25. maja 2018 se začne uporabljati evropska Splošna uredba o varstvu podatkov (General Data Protection Regulation – GDPR). Njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah EU. Ta za podjetja in druge organizacije, vključno z javnim sektorjem (zavezanci), prinaša nove izzive na področju zbiranja in obdelave (uporabe) osebnih podatkov, torej podatkov, ki se nanašajo na fizične osebe: naročnike, uporabnike, zaposlene, obiskovalce spletnih strani, udeležence nagradnih iger, prejemnike e-zinov in vse druge posameznike, s katerimi zavezanci prihajajo v stik.
Reči, da gre za revolucijo, bi bilo najbrž pretirano; prej gre za evolucijo, vendar – gledano s stališča zavezancev – na slabše.
Ni mogoče spregledati, da EU tokrat očitno misli smrtno resno: če so bile do zdaj kazni za kršitve prepuščene članicam in v Sloveniji malodane simbolične, po novem najvišja kazen znaša 20 milijonov EUR ali do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Tudi v primeru izreka nižjih glob bo moral nadzorni organ (Informacijski pooblaščenec) zagotoviti, da bodo te učinkovite, sorazmerne in odvračilne. Tehtanje, ali ni v določenih primerih ceneje plačati globe kot pa spremeniti poslovnega procesa ali modela, tako skoraj zagotovo odpade.
Vgrajeno in privzeto varstvo osebnih podatkov
Najpomembnejša zahteva GDPR-ja je zagotovo ta, da varovanje podatkov postane sestavni del poslovnih procesov in odločitev, in to že v času njihovega načrtovanja, nato pa tudi med njihovim izvajanjem, ter ideja, da naj bodo podatki, kadar je mogoče, psevdonimizirani. Posledično to pomeni, da bodo morali zavezanci najprej ugotoviti, kateri osebni podatki sploh prihajajo k njim, in nato zelo natančno spremljati, kaj se z njimi dogaja skozi njihovo »življenjsko dobo«, preden bodo sploh lahko sprejeli »ustrezne tehnične in organizacijske ukrepe« za njihovo varovanje. Pri tem dodaten izziv postavlja načelo minimalnega obsega podatkov, torej obdelava samo tistih podatkov, ki so nujno potrebni za doseganje določenega namena.
Novost je tudi obvezno poročanje o varnostnih incidentih, in sicer nadzornemu organu, v določenih primerih pa tudi posameznikom, ki so jim kompromitirali podatke.
Dopolnjena definicija osebnih podatkov; strožji pogoji za veljavnost privolitve za obdelavo
GDPR med osebne podatke po novem uvršča tudi lokacijske podatke (npr. podatke o povezovanju mobilnih naprav z baznimi postajami in geolokacijske podatke), t. i. spletne identifikatorje (IP, MAC naslovi) in genetske podatke.
Obenem GDPR zaostruje pogoje, ki morajo biti izpolnjeni, da se lahko privolitev za obdelavo osebnih podatkov (prostovoljna, izrecna, informirana in nedvoumna izjava) šteje za veljavno. Neveljavna privolitev pomeni nezakonito obdelavo, če zanjo ne obstaja kakšna druga podlaga. Pozabite torej na vnaprej obkljukana okenca, »skrivanje« privolitve v besedila splošnih pogojev ali pogodb ali pogojevanje sklenitve pogodbe ali zagotavljanja storitve s privolitvijo za obdelavo tistih osebnih podatkov, ki za izvedbo pogodbe ali zagotavljanje storitve niso nujno potrebni.
Ob podaji soglasja mora imeti posameznik možnost, da se seznani z nameni obdelave svojih podatkov, torej z informacijo o tem, za kaj vse se bodo njegovi podatki uporabljali.
Pooblaščena oseba za varstvo podatkov (DPO) in ocena učinka
Obdelava podatkov v javnem sektorju, obsežna obdelava občutljivih podatkov ter obsežno redno in sistematično spremljanje posameznikov (na primer, toda ne izključno, profiliranje) so primeri, ki po GDPR zahtevajo imenovanje »internega informacijskega pooblaščenca«, ki mora biti strokovnjak za varstvo podatkov, hkrati pa pri njem ne sme obstajati konflikt interesov (ne sme biti oseba, ki pri zavezancu določa namene obdelave osebnih podatkov).
Poleg ostalih zadolžitev DPO obvezno podaja mnenje pri pripravi ocene učinka v zvezi z varstvom podatkov, ki je obvezen predhodni korak (in dokument) v primerih, ko je možno, da bi lahko način obdelave podatkov, zlasti z uporabo novih tehnologij, povzročil veliko tveganje za pravice in svoboščine posameznikov. V določenih primerih pa bo dodatno potrebno še predhodno posvetovanje z Informacijskim pooblaščencem.
Čas za GDPR akcijo je … včeraj!
Glede na navedeno je jasno, da skladnosti z GDPR ni mogoče zagotoviti čez noč in/ali po principu »kopiraj-prilepi«, saj se je ukrepov in sprememb mogoče lotiti šele po temeljiti analizi stanja in poslovnih potreb. Do začetka uporabe GDPR je manj kot leto dni. Skrajni čas je torej, da takoj pristopite k ureditvi tega vedno bolj pomembnega področja.
Več o prihajajočih zahtevah, kako se z njimi spoprijeti ter o možnosti outsourcinga DPO si lahko preberete na tej povezavi.
Kaj se gredo, sedaj bodo zopet manjša podjetja trpela že tako imajo probleme z ostalimi stvarmi. Se bodo mogla ukvarjati še s tem, ni problema to za neko veliko podjetje, ki to na hitro spremeni ali pa celo zaobide in najde luknje v pravilih in je korak pred zakonom.
Še en zakon, ki je nesmiseln, kot so piškotki.
Ali menite, da je to prav? Facebook, Google zagotovo ne bo imel škode, saj ima že vse podatke. Kaj pa, če prijaviš podjetje v neko drugo državo, ki ni članica EU?
Igor,
popolnoma se strinjam, da je GDPR pretiravanje in da gredo stvari v napačno smer. Niso pa tukaj na udaru samo mala podjetja. Velika podjetja imajo precej večje probleme, ker morajo posodobiti vse svoje sisteme, pa tudi pravila za njih so precej strožja.
Selitev podjetja izven Evropske unije na žalost ne predstavlja nobene rešitve. Vsa podjetja, ne glede na lokacijo, morajo pri poslovanju v EU upoštevati GDPR.
Super zapis gospoda Jamnika. V branje predlagam tudi Andražev zapis, nadaljevanje tematike tukaj: https://www.red-orbit.si/blog/kako-bo-gdpr-oziroma-zvop-2-vplival-na-nase-delo.