GDPR: Samo brez panike


Če ste v preteklosti osebne podatke pridobivali v skladu z zakonom (ZVOP-1) in upoštevali dobre prakse varstva osebnih podatkov, potem nimate razlogov za paniko.
Evropska direktiva GDPR, ki prinaša vseevropsko sistemsko ureditev varstva osebnih podatkov in je neposredno uporabljiv predpis, je dejansko)tu. V veljavo prehaja 25.2018, a če ste v preteklosti osebne podatke pridobivali v skladu z zakonom (ZVOP-1) in upoštevali dobre prakse varstva osebnih podatkov, potem nimate razlogov za paniko.

Mehek prehod
Čeprav GDPR na nekaterih področjih prinaša strožja pravila, ki jih bo seveda treba upoštevati, sam informacijski pooblaščenec miri žogo in sporoča, da ne bo že takoj na začetku izrekal novih (visokih) glob. Tudi v uradu informacijskega pooblaščenca se namreč zavedajo, da GDPR prinaša spremembe, ki jih povsod ni mogoče udejanjiti čez noč. Zato bodo sprva le svetovali in opozarjali, globe pa izrekali le v primerih eklatantnih kršitev ter v primerih, ko kršitelj tudi po opozorilu ne bo odpravil nepravilnosti. Kar mirno in brez panike torej.

Pomembna novost, ki jo prinaša GDPR, je tudi razlikovanje kršitev glede na njihovo težo in posledice. Ni enako, če predpise krši vaški vulkanizer, ki si v Excelovo tabelo na svojem računalniku zapisuje, katera stranka je naročila katere gume, ali veliko trgovsko podjetje z velikansko bazo podatkov o kupcih, na katerih izvaja ciljane marketinške aktivnosti.

10 najpomembnejših novosti
Kljub temu naštejmo 10 najpomembnejših novosti, ki jih prinaša GDPR:
  1. Soglasje za obdelavo osebnih podatkov: Kadar se osebni podatki zbirajo na podlagi osebne privolitve (ko za zbiranje in obdelavo ni neposredne pravne podlage v zakonu), mora biti privolitev osebe dana prostovoljno in za točno določen namen. Zato je pomembno v obrazcih za zbiranje osebnih podatkov točno opredeliti namen zbiranja (npr. marketinške aktivnosti). Potrebna je tudi izrecna privolitev posameznika, kar v primeru spletnih obrazcev pomeni t.i. načelo opt-in. Rešitev, kjer je že vnaprej obkljukana opcija, da uporabnik soglaša z zbiranjem in obdelavo njegovih podatkov (opt-out) ni več dovoljena.
  2. Stara soglasja oz. osebne privolitve za obdelavo osebnih podatkov morda niso več veljavne: Če pri zbiranju soglasij ni bilo podano točno obvestilo, za kaj se bodo zbrani podatki uporabljali, in/ali če ni bilo uporabljeno načelo opt-in, je za tako zbrane osebne podatke treba pridobiti novo soglasje, ki je podano v skladu z GDPR. V nasprotnem primeru se takšnih podatkov ne sme več uporabljati.
  3. Seznanitev z osebnimi podatki: Čeprav je pravico posameznika do seznanitve določal že ZVOP-1, upravljavci večinoma niso bili dobro seznanjeni, da morajo na zahtevo posameznika le-temu omogočiti vpogled v njegove osebne podatke. GDPR to ureja še bolj izrecno in hkrati določa, da mora upravljavec podatke posredovati v strukturirani in strojno berljivi obliki. To zagotavlja tudi pravico do prenosljivosti podatkov.
  4. Pravica do popravka: Posameznik ima pravico zahtevati, da upravljavec popravi osebne podatke o njem, če so ti netočni. Če je upravljavec podatke posredoval tretji osebi, mora obvestiti tudi slednjo, da prav tako popravi podatke o konkretnem posamezniku.
  5. Pravica do pozabe: GDPR upravljavcu nalaga, da mora podatke o posamezniku izbrisati, ko ni več upravičenega razloga za njihovo obdelavo. Prav tako mora podatke izbrisati, če posameznik umakne soglasje za obdelavo in še v nekaterih drugih primerih. Pavšalna hramba ‘za vedno’ po novem ni več dovoljena. Način za preklic soglasja za obdelavo osebnih podatkov mora biti enako enostaven kot podaja soglasja. To pomeni, da ni dovoljeno, da bi za podatke, zbrane prek spletnega obrazca, zahtevali, da lahko posameznik umakne soglasje le z dopisom, poslanim prek klasične pošte.
  6. Pregledne in enostavno dostopne informacije o obdelavi podatkov: Po novem niso več dovoljeni zapleteni in v pravniško latovščino zaviti splošni pogoji. Informacije o varstvu osebnih podatkov ter njihovem zbiranju in obdelavi morajo biti zapisane jasno, razumljivo in pregledno.
  7. Obveznost obveščanja o kršitvah: Upravljavec mora v primeru kršitve (npr. vdor v bazo, odtujitev podatkov, sum na zlorabo) brez odlašanja, najkasneje pa v 72 urah, obvestiti informacijskega pooblaščenca. V nekaterih primerih mora obvestiti tudi posameznike.
  8. Evidenca obdelav in dostopov: Upravljavcu po novem ni več treba prijavljati zbirk osebnih podatkov informacijskemu pooblaščencu, morajo pa nekateri upravljavci voditi evidenco dejavnosti obdelave. Prav tako mora biti zagotovljena sledljivost dostopanja do osebnih podatkov. Z drugimi besedami, dostopi do osebnih podatkov se morajo beležiti.
  9. Odgovornost upravljavca za podizvajalce: Če upravljavec osebnih podatkov najame podizvajalca, je še vedno tudi sam odgovoren za kršitve. To je še posebej pomembno pri najemanju zunanjih ponudnikov informacijskih storitev (tudi storitev v oblaku), kjer se mora upravljavec pred najemom takšnega ponudnika ali storitve prepričati, ali ta deluje v skladu z GDPR.
  10. Nadzor ’vse na enem mestu’: Če obdelava osebnih podatkov poteka v več kot eni državi članici EU, bo za spremljanje vseh dejavnosti po GDPR načeloma pristojen en sam, t.i. Vodilni nadzorni organ. To je organ, ki se nahaja v državi, v kateri je glavna ali edina enota upravljavca osebnih podatkov.

Zdrava pamet
Podatki zbrani iz vizitk seveda ne zahtevajo soglasja, predaja vizitke je že sama po sebi v praksi soglasje. V nekaterih poslovnih primerih bo morda potrebna kaka sprememba v trženju, poslovnih procesih ter informacijskih rešitvah, a v luči zlorab osebnih podatkov širom sveta, ki v zadnjih mesecih prihajajo na dan, naj GDPR ne bo breme, temveč spodbuda za še bolj skrbno in odgovorno ravnanje z enim največjih bogastev 21. stoletja.