VARSTVO OSEBNIH PODATKOV

Nova evropska Uredba o varstvu podatkov – Uredba, ki je bila sprejeta aprila 2016, prinaša novo, enotno in posodobljeno zakonodajo o varstvu osebnih podatkov, ki se bo uporabljala v vseh državah članicah EU.

S spremembo organizacije poslovanja, politike zasebnosti, notranjih aktov in podobnih aktivnosti, se bodo morali novi zakonodaji prilagoditi vsi javni in večina zasebnih subjektov in sicer najkasneje do 25. maja 2018, ko se prične nova evropska zakonodaj uporabljati v vseh državah članicah EU.

Po novem ima posameznik, državljan EU, bistveno več pravic.  Tako ima med drugim pravico do več informacij o morebitnem zbiranju oziroma drugi vrsti obdelave osebnih podatkov. Lahko bo zahteval izbris podatkov ali prenos podatkov k drugemu subjektu. Privolitev v obdelavo bo morala biti jasna, izrecna ter nedvoumna z možnostjo kasnejše odpovedi oziroma prepovedi obdelave.

Sorazmerno glede na okrepljene pravice posameznikov se krepijo tudi obveznosti upravljavcev in pogodbenih obdelovalcev osebnih podatkov  (subjektov, ki obdelujejo podatke).

Posebno pozornost bo treba nameniti morebitnim zunanjim izvajalcem (pogodbenim obdelovalcem), ki z novo Uredbo dobivajo nove odgovornosti.  Še posebej nas mora zanimati kje (strežniki, oblačne storitve) se osebni podatki nahajajo in na kakšen način ter za kakšno obdobje se shranjujejo.

Ob morebitnih incidentih (izgube dokumentov z vsebovanimi osebnimi podatki v fizični ali IT obliki) bo po novem obvezno obveščanje nadzornega organa in posameznikov katerih osebni podatki so bili izgubljeni.

Nacionalnemu nadzorniku bo treba v vsakem trenutku dokazati, da so zahteve iz Uredbe izpolnjene.

Zakonodaji o varstvu osebnih podatkov se morajo prilagoditi vsi javni in zasebni poslovni subjekti, ki obdelujejo osebne podatke. V praksi to pomeni, da zahtevam Uredbe podležejo vsi subjekti, tako tisti najmanjši, ki npr. zaposlujejo zgolj enega delavca in obdelujejo »njegove« osebne podatke, kot tisti, ki v velikem obsegu obdelujejo podatke strank, kupcev, pacientov ipd., ter seveda vsi, ki se znajdejo vmes, med obema skrajnostnima. Še posebej pazljivi bodo morali biti subjekti, ki zbirajo občutljive oziroma po novi uredbi tako imenovane posebne kategorije osebnih podatkov (rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo).

Pravila Uredbe veljajo tako za obveznosti varovanja osebnih podatkov zaposlenih (vključno s podatki o družinskih članih) kot tudi tretjih oseb, kot so na primer osebni podatki o kupcih, strankah, pogodbenih partnerjih in pacientih.

Najbolje je, da vsi subjekti v prvi fazi natančno preverite trenutno stanje ravnanja z osebnimi podatki pri svojih delovnih procesih. Ko podrobneje analizirate vse točke, kjer se osebni podatki zbirajo, hranijo ali kako drugače obdelujejo, morate vse dobljene rezultate preveriti glede skladnosti z zahtevami Uredbe. To lahko naredite ali sami ali s pomočjo zunanjega strokovnjaka – DPO. Po ugotovitvi stopnje skladnosti mora slediti priprava ukrepov in prenova (organizacijska, pravna, tehnična) oziroma prilagoditev poslovanja novim zahtevam za zagotovitev skladnosti poslovanja v praksi. Treba je poskrbeti za osveščanje ter redno letno usposabljanje vseh zaposlenih v zvezi s pravilnim ravnanjem z osebnimi podatki. Za vse navedeno si je treba vzeti vsaj 6 mesecev časa, zato je z aktivnostmi treba pohiteti. Za pomoč kontaktirajte Dataofficer d.o.o.

Korak 1: Dvig osveščenosti o pomembnosti varovanja osebnih podatkov

• Vodstvo in ključni družbeniki so se dolžni seznaniti z Uredbo in vplivi le te na poslovanje,
• vodstvo je dolžno zagotoviti sredstva in kadre za zagotovitev skladnosti poslovanja z Uredbo.

Korak 2: Pregled skladnosti z novo evropsko zakonodajo o varstvu osebnih podatkov

• Ali ste skladni s trenutno veljavno zakonodajo s področja varstva osebnih podatkov?
• Koliko osebnih podatkov posameznikov (tudi zaposlenih) obdelujete in za kakšen namen?
• Ali obdelujete tudi posebne (občutljive) osebne podatke?
• Kakšen je proces obdelave osebnih podatkov, kdo dostopa do njih in kakšen je sistem fizičnega ali tehničnega varovanja?
• Na kakšen način trenutno varujete osebne podatke?
• Kako dobro dokumentirate postopke varovanja podatkov?

Korak 3: Določite korake in področja, ki zahtevajo takojšno obravnavo. Prednostna obravnava bo odvisna od narave vašega poslovanja in načina obdelave osebnih podatkov.

Nedvomno štejemo med osebne podatke kombinacijo imena fizične osebe, priimka ter naslova, pa tudi EMŠO, davčno številko, številko zdravstvenega zavarovanja, elektronski naslov, telefonsko številko ipd. Ko nas zanima ali je določen podatek osebni podatek je pri tem ključno vprašanje ali je ta podatek možno povezati z določljivim posameznikom.

Na podlagi 1. odstavka 4. člena Uredbe osebni podatek pomeni katerokoli informacijo v zvezi z določenimim ali določljivim posameznikom:

»Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo idetifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genestsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.«

NOVO: Uredba med osebne podatke uvršča tudi genetske podatke in spletne identifikatorje.

Na podlagi 2. odstavka 4. člen Uredbe “obdelava” pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

POMEMBNO: Med obdelavo tako uvrščamo že zbiranje elektronskih naslov in hranjenje seznamov v različnih bazah ali registrih (kupcev, poslovnih partnerjev ipd..). Za vnos, vpogled ali druge vrste obdelave je treba vzpostaviti sistem fizičnega in tehničnega varovanja ter sprejeti zavezujoča notranja pravila.