preden bodo sploh lahko sprejeli »ustrezne tehnične in organizacijske ukrepe« za njihovo varovanje. Pri tem dodaten izziv postavlja načelo minimalnega obsega podatkov, torej obdelava samo tistih podatkov, ki so nujno potrebni za doseganje določenega namena.

Novost je tudi obvezno poročanje o varnostnih incidentih, in sicer nadzornemu organu, v določenih primerih pa tudi posameznikom, ki so jim kompromitirali podatke.

Dopolnjena definicija osebnih podatkov; strožji pogoji za veljavnost privolitve za obdelavo

GDPR med osebne podatke po novem uvršča tudi lokacijske podatke (npr. podatke o povezovanju mobilnih naprav z baznimi postajami in geolokacijske podatke), t. i. spletne identifikatorje (IP, MAC naslovi) in genetske podatke.

Obenem GDPR zaostruje pogoje, ki morajo biti izpolnjeni, da se lahko privolitev za obdelavo osebnih podatkov (prostovoljna, izrecna, informirana in nedvoumna izjava) šteje za veljavno. Neveljavna privolitev pomeni nezakonito obdelavo, če zanjo ne obstaja kakšna druga podlaga. Pozabite torej na vnaprej obkljukana okenca, »skrivanje« privolitve v besedila splošnih pogojev ali pogodb ali pogojevanje sklenitve pogodbe ali zagotavljanja storitve s privolitvijo za obdelavo tistih osebnih podatkov, ki za izvedbo pogodbe ali zagotavljanje storitve niso nujno potrebni.

Ob podaji soglasja mora imeti posameznik možnost, da se seznani z nameni obdelave svojih podatkov, torej z informacijo o tem, za kaj vse se bodo njegovi podatki uporabljali.

Pooblaščena oseba za varstvo podatkov (DPO) in ocena učinka

Obdelava podatkov v javnem sektorju, obsežna obdelava občutljivih podatkov ter obsežno redno in sistematično spremljanje posameznikov (na primer, toda ne izključno, profiliranje) so primeri, ki po GDPR zahtevajo imenovanje »internega informacijskega pooblaščenca«, ki mora biti strokovnjak za varstvo podatkov, hkrati pa pri njem ne sme obstajati konflikt interesov (ne sme biti oseba, ki pri zavezancu določa namene obdelave osebnih podatkov).

Poleg ostalih zadolžitev DPO obvezno podaja mnenje pri pripravi ocene učinka v zvezi z varstvom podatkov, ki je obvezen predhodni korak (in dokument) v primerih, ko je možno, da bi lahko način obdelave podatkov, zlasti z uporabo novih tehnologij, povzročil veliko tveganje za pravice in svoboščine posameznikov. V določenih primerih pa bo dodatno potrebno še predhodno posvetovanje z Informacijskim pooblaščencem.

Čas za GDPR akcijo je … včeraj!

Glede na navedeno je jasno, da skladnosti z GDPR ni mogoče zagotoviti čez noč in/ali po principu »kopiraj-prilepi«, saj se je ukrepov in sprememb mogoče lotiti šele po temeljiti analizi stanja in poslovnih potreb. Do začetka uporabe GDPR je manj kot leto dni. Skrajni čas je torej, da takoj pristopite k ureditvi tega vedno bolj pomembnega področja.

 

Več o prihajajočih zahtevah, kako se z njimi spoprijeti ter o možnosti outsourcinga DPO si lahko preberete na tej povezavi.

Še vedno tukaj?
Vprašanje? Zapišite ga v komentar spodaj, pa ga skupaj predebatiramo.

Dodaj odgovor