Finance Wiki: GDPR

Osveženo: 24.05.2023 15:27

V nadaljevanju med drugim odgovarjamo na vprašanja:

  • Kaj se spreminja za podjetja z novimi pravili o varstvu osebnih podatkov?
  • Kako pravilno do privolitve za zbiranje osebnih podatkov?
  • Kdo je pooblaščena oseba za varstvo osebnih podatkov?
  • Kaj je pravica do pozabe?

Vsebina

  • Ključni pojmi

    Osebni podatki so katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

    Profiliranje je vsaka oblika avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.

    Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.

    Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

    Privolitev pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, da se strinja z obdelavo osebnih podatkov, ki se nanašajo nanj.

    Obdelava je vsako dejanje ali niz dejanj, ki se izvajajo v zvezi z osebnimi podatki, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

    Psevdonimizacija pomeni tako obdelavo osebnih podatkov, da teh brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku.

    Anonimizirani podatki so tisti, po katerih posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv.

    Posebne vrste osebnih podatkov so poleg podatkov v zvezi z zdravjem tudi osebni podatki, ki razkrivajo rasno ali etnično pripadnost, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in genski podatki, biometrični podatki, kadar se obdelujejo za namene edinstvene identifikacije posameznika, ter podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

  • Pogoji za obdelavo osebnih podatkov

    Obdelava je zakonita le, če je izpolnjen vsaj eden od teh pogojev:

    1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo svojih osebnih podatkov za enega ali več določenih namenov;
    2. obdelava je potrebna za izvajanje pogodbe (denimo kreditne pogodbe);
    3. obdelava je potrebna za izpolnitev zakonske obveznosti;
    4. obdelava je potrebna za zaščito življenjskih interesov posameznika;
    5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
    6. obdelava je potrebna zaradi zakonitih interesov.
  • Privolitev v zbiranje osebnih podatkov

    Privolitev mora biti dana jasno, prostovoljno, specifično, ozaveščeno in nedvoumno. Dana mora biti z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim. Lahko je pisna, ustna, izražena z elektronskimi sredstvi.

    Neveljavne privolitve - molk ali nedejavnost ne pomenita privolitve. Dokazno breme, da je uporabnik res dal privolitev, je na obdelovalcu osebnih podatkov. Polje za privolitev ne sme biti vnaprej izpolnjeno (izjava ne sme biti že vnaprej odkljukana).

    Če obstaja očitno neravnotežje med upravljavcem osebnih podatkov in posameznikom, potem privolitev ne more biti veljavna podlaga za zbiranje osebnih podatkov. Denimo med zaposlenim in delodajalcem – delodajalec je tisti na položaju moči in malo verjetno je, da bi zaposleni brez strahu ali tveganja zavrnil zbiranje ali obdelavo svojih osebnih podatkov.

    Če se posameznik počuti prisiljenega, da privolitev za zbiranje osebnih podatkov da, ali je ne more zavrniti brez posledic, potem ta ne bo veljavna. Podjetje ali organizacija mora pokazati, da če nekdo ne da privolitve za zbiranje podatkov, zanj ne bo negativnih posledic.

    Privolitev ne sme biti skrita med splošnimi pogoji.

    Uporabnik jo lahko prekliče tako preprosto, kot jo je dal.

    Prosto dana – privolitev mora biti prostovoljna, prosto dana. Če jo posameznik zavrne, zanj ne sme biti posledic. To pomeni, da ima uporabnik res izbiro. Če se počuti prisiljenega, da privolitev za zbiranje osebnih podatkov da, ali je ne more zavrniti brez posledic, potem ta ni veljavna. Podjetje ali organizacija mora pokazati, da če nekdo ne da privolitve za zbiranje podatkov, zanj ne bo negativnih posledic.

    Granularnost/večnamenskost – privolitev mora biti granularna, torej večnamenska: ob različnih namenih obdelave je treba dati privolitev za vsak namen posebej. Če ima neka storitev več namenov obdelave, se lahko posameznik sam odloči, kateri nameni obdelave so zanj sprejemljivi.

    Torej, uporabnik ne sme biti »prisiljen«, da sprejme cel kup namenov obdelave. Trgovina v okviru ene privolitve ne sme prositi za soglasje, da vam mesečno pošilja bilten in da vaše podatke deli z drugimi podjetji v skupini. Ta privolitev ne bo veljavna. Če želi obdelovalec osebnih podatkov pridobiti privolitev za več različnih namenov, mora pripraviti različne privolitve.

    Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov. Oziroma če privolitev ni granularna (pa bi morala biti), bo neveljavna.

    Informiranost – posameznik mora, preden da privolitev, dobiti dovolj podatkov, da lahko sprejme informirano odločitev. Poznati mora identiteto upravljavca, vedeti za namen zbiranja podatkov, za katerega želi privolitev, kateri podatki bodo zbrani in uporabljeni, informacije, povezane z avtomatiziranim sprejemanjem posameznih odločitev, vključno z oblikovanjem profilov; če bodo podatki uporabljeni pri izmenjavi podatkov s tretjimi državami, je treba uporabnika obvestiti o tveganjih, povezanih s tem.
  • Pooblaščena oseba za varstvo osebnih podatkov

    Pooblaščena oseba za varstvo osebnih podatkov mora obdelovalcu ali upravljavcu osebnih podatkov neodvisno pomagati pri zagotavljanju skladnosti obdelave osebnih podatkov z GDPR. Pooblaščenec je tudi tisti, ki mora sodelovati z nadzornim organom in biti kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

    Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov navežejo stik glede vseh vprašanj, povezanih z obdelavo svojih osebnih podatkov in uresničevanjem svojih pravic.

    Pooblaščeno osebo za varstvo podatkov morajo imenovati:

    • vsi upravljavci ali obdelovalci osebnih podatkov v javnem sektorju – šole, vrtci, javne agencije, knjižnice, zdravstveni domovi ...;
    • tisti v zasebnem sektorju, katerih temeljne dejavnosti zajemajo takšne obdelave osebnih podatkov, ki vključujejo redno, sistematično spremljanje. Torej tisti, ki svoje stranke profilirate (banke, trgovci s klubi zvestobe, operaterji ...);
    • tisti, ki osebne podatke obdelujejo v zvezi s kazenskimi obsodbami in prekrški;
    • tisti, ki obdelujejo posebne vrste osebnih podatkov. Tu gre za podatke, ki razkrivajo rasno ali etično pripadnost, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, spolno usmerjenost ...

    Podjetja, ki ne ustrezajo zgornjim opisom (obdelava osebnih podatkov ne sodi med temeljne dejavnosti podjetja), lahko pooblaščeno osebo prostovoljno tudi imenujejo.

    Imenovanje pooblaščene osebe – pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca. To se splača, če ima pooblaščena oseba v podjetju za osem ur dnevnega dela. Pooblaščena oseba lahko naloge opravlja tudi na podlagi pogodbe o storitvah.

    Povezane družbe lahko imenujejo eno pooblaščeno osebo. Do nje morajo imeti vsi dostop (torej vse enote družbe ali skupine).

    Skupno pooblaščeno osebo imajo lahko združenja in druga telesa, ki pomenijo vrste upravljavcev ali obdelovalcev. Pooblaščena oseba za varstvo podatkov tako lahko deluje v imenu teh združenj.
  • Ocena učinka v zvezi z varstvom podatkov

    Ocena učinka je potrebna, ko je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki pomenijo podobna velika tveganja.

    Ocena učinka se zahteva zlasti pri:

    • sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno s profiliranjem, in je podlaga za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj podobno precej vplivajo, denimo avtomatizirano odločanje o (ne)dodelitvi posojila na banki;
    • obsežni obdelavi posebnih vrst podatkov (dozdajšnji občutljivi osebni podatki);
    • obsežnem sistematičnem spremljanju javno dostopnega območja, denimo videonadzor.

    Ocena mora zajemati vsaj:

    • sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si prizadeva upravljavec;
    • oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;
    • oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki;
    • ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic.

    Ocena lahko zavzema posamezen proces obdelav osebnih podatkov ali pa se nanaša na več procesov (podobnih) obdelav osebnih podatkov. Taki, podobni, primeri so denimo uvedba videonadzora v stavbi, kjer je več podjetij, uvedba sistema za nakup vozovnic, ki bo v uporabi na večjem številu prodajnih mest (in ima enega upravljavca), ali pa obsežna nagradna igra, kjer bo podatke sodelujočih dobilo več podjetij (skupni upravljavci).

    Ocena je obveznost upravljavca, a dodajmo, ni odgovornost pooblaščene osebe za varstvo osebnih podatkov, čeprav je dobro, da pri njej sodeluje. Kot je pojasnjeno v smernicah urada informacijskega pooblaščenca, bo priprava ocene učinka varstva osebnih podatkov velikokrat zahtevala sodelovanje različnih služb znotraj upravljavca (pravna služba, služba za IT, pogosto tudi služba za trženje, služba za informacijsko varnost). Pooblaščena oseba pa lahko predlaga, kdaj je treba izvesti oceno učinka, pomaga pri izbiri metodologije, pri oceni tveganj.
  • Profiliranje

    GDPR profiliranje oziroma oblikovanje profilov definira kot »vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika«.

    Dva primera profiliranja:

    • spletna trgovina, ki spremlja nakupne navade in stranki prikazuje ponudbo, prilagojeno temu;
    • spletni medij, ki prikazuje članke, ki jih bralec še ni prebral.
    In če se izkaže, da profilirate, potrebujete pooblaščeno osebo za varstvo podatkov, pred začetkom obdelave podatkov pa še najverjetneje oceno učinkov na varstvo osebnih podatkov.
  • Hramba podatkov

    Podatkov ne smete hraniti, kolikor časa želite. Načeloma pri hrambi velja: toliko časa, kolikor je potrebno za izpolnitev namena. Hraniti jih ne smete niti po tem, ko uporabnik prekliče svojo privolitev v zbiranje osebnih podatkov.

    Ko so nameni hrambe doseženi, je treba osebne podatke izbrisati ali anonimizirati, razen če je daljši rok hrambe potreben za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne, statistične namene, pojasnjuje informacijska pooblaščenka Mojca Prelesnik.

    Če zakon za posamezno obdelavo določa drugačen rok (davčna zakonodaja, delovnopravna zakonodaja …), potem upoštevate tega.

    Osebni podatki, ki se obdelujejo za namene izvajanja pogodb, se lahko hranijo toliko časa, kolikor je potrebno za namene izvajanja pogodb ali za namene uveljavljanja, izvajanja ali obrambe pravnih zahtevkov, ki izvirajo iz pogodbenega razmerja, pojasnjuje informacijska pooblaščenka. Po prekinitvi (razveljavitvi ali razdrtju ali prenehanju) pogodbe je, če zakon za posamezne primere ne določa drugače, osebne podatke, ki so bili zbrani in so se obdelovali za namene izpolnjevanja pogodb, dopustno hraniti še toliko časa, dokler postopki, v okviru katerih se uveljavljajo, izvajajo ali branijo pravni zahtevki, niso končani. Če do takšnih postopkov ne pride, pa največ do roka, ko takšni zahtevki zastarajo, pri čemer se lahko upošteva splošni zastaralni rok petih let iz obligacijskega zakonika.

  • Pravica do pozabe oziroma izbrisa

    Posameznik ima pravico, da upravljavec osebnih podatkov te izbriše brez nepotrebnega odlašanja. Posameznik tako lahko zahteva izbris, ko osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani. Prav tako lahko prekliče privolitev, če so bili osebni podatki obdelani nezakonito, ali ugovarja obdelavi (denimo pri neposrednem trženju ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadarkoli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja).

    Če se podatki vodijo na podlagi zakona (denimo davčno, delovnopravno področje), potem posameznik ne bo mogel doseči izbrisa, podobno ne bo mogel doseči izbrisa tam, kjer prevladajo drugi interesi in pravice (javni interes, pravica od obveščanja, zgodovinskoraziskovalni nameni …).

    Vsak primer mora biti obravnavan individualno in skrbno pretehtan, katera pravica prevlada.

  • Uničenje in izbris podatkov

    Vseh osebnih podatkov o strankah, kupcih ne smete hraniti v nedogled. Rok hrambe mora biti omejen na najkrajše možno obdobje, predvideva uredba GDPR. Nekateri zakoni pa dovoljujejo oziroma celo nalagajo, da se osebni podatki hranijo dlje, pojasnjuje Matija Jamnik, odvetnik in direktor Odvetniške pisarne Jamnik. Kot primer navaja obvezno hrambo izdanih faktur.

    Seveda so pravila tudi pri drugih zakonskih podlagah za zbiranje in obdelavo osebnih podatkov. Pri pogodbi je tako rok hrambe odvisen od poteka njenih rokov. Pri privolitvi morate podatke načeloma izbrisati, ko posameznik, na katerega se osebni podatki nanašajo, privolitev prekliče.

    »Podatkov, za katere ne obstaja ena od zakonitih podlag, ne smemo obdelovati; če jih imamo – že samo hramba se šteje za obdelavo –, jih moramo izbrisati ali učinkovito anonimizirati,« pojasnjuje Jamnik.

    GDPR napotkov glede uničenja ali izbrisa podatkov ne daje. Izbris oziroma uničenje načeloma pomeni trajno odstranitev osebnih podatkov. In to tako, da jih ni več mogoče obnoviti. Seveda pa mora biti tudi med procesom uničevanja dobro poskrbljeno za varnost osebnih podatkov.

    Torej je jasno, da prestavitev datoteke v »koš« na namizju, raztrganje papirja na dva kosa ali odložitev v zabojnik za smeti ne bodo dovolj učinkoviti. Uničenje ali izbris mora biti učinkovit. Kot za vse ukrepe varstva podatkov tudi za izbris in uničenje velja, da mora biti postopek prilagojen tveganjem.

    Pa varnostne kopije? Tu je nekaj več nejasnosti. GDPR ne daje neposrednega odgovora, čeprav je tudi to resna in za marsikoga zelo realna težava.

    Kaj torej storiti s podatki, ki jih imate na varnostnih kopijah? »Morda bi se lahko sklicevali na zakonit interes. Seveda pa bo to težje pri deset let starih rezervah (backup),« pravi Jamnik.

    Anonimizacija je alternativa izbrisu. Anonimizirani podatki se ne štejejo za osebne podatke. To so podatki, po katerih posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. »Past anonimizacije je v tem, da ni vnaprejšnjega pravila, katere podatke v nekem nizu je treba odstraniti ali predrugačiti, da iz preostanka podatkov ni več mogoče določiti posameznika. Le redko bo morda dovolj, da pobrišemo ime in priimek, v nekaterih primerih pa bomo lahko pustili en sam podatek, a bo še vedno razkrival, na koga se oziroma bi se lahko nanašal,« opozarja Jamnik.

    Če se boste v podjetju odločili za anonimiziranje podatkov, pa to ne pomeni, da bodo ti podatki neuporabni. Saj so ti podatki še vedno lahko dragoceni za statistiko, analize, integriteto baz …

  • Pravica do popravka

    Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik ima tudi pravico do dopolnitve nepopolnih osebnih podatkov.

  • Prenosljivost osebnih podatkov

    Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme svoje osebne podatke, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.

    Hkrati ima pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga prvotni upravljavec pri tem oviral. To velja, ko obdelava temelji na privolitvi in se obdelava izvaja z avtomatiziranimi sredstvi. Kadar je tehnično izvedljivo, ima posameznik pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu.

    A to ne velja pri vseh podatkih. Da obdelava osebnih podatkov sodi pod pravico do prenosljivosti, mora temeljiti na:

    • privolitvi posameznika, na katerega se nanašajo osebni podatki,
    • pogodbi med posameznikom in upravljavcem.

    Če obdelava podatkov temelji na kateri izmed drugih podlag (če je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu ...), pravica do prenosljivosti ne velja.

    Delovna skupina 29 med primeri podatkov, ki so prenosljivi, navaja naslove knjig, ki jih posameznik kupi v spletni knjigarni.

    Kar zadeva podatke delodajalcev, se pravica do prenosljivosti podatkov ponavadi uporablja le, če obdelava temelji na pogodbi med posameznikom in delodajalcem. V številnih primerih se privolitev v tem smislu zaradi neuravnoteženosti moči med delodajalcem in zaposlenim ne bo štela za dano prostovoljno.

    Pravica do prenosljivosti podatkov se uporablja le, če se obdelava podatkov izvaja z avtomatiziranimi sredstvi (informacijska tehnologija), torej ne zajema večine papirnih datotek.

    Delovna skupina 29 ugotavlja, da morata za prenos biti izpolnjena dva pogoja:

    • osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki – sem sodijo le osebni podatki, med njimi so tudi psevdonimizirani podatki (te je še vedno mogoče povezati s posameznikom), ne pa tudi anonimizirani podatki;
    • podatki, ki jih je posameznik posredoval upravljavcu podatkov – ne gre le za podatke, ki jih je posameznik »zavestno« posredoval upravljavcu, ampak tudi za podatke, ki nastanejo iz spremljanja njegove dejavnosti (denimo zgodovina iskanja).

    Pri vsem tem je treba biti pozoren tudi na to, da s posredovanjem podatkov enega posameznika ne posredujete tudi podatkov posameznikov, ki privolitve niso dali.

  • Pravica do dostopa

    Pravica do dostopa je opredeljena kot pravica posameznika, na katerega se nanašajo osebni podatki, da lahko dostopa do osebnih podatkov in do namena njihove obdelave. Posameznik ima pravico tudi do dostopa do informacij o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti ko gre za uporabnike tretjih držav ali mednarodnih organizacijah. Kadar je mogoče, pa ima posameznik pravico dostopati tudi do predvidenega obdobja hrambe osebnih podatkov ali, če to ni mogoče, meril, ki se uporabljajo za določitev tega obdobja.

  • Varnost obdelave in kršitve

    Upravljavec in obdelovalec morata z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Vključeni morajo biti ti ukrepi (glede na ustreznost):

    • psevdonimizacija in šifriranje osebnih podatkov;
    • zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov ter storitev za obdelavo osebnih podatkov;
    • zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
    • redno testiranje, ocenjevanje in vrednotenje učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

    Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava. Upravljavec in obdelovalec morata zagotoviti, da katerakoli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

    Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost z uredbo.

    Obvestilo nadzornemu organu o kršitvi - ob kršitvi varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ. V primeru obveščanja nadzornega organa gre za nekakšno samoprijavo.

    V obvestilo morajo biti vključeni:

    • opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
    • sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče dobiti več informacij;
    • opis verjetnih posledic kršitve varstva osebnih podatkov;
    • opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

    Kdaj začne teči rok za prijavo kršitve - recimo, da ste izgubili disk, na katerem so nešifrirani podatki. Ali je dejansko kdo dostopal do teh podatkov oziroma ali je sploh prišlo do kršitve, velikokrat ne morete vedeti. Delovna skupina za izmenjavo informacij in varstvo podatkov (Delovna skupina 29 – Article 29 Working Party – WP29) priporoča, da v tem primeru izgubo diska sporočite informacijskemu pooblaščencu, saj obstaja možnost, da je do kršitve prišlo. To sporočite takrat, ko se zaveste, da ste disk izgubili.

    Če hekerji sporočijo podjetju, da so vdrli v sistem in dostopali do podatkov, je treba takoj obvestiti nadzorni organ. Podjetje se v tem primeru brez dvoma zaveda dejanske kršitve.

    Obvestilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi - kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec brez nepotrebnega odlašanja sporočiti posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov. V jasnem in preprostem jeziku mora biti opisana vrsta kršitve varstva osebnih podatkov.

    Javnosti ni treba obveščati takrat, ko:

    • so bili izvedeni ustrezni tehnični in organizacijski zaščitni ukrepi, tu gre zlasti za ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih (denimo šifriranje);
    • je upravljavec sprejel naknadne ukrepe za zagotovitev, da velikega tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, verjetno ne bo več;
    • bi to zahtevalo nesorazmeren napor. V takšnem primeru se lahko objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
  • Zbiranje podatkov o zaposlenih

    Obdelujete lahko le podatke, za katere imate zakonito podlago in ki jih objektivno potrebujete. Pri tem se izogibajte zbiranju podatkov na podlagi soglasij zaradi odnosa podrejenosti. Pri vseh soglasjih mora namreč biti popolnoma nesporno, da je bila privolitev delavca prostovoljna. Delodajalec je tisti na položaju moči in malo verjetno je, da bi zaposleni brez strahu ali tveganja zavrnil zbiranje ali obdelavo svojih osebnih podatkov. Skratka, med zaposlenim in delodajalcem privolitev (večinoma) ne sme biti podlaga za zbiranje osebnih podatkov. Če pa denimo pride TV-ekipa snemat prispevek, privolitev pride v poštev, saj zaposleni načeloma lahko zavrnejo snemanje brez resnih posledic.

    Pri soglasjih je tudi vedno treba jasno pojasniti, kaj je namen zbiranja podatkov. Soglasja je najbolje imeti v pisni obliki, morajo pa biti takšna, da se lahko kadarkoli umaknejo oziroma prekličejo. Določena soglasja lahko vključite tudi v pogodbe o zaposlitvi.

    Pri zbiranju in upravljanju podatkov iz delovnega ali pogodbenega razmerja je treba upoštevati štiri načela: nujnost (poseg v zasebnost je nujen, do podatkov ni mogoče priti z milejšimi ukrepi); potrebnost (objektivno potrebujete podatke); primernost (metoda in obseg pridobivanja podatkov); sorazmernost (ko zakoniti interesi delodajalca očitno prevladujejo nad interesi posameznika).

    Kako urejati podatke zaposlenih po novih pravilih

    1. Najprej preverite, ali sploh izpolnjujete zahteve ZVOP-1.
    2. Preverite, katere zbirke osebnih podatkov in posamezne osebne podatke o zaposlenih sploh vodite (če se podvajajo, to uredite – če imate denimo kopijo osebne izkaznice zaposlenega, hkrati pa so podatki vpisani v računalniškem programu, je treba kopijo osebne izkaznice uničiti).
    3. Preverite veljavnost privolitev oziroma soglasij delavcev – ali izpolnjujejo pogoje po ZVOP-2, so torej vsebinsko ustrezna, če niso, je treba pridobiti nova soglasja, pri tem pa ne pozabite delavcu predstaviti, k čemu konkretno daje soglasje.
    4. Preverite, ali potrebujete pooblaščenca za varstvo osebnih podatkov – potrebujejo ga denimo tisti, ki obdelujejo podatke za javni sektor (šole, vrtci, koncesionarji v zdravstvu in podobno), in tisti, ki redno, sistematično in obsežno spremljajo osebne podatke posameznikov (kadrovske družbe, podjetja, ki imajo sisteme oziroma kartice zvestobe, naročniške službe ...) – a, pozor, tudi če imate zunanjega pooblaščenca za varstvo osebnih podatkov, ste na koncu še vedno odgovorni sami, če pa se odločite za zaposlenega, ki bi ga pooblastili, pazite, da ne bo navzkrižja interesov (morda pri vodji kadrovsko-pravne službe), zato je dobro izbrati nevtralnejšo osebo.
    5. Preverite tudi, ali ste pripravljeni na nove pravice zaposlenih, kot so pravica do pozabe, do prenosa podatkov, do popravka podatkov, pa tudi pravica do informiranosti – delavec lahko zahteva vse podatke v stvarni obliki in jih lahko prenese tudi k drugemu delodajalcu, podatki pa morajo biti v razumljivi obliki; prav tako lahko delavec zahteva vpogled v to, kako se vodijo podatki in kateri podatki se zbirajo, ter zahteva, da se določeni podatki izbrišejo (velja za podatke, ki se zbirajo od 25. maja 2018).
  • Videonadzor po ZVOP-2

    ZVOP-2 ureja tudi nekatera področja, ki se jih GDPR izrecno ne dotika. Eno izmed takih je videonadzor. To je, kot je pojasnjeno v smernicah o izvajanju videonadzora, opredeljeno kot »uporaba videokamer za sistematično snemanje, prenos in shranjevanje žive slike z ene lokacije na drugo, praviloma z namenom zagotavljanja varnosti«. Tudi snemanje v živo, brez shranjevanja posnetkov, se šteje kot videonadzor.

    Obvestilo o videonadzoru mora vsebovati:

    • pisno ali nedvoumno grafično opisano dejstvo, da se izvaja videonadzor;
    • namene obdelave, navedbo upravljavca videonadzornega sistema, telefonsko številko ali naslov e-pošte ali spletni naslov za potrebe uveljavljanja pravic posameznika s področja varstva osebnih podatkov;
    • informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave;
    • kontaktne podatke pooblaščene osebe (telefonska številka ali naslov e-pošte);
    • neobičajne nadaljnje obdelave, kot so prenosi subjektom v tretje države, spremljanje dogajanja v živo ...

    Dodajmo, da ni nujno, da vaše obvestilo vsebuje vse sestavine, ki jih zahteva 76. člen ZVOP-2. Navedeno mora biti dejstvo, da se videonadzor izvaja, zraven pa lahko objavite spletni naslov ali QR-kodo, kjer so dostopne vse preostale informacije. V smernicah sicer urad informacijske pooblaščenke priporoča, da se objavijo vsaj še nameni obdelave ter navedejo upravljavec videonadzornega sistema, telefonska številka ali naslov e-pošte ali spletni naslov za potrebe uveljavljanja pravic posameznika s področja varstva osebnih podatkov.

    Posnetki videonadzora se lahko hranijo največ leto dni od nastanka posnetka. Izjema je, če kakšen drug zakon določa drugače, potem se upoštevajo ta pravila.

    Tam, kjer se pričakuje več zasebnosti (denimo v dvigalih, sanitarijah ...), videonadzor ni dovoljen. Videonadzor v skupnih prostorih v poslovnih zgradbah je dovoljen, če z njim soglašajo lastniki, ki imajo v lasti več kot 70 odstotkov skupnih delov.

    Kaj pa videonadzor v delovnih prostorih?

    To je dovoljeno le, kadar je nujno potrebno za varnost ljudi in/ali premoženja, varovanje poslovnih skrivnosti, ugotavljanje kršitev pri igrah na srečo (krupjeja denimo lahko snemate v roke) ... V drugih primerih delovnega mesta zaposlenega ni dovoljeno snemati.

    Zato mora izvajalec videonadzora v vsakem primeru izrecno ugotoviti, ali obstaja milejši ukrep, ki bi omogočal, da zaposleni ne bi bili podvrženi snemanju, torej ali je uvedba videonadzora zares sorazmerna v ožjem smislu.

    V vsakem primeru pa morate pred začetkom videonadzora o njem zaposlene obvestiti pisno.

  • Podatki o kandidatih za zaposlitev

    Veliko podjetij (predvsem pa kadrovske agencije) podatke kandidatov, ki niso bili uspešni na pogovoru, hrani za naprej. Pri vprašanju, ali to smejo ali ne, je razlika med podjetjem in kadrovsko agencijo, opozarja odvetnica Nataša Pirc Musar iz Odvetniške družbe Pirc Musar. Pod določenimi pogoji kadrovske agencije namreč ne potrebujejo posebnih privolitev, ampak je dovolj pogodba, ki jo sklenejo z iskalci zaposlitve. »Tu bodo morali biti pozorni na to, kakšni procesi obdelav in nabor podatkov so potrebni za izvajanje te pogodbe, ter na izpolnjevanje obveznosti v zvezi s posredovanjem informacij o obdelavi kandidatom.«

    Hramba podatkov ima lahko torej pravno podlago v pogodbi, a je treba preveriti konkretne procese obdelave, nabor podatkov in konkretne namene obdelave. Če pogodba zadostuje, ni potrebna dodatna privolitev kandidata v skladu z GDPR. »Zato je najpomembneje, da v prvem koraku natančno definiramo ustrezne pravne podlage za procese in namene obdelav obstoječih zbirk,« še pravi Pirc Musarjeva.

    Prijave neizbranih kandidatov lahko hranite, a s privolitvijo

    Če ste iskali nove sodelavce, morate po končanem postopku vrniti dokazila neizbranim kandidatom. Kopije prijav lahko obdržite, dokler imajo neizbrani kandidati možnost sodnega varstva zoper izbirni postopek, dlje pa le s privolitvijo kandidata.

    Lahko pa hranite prijave kandidatov za morebitno poznejšo obravnavo, a morate za to pridobiti ustrezno pravno podlago oziroma soglasje. »Obveznosti se najprej razlikujejo glede na to, ali profile kandidatov oblikujete le na podlagi podatkov, ki jih kandidat posreduje sam, ali tudi na podlagi podatkov, ki jih zberete iz drugih virov, na primer javno dostopnih, kot so Facebook, LinkedIn, Twitter, Google ...« pojasnjuje Pirc Musarjeva.

    Obveznosti se razlikujejo tudi glede na to, ali se odločitve o kandidatih (koga bodo povabili na pogovor ali celo koga bodo izbrali) na podlagi profilov sprejemajo avtomatizirano, torej da odločitve brez posredovanja človeka sprejema računalnik oziroma neki algoritem. V GDPR namreč piše, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, ki ima pravne učinke v zvezi z njim ali nanj podobno precej vpliva.

  • Primer: psihometrična testiranja

    Če ste naročili psihometrična testiranja kandidatov, morate za hrambo rezultatov imeti soglasje zaposlenega. »Najprej pa se je treba vprašati, kaj zares želite s podatki o testiranju početi – za kakšen namen jih želite imeti in kako jih želite obdelovati, zlasti ali gre za profiliranje in avtomatizirano odločanje na podlagi profilov,« pojasnjuje Pirc Musarjeva.

    Delodajalec najverjetneje želi razpolagati le s testi izbranih kandidatov in jih uporabiti za izvajanje pogodbe o zaposlitvi. »Ali je to res potrebno za izvajanje pogodbe o zaposlitvi, pa je odvisno od konkretnih okoliščin posamičnega primera,« pravi Pirc Musarjeva.

    Kadrovska agencija bi lahko razpolagala s podatki o testiranju tistih iskalcev zaposlitve, s katerimi je sklenila ustrezno pogodbo o posredovanju pri iskanju zaposlitve (oziroma je pridobila njihovo izrecno privolitev). »Drugače pa je pri kandidatih, ki s kadrovsko agencijo, ki pri delodajalcu izvaja postopek izbire kandidatov, niso sklenili pogodbe, ampak so se zgolj neposredno prijavili na razpisano delovno mesto. Pri takih nastopa kadrovska agencija izključno v imenu in za račun delodajalca, kar pomeni, da je pravna podlaga vezana na delodajalca,« razlaga Pirc Musarjeva.

  • Primer: tržniki, nagradne igre, e-marketing ...

    Tudi tržniki morajo preveriti svoje procese obdelav osebnih podatkov zaradi uveljavitve GDPR. Treba je presoditi, kdaj iz osnovnega neposrednega trženja, ko podjetje vsem svojim strankam pošilja enake ponudbe, že prehajajo v ciljano, segmentirano trženje, ko pravni temelj niso več neposredno določbe v novem zakonu o varstvu osebnih podatkov (ZVOP-2), seveda ob predpostavki, da bodo ostali taki kot v ZVOP-1 in ne bo treba iskati novega oziroma drugega pravnega temelja.

    Kdaj lahko za trženje uporabite javno objavljene podatke?

    Če pridobivate e-poštne naslove iz javno dostopnih virov, velja načelo opt-in. To pomeni, da brez vnaprejšnje privolitve na tak naslov ne smete pošiljati reklam. Izjema so e-poštni naslovi, kjer ni imena zaposlenega (denimo marketing@podjetje.si), saj v takem primeru ne gre za osebni podatek.

    S tega področja sta lanskega decembra AKOS in urad informacijskega pooblaščenca napisala mnenje. Po tem pridobivanje, hramba in uporaba (sicer) javno objavljenih elektronskih naslovov za namene neposrednega trženja niso dopustni brez predhodne uporabnikove privolitve. Izjeme so le:

    • službeni osebni elektronski naslov uslužbenca ali predstavnika podjetja oziroma druge organizacije, ki ga podjetje ali druga organizacija javno objavi za namen kontaktiranja s podjetjem ali organizacijo;
    • posameznikovi elektronski naslovi, ki so javno objavljeni na drugih spletnih straneh (LinkedIn, Facebook ...), če je njihova nadaljnja obdelava za namene neposrednega trženja opredeljena v splošnih pogojih, ki veljajo glede osebnih podatkov, objavljenih na posameznih spletnih straneh.

    Kaj morate vedeti, če oglašujete z bilteni (newslettri)?

    Veliko trženja poteka tudi prek biltenov. Katere oglase sploh lahko vključite? Kot pojasnjuje sogovornica, težav ne boste imeli, če gre za trženje produktov istega podjetja. Drugače pa je, če želite tržiti produkte tretjih družb. Torej tistih, ki pri določenih aktivnostih niso v partnerskem odnosu z družbo, ki je »lastnica« baze e-poštnih naslovov, če posameznik ni dovolil uporabe svojega e-poštnega naslova tudi za ta namen. Tu čakamo na uredbo o eZasebnosti, ki pa, kot kažejo zadnji teksti, tega pravila ne bo omilila.

    Nagradne igre: storitev ali ne?

    Eno izmed pogostih vprašanj se nanaša na nagradne igre, ki se pogosto uporabljajo v trženju. Se bodo še lahko izvajale? Bo treba k njim pristopiti nekoliko drugače? Gre za storitev in sodelovanja pri njej ne smete pogojevati z dajanjem osebnih podatkov?

    »Pri nagradnih igrah nikakor ne gre za ponujanje storitev nekega podjetja, ko to podjetje zato, da storitev ponudi posamezniku, te ne sme pogojevati s posredovanjem osebnih podatkov za neke druge namene, ki z nakupom izdelka ali storitve niso povezani. Recimo: če želi posameznik pri banki odpreti TRR, ta ne sme zahtevati, da ji mora dati na voljo tudi osebne podatke, ki nikakor niso povezani z odprtjem TRR, in nikakor ne more zahtevati, da je pogoj za odprtje TRR tudi privolitev posameznika za profiliranje,« pravi Pirc Musarjeva.

    Po njenem mnenju podjetje lahko postavi pogoj, da se s sodelovanjem v nagradni igri privoli, da se osebni podatki uporabljajo za neposredno trženje, saj se prav zaradi tega nagradne igre tudi izvajajo. »Nagradna igra je enostranska izjava volje, posameznik se za udeležbo prostovoljno odloči, če mu pogoji igre seveda ustrezajo. Podjetja pa jih izvajajo zato, da pridobijo osebne podatke za pridobivanje novih potencialnih strank,« dodaja Pirc Musarjeva.

    Posameznik se bo tako lahko le odločil, ali bo v nagradni igri sodeloval ali pa pač ne bo. Ampak ta ista banka, ki želi izvesti nagradno igro, bo temu posamezniku še vedno morala ponuditi storitev odprtja TRR in druge bančne storitve. Posameznik ima kadarkoli možnost zahtevati, da neko podjetje neha tržiti in mu reklam ne pošilja več.

    Obstaja pa še druga možnost, če bo seveda ZVOP-2 ustrezno spremenjen v delu, kjer določa pravila neposrednega trženja. Osnutek ZVOP-2 za zdaj, žal, določa zgolj osebno privolitev kot pravni temelj, sprememba pa bi morala iti v smer, da bo skladna z GDPR, da bodo za neposredno trženje na voljo vsi pravni temelji, predvsem bo pomemben zakoniti interes, kar pomeni, da bo uporaba osebnih podatkov, pridobljenih v okviru nagradne igre, lahko v zakonitem interesu upravljavca.

    Katere prakse morate ustaviti?

    Preverite, kako agresivni ste v svojem trženju. Bolj bo oglaševanje vedenjsko, več bo osebnih podatkov, uporabljenih za izdelavo profilov, morda tudi posebnih vrst osebnih podatkov, bolj bo jasno, da brez (izrecne) privolitve ne bo šlo. Profiliranje posameznikov namreč prinaša dodatne obveznosti za podjetje. Načeloma velja, da tisti, ki svoje stranke profilirate, potrebujete tudi pooblaščeno osebo za varstvo osebnih podatkov.

    Pazite tudi tisti, ki ste se ukvarjali z generiranjem e-poštnih naslovov (ugibanje e-poštnih naslovov glede na domeno podjetja, kjer je nekdo zaposlen). Pirc Musarjeva namreč pravi, da to ni dovoljeno. Za zdaj kaže, da podjetja še vedno lahko pošiljajo ponudbe z uporabo e-pošte posameznikom, katerih e-naslov so pridobila v okviru opravljanja lastne dejavnosti.

    GDPR in zadnji objavljeni predlog ZVOP-2 si pri neposrednem trženju sicer nekoliko nasprotujeta. GDPR denimo dopušča, da je neposredno trženje lahko naslonjeno na katerokoli primerno pravno podlago, tudi na zakoniti interes upravljavca. To pa nedvomno pomeni, da za čisto vsako vrsto neposrednega trženja ne bo treba pridobivati soglasij.

    Pobirate podatke s Facebooka? Nehajte!

    Ne smete si privoščiti kupovanja baz podatkov od tretjih oseb. Osebnih podatkov za izdelavo profilov brez vedenja posameznika ne smete pobirati kar s Facebooka ali drugih družabnih omrežij.

    Imate na svoji spletni strani Facebookov gumb 'všeč mi je'? S tem ste upravljavec podatkov

    Vstavitev gumba »všeč mi je« pomeni, da so podatki posameznika, kadar ta obišče spletno mesto, ki ima ta gumb, posredovani tudi Facebooku. In to ne glede na to, ali je posameznik dejansko uporabnik tega družabnega omrežja ali ne. In tudi ne glede na to, ali je gumb »všeč mi je« kliknil ali ne. Skratka, že sama vključitev tega gumba na spletno stran pomeni, da osebne podatke dobi Facebook. Kot je odločilo Sodišče EU, morate tisti, ki na spletni strani vključite omenjeni vtičnik, zagotoviti ustrezno pravno podlago in vse potrebne informacije.

  • Primer: avtoprevoznik, ki posredno sledi svojim vozilom in voznikom

    Podjetje hrani podatke, ki jih potrebuje, o svojih zaposlenih. Ker gre za avtoprevoznika, ta prek svojega sistema posredno sledi svojim vozilom, preverja varčnost voznikov pri gorivu, hrani tudi pogovore z vozniki, podatke o prometnih prekrških voznikov (vse na enem portalu, v personaliziranih mapah). Ali podjetje to sme? Za pojasnila smo prosili informacijsko pooblaščenko Mojco Prelesnik.

    »Države članice lahko v zakonu ali kolektivnih pogodbah določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, varstva lastnine zaposlenih ali porabnikov ter za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prenehanja delovnega razmerja.«

    Temeljni zakon, ki v Sloveniji ureja področje delovnih razmerij, je zakon o delovnih razmerjih, ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

    Kdaj je sledenje vozil povsem v redu?

    Glede na to, da obdelava osebnih podatkov v zvezi s sledenjem vozil, preverjanjem varčnosti voznikov pri gorivu ter hranjenjem podatkov o pogovorih z vozniki in podatkov o prometnih prekrških voznikov v zgoraj navedenih zakonih ni posebej urejena, je obdelava takšnih podatkov dopustna, če je izpolnjen eden od pogojev:

    • če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem,
    • če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov.

    Ali te pogoje podjetje izpolnjuje ali ne, lahko informacijski pooblaščenec preveri le v okviru inšpekcijskega nadzora.

  • Primer: podjetje, ki gosti spletne strani

    »Ponudniki so (ne samo zaradi IP-naslovov) pogodbeni obdelovalci osebnih podatkov svojih naročnikov. Ta odnos je treba urediti v pisni obliki, dogovor pa mora vsebovati specifične zahteve iz 28. člena GDPR,« pravi Matija Jamnik. V 28. členu med drugim piše, da obdelovalec ne more zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

    Obdelovalčevo obdelavo pa mora določiti pogodba ali drug pravni akt. Ta mora med drugim določiti, da obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon, ter da v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po končanju storitev v zvezi z obdelavo in uniči kopije (razen, če zakon ne določa drugače).

    Če povzamemo zgornje določbe, tudi če ste le ponudnik, pogodbeni obdelovalec, morate svojim naročnikom pomagati dokazati skladnost z GDPR. Zavezati se morate, da boste pomagali pri zahtevkih posameznikov, da boste omogočili preglede in revizije, da boste svoje zaposlene zavezali k zaupnosti in nasploh spoštovali zaveze iz uredbe. Brez teh zagotovil naročnik sploh ne sme zaupati osebnih podatkov v obdelavo ponudniku.

  • Primer: društvo

    Tudi v društvih morate poznati nekatera pravila, ki vam jih nalaga GDPR. Na splošno velja, da se obdelava osebnih podatkov članov društev šteje za zakonito, če gre za obdelavo, ki je potrebna v zvezi s pravicami in obveznostmi članov društva, kot so urejene z internimi akti društva. Ti pa morajo biti seveda zakoniti.

    Seveda je obdelava po GDPR lahko zakonita tudi, če je izpolnjen eden izmed šestih pogojev, ki jih navaja GDPR (privolitev, pogodba, legitimni interesi …). Skratka, če v društvu dobite privolitve svojih članov, da njihove podatke zbirate, jim pošiljate obvestila in podobno ter ste to privolitev zbrali pravilno, potem je tudi takšna obdelava osebnih podatkov zakonita.

     Iz enega izmed območnih društev diabetikov so nas tako vprašali, na kaj morajo biti pozorni, saj so med podatki, ki jih imajo, tudi podatki o zdravju (tipu sladkorne bolezni). Društva so po uredbi upravičena, da v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvajajo tudi obdelavo tako imenovanih posebnih vrst osebnih podatkov, pojasnjuje Prelesnikova. Pogoj, da tudi društvo lahko obdeluje take podatke, pa je, da se obdelava nanaša samo na člane ali nekdanje člane društva, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega društva brez privolitve posameznikov, na katere se nanašajo osebni podatki.

    Seveda pa imate društva, tudi tista, ki obdelujete posebne vrste osebnih podatkov, morda še nekaj obveznosti. Pri sistematičnih in obsežnih obdelavah osebnih podatkov, obsežnih obdelavah posebnih vrst osebnih podatkov in podobnem lahko pridejo za posamezna društva v poštev denimo še dolžnosti v zvezi z ocenami učinka glede varstva osebnih podatkov, imenovanja pooblaščene osebe za varstvo osebnih podatkov, zagotovitve evidence dejavnosti obdelave, spoštovanja kodeksov ravnanja …

  • Primer: finančne družbe, zavarovalnice

    Zavarovalnice, banke, družbe za upravljanje, borznoposredniške družbe in vse druge družbe iz finančne industrije se morajo posebej pripraviti na novo uredbo o varstvu osebnih podatkov. Sodijo namreč med tako imenovane data rich companies, torej bo nanje in na njihove sisteme, kljub vsej regulativi, ki jo morajo že zdaj upoštevati, učinkovala tudi nova uredba.

    »Za učinkovito neposredno trženje je nujna izvedba določenega obsega profiliranja, katerega namen je, da družbe iz finančne industrije posameznikov ne obremenjujejo s trženjskimi sporočili, ki so zanje popolnoma nerelevantna, temveč da so takšna sporočila čim bolj ciljna in prilagojena izključno potrebam posameznikov. Za ta namen bodo družbe iz finančne industrije morale pridobiti soglasja posameznikov. Brez dvoma bo pridobivanje soglasij, zlasti za namene neposrednega trženja, povzročilo največ težav, saj gre za velikansko število teh posameznikov,« pojasnjuje Sanja Savič, vodja PwC Legala Slovenia.

    GDPR sicer ne predvideva pravil, ki bi bila relevantna le za finančno industrijo. A glede na osebne podatke, ki jih podjetja v finančni industriji upravljajo in obdelujejo, jih čaka kar nekaj obveznosti. Sploh, ker gre večinoma za posebne vrste osebnih podatkov. In sicer so to podatki o finančnem stanju na računu, podatki o transakcijah, imetništvu delnic in podobno. S temi podatki so lahko povezana velika tveganja v primeru zlorab, zato morajo družbe prilagoditi svoje ukrepe za zavarovanje osebnih podatkov skladno z GDPR.

    Savičeva poudarja še nekaj področij, ki zahtevajo dodatno pozornost: prilagoditi je treba tudi informacijsko (IT) podporo za ravnanje s privolitvami, družbe v finančni industriji pa bodo morale zagotoviti dodatne ukrepe za zavarovanje osebnih podatkov. Vzpostaviti je treba tudi sistem poročanja o morebitnih varnostnih incidentih oziroma zlorabah osebnih podatkov, nadgraditi morajo pogodbe, postopke in pravila s pogodbenimi obdelovalci ter vzpostaviti funkcijo pooblaščenca za varstvo osebnih podatkov.

    Družbe v finančni industriji morajo še posebej poznati pravila, ki se nanašajo na pravice posameznikov, kot so pravica dostopa do podatkov, pravica do pozabe, pravica do prenosljivosti, ter z njimi povezane pravne podlage obdelav in pogoje teh obdelav (zakon, pogodbe, privolitev, zakoniti interes).

    Poznati je treba še nekaj pravil: pravila glede varnosti obdelave, pravila v zvezi z veljavnostjo in upravljanjem privolitev, pravila glede avtomatizirane obdelave oziroma avtomatiziranega odločanja ter profiliranja, še zlasti zato, ker večinoma poslujejo s fizičnimi osebami, katerih pravice GDPR ščiti.

    GDPR od družb zahteva dodatno transparentnost na področju obdelave osebnih podatkov, zlasti pri zagotavljanju informacij posameznikom glede obdelave njihovih osebnih podatkov ter njihovih pravic.

    Za finančne družbe že zdaj veljajo druge regulative (pravila za obvladovanje tveganj, preprečevanje pranja denarja …), ki zahtevajo pregledno poslovanje. Zato morajo družbe v finančni industriji za ta namen nadgraditi informacijske sisteme, kar pa v praksi pomeni predvsem finančni, tehnični in organizacijski zalogaj.
  • Primer: sobodajalci

    Ne glede na to, ali gre za hotel, kamp ali pa sobe, kdor se ukvarja z oddajanjem prenočitvenih zmogljivosti, mora prek spletnih strani AJPES in aplikacije eTurizem oddati podatke o gostih.

    Kar se tiče sporočanja podatkov o gostih, za tiste, ki se ukvarjajo s tem, ni sprememb. Podatke o gostih, ki se prijavijo v vašo sobo, torej še naprej sporočate na AJPES. Podatke je treba prek aplikacije eTurizem posredovati najpozneje 12 ur po prihodu gosta. Če datumi in ura odhoda gosta nista znana ob njegovem prihodu ali se pozneje spremenita, se tudi ti podatki posredujejo najpozneje v 12 urah po odhodu gosta, in sicer tako, da se v spletno aplikacijo za tega gosta vnesejo kot nov vnos. Enkrat na mesec je treba prav tako prek aplikacije eTurizem sporočati podatke za statistične namene.

    Osebnih dokumentov po slovenski zakonodaji ne smete skenirati ali kopirati – to pravilo velja že od prej (zakon o osebni izkaznici in zakon o potnih listinah). Na trgu se je v zadnjih letih pojavilo več aplikacij, ki skenirajo podatke na osebnih dokumentih (podobno kot denimo spletne banke skenirajo podatke z računov). Pri teh aplikacijah velikih težav ni, saj gre za neinvazivno tehnologijo. Načeloma te aplikacije skrbijo za to, da se ti podatki le pravilno pošljejo v evidenco, v Sloveniji torej na AJPES.

  • Primer: pogrebna dejavnost

    S podatki umrlih se GDPR ne ukvarja. Uredba določa: »Ta uredba se ne uporablja za osebne podatke umrlih oseb. Države članice lahko določijo pravila za obdelavo osebnih podatkov umrlih oseb.« Ta del je bil sicer posebej urejen v predlogu novega ZVOP-2, ki ni bil sprejet. Zato lahko pričakujemo, da bo nov predlog, ko bo, urejal tudi področje varovanja podatkov umrlih oseb.

  • Primer: računovodske storitve

    Računovodski servisi, ki za podjetje opravljajo obračun plač, so obdelovalec osebnih podatkov. Z obdelovalci morajo podjetja imeti sklenjene pogodbe. Že po ZVOP-1 sta morala upravljavec (podjetje) in obdelovalec skleniti pisno pogodbo, v kateri sta morala urediti medsebojne pravice in obveznosti ter zlasti konkretizirati postopke in ukrepe za zavarovanje osebnih podatkov. GDPR to še vedno zahteva, hkrati pa uredba razmeroma natančno določa obvezne sestavine take pogodbe.

  • Primer: storitve v oblaku

    Če podjetje obdelavo osebnih podatkov zaupa zunanjemu izvajalcu, denimo prek najema storitev v oblaku, mora skleniti pogodbo o pogodbeni obdelavi osebnih podatkov. GDPR to posebej ureja v 28. členu in zahteva sklenitev ustrezne pogodbe ali drugega dogovora med glavnim upravljavcem in obdelovalcem, ki obdelavo izvaja po naročilu.

    28. člen med drugim pravi, da obdelovalec ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

    Obdelovalčevo obdelavo pa mora določiti pogodba ali drug pravni akt. Ta mora med drugim določiti, da obdelovalec osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti, ali jih k zaupnosti zavezuje ustrezen zakon, ter da v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po končanju storitev v zvezi z obdelavo in uniči kopije (razen, če zakon ne določa drugače).

    GDPR določa, da lahko upravljavec sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov tako, da obdelava izpolnjuje zahteve iz uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Sama pogodba ali drug pravni akt, ki določa obveznosti obdelovalca do upravljavca, mora opredeljevati vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.
  • Primer: spletne trgovine

    Pridobivanje privolitev povzroča ogromno težav tudi spletnim trgovinam. Brane Tomažič iz agencije za spletne storitve novisplet.com opredeljuje šest področij, kjer so največje spremembe in izzivi za spletne trgovine:

    • privolitev za vsak posamezen namen obdelave osebnih podatkov in možnost umika privolitve (če ste med tistimi, ki vnovič pridobivajo privolitve svojih uporabnikov, najprej preverite vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Kjer niso izpolnjeni vsi pogoji po GDPR, boste morali privolitve pridobiti na novo. Če vaše privolitve izpolnjujejo pogoje po GDPR, vam jih ni treba pridobiti še enkrat. Če se uporabnik odloči, da privolitve ne da, zanj ne sme biti posledic. Če se odloči, da denimo ne želi več, da mu pošiljate akcijske ponudbe po e-pošti, lahko svojo privolitev prekliče. Preklic mora biti tako enostaven in opravljen v podobni obliki (znotraj iste aplikacije, spletne strani, uporabniškega računa ...), kot je bilo dajanje privolitve. Upoštevajte, da mora za en namen biti ena privolitev.);
    • kupci morajo biti natančno seznanjeni z obdelavo svojih osebnih podatkov ter s svojimi pravicami;
    • kupci imajo pravico zahtevati informacije, kje, kako in v kakšne namene se obdelujejo njihovi osebni podatki;
    • kupci morajo imeti možnost zahtevati popravek osebnih podatkov in v določenih primerih tudi njihov izbris;
    • jasen postopek obveščanja uporabnikov o izgubi ali odtujitvi osebnih podatkov;
    • imenovanje pooblaščene osebe za varstvo osebnih podatkov, kar morajo storiti tisti, ki spremljajo nakupne navade in stranki prikazujejo ponudbo, prilagojeno njej osebno (v tem primeru gre za profiliranje oziroma oblikovanje profilov).

    Za spletne trgovce je tudi ključnega pomena, da jim upravljavec spletne trgovine zagotavlja ustrezno tehnično podporo.

  • Globe

    Inšpekcijski nadzor nad izvajanjem določb uredbe bo izvajal informacijski pooblaščenec. Dokler ZVOP-2 ni bilo, kaznovanje po GDPR ni bilo mogoče.

    Do 10 milijonov evrov ali dva odstotka letnega prometa (kar je več) je med drugim predvideno za kršitve na področju privolitev otrok v zbiranje osebnih podatkov, obdelav, ki ne zahtevajo identifikacije, varnosti osebnih podatkov, za neobveščanje nadzornega organa o kršitvah varstva osebnih podatkov, prenosih osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji.

    Do 20 milijonov evrov ali štiri odstotke letnega prometa (kar je več) je med drugim predvideno za kršitve na področju kršitev pri privolitvah, pravicah do popravka, izbrisa ali prenosljivosti podatkov.

    Vsaka kazen bo morala biti sorazmerna, odvračilna in učinkovita, upoštevalo pa se bo kar 11 meril pri določanju višine kazni:

    • narava, teža in trajanje kršitve, število posameznikov, raven škode;
    • ali je kršitev namerna ali posledica malomarnosti;
    • vsi ukrepi, ki jih je upravljavec/obdelovalec sprejel za ublažitev škode;
    • stopnja odgovornosti upravljavca/obdelovalca;
    • predhodne kršitve upravljavca/obdelovalca;
    • stopnja sodelovanja z informacijskim pooblaščencem pri odpravljanju kršitve in blažitvi škode;
    • vrste osebnih podatkov, ki jih zadeva kršitev;
    • kako je informacijski pooblaščenec izvedel za kršitev, je bil uradno obveščen o njej;
    • že prej odrejeni ukrepi zoper enako vsebino, skladnost s temi ukrepi;
    • upoštevanje odobrenih kodeksov ravnanja ali mehanizmov potrjevanja;
    • drugi oteževalni ali olajševalni dejavniki (denimo pridobljene finančne koristi).
  • Pošiljanje podatkov v tretje države

    Kdaj gre za prenos v tretje države?

    O prenosu v tretje države govorimo, ko so osebni podatki posredovani organizaciji ali podjetju s sedežem zunaj EU ali zunaj p(Evropskega gospodarskega prostora#Evropski gospodarski prostor) (Islandija, Norveška, Liechtenstein). Če podatki niso v EU, to še ne pomeni, da pravila, ki jih je prinesel GDPR, ne veljajo. Namen ureditve je namreč bil, da je zagotovljeno enako varstvo osebnih podatkov državljanov EU, če se ti obdelujejo zunaj ali znotraj EU.

    Do prenosa podatkov sicer pride, ko podatki zapustijo evropsko jurisdikcijo, pri čemer fizične meje EU niso relevantne. Tudi če so podatki hranjeni znotraj EU in ima dostop do njih tudi nekdo (posameznik, organizacija …) iz tretje države, gre za prenos v tretjo državo. Že če hranite podatke v oblaku podjetja, ki ima sedež, na primer, v Indiji, je to izvoz podatkov v tretjo državo. Tudi če analitiko zaupate denimo kakšnemu ameriškemu tehnološkemu gigantu, je to že lahko prenos podatkov v tretjo državo.

    Kaj so standardne pogodbene klavzule? Zakaj jih potrebujemo?

    Če pošiljate osebne podatke iz EU v tretje države (to pomeni lahko že denimo, če hranite podatke v oblaku podjetja, ki ima sedež, na primer, v ZDA), potem je ključno, da poznate standardne pogodbene klavzule. Standardne pogodbene klavzule so obstajale že pred GDPR in so pogoste pri pošiljanju podatkov v tretje države.

    Skladno z določbami GDPR se lahko prenos osebnih podatkov v tretje države izvrši, če evropska komisija za določeno državo, ozemlje ali mednarodno organizacijo odloči, da ta zagotavlja ustrezno raven varstva osebnih podatkov. Torej za izvoz podatkov v države, ki jih komisija uvrsti na poseben seznam, ne potrebujete dodatnih standardnih pogodbenih klavzul.

    Trenutno so med temi državami med drugim Švica, Kanada, Japonska, Andora ... Celoten seznam je dostopen na strani komisije. Je pa od konca junija na tem seznamu tudi Velika Britanija.

    Če določene države, ozemlja, ali mednarodne organizacije ni na zgornjem seznamu, se lahko prenos izvede, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe in pod pogojem, da imajo posamezniki na voljo izvršljive pravice in učinkovita pravna sredstva. Eden od mehanizmov, ki zagotavlja te ustrezne zaščitne ukrepe, so standardne pogodbene klavzule (tipske pogodbe), ki jih je sprejela evropska komisija.

    Torej – čeprav države ni na zgornjem seznamu evropske komisije, to ne pomeni, da vanjo ne smete pošiljati podatkov. Le uporabljati morate denimo standardne pogodbene klavzule.

    Kaj prinašajo nove standardne pogodbene klavzule?

    Od konca junija 2021 veljajo nove klavzule. Če že zdaj sklepate standardne pogodbene klavzule zato, da lahko izmenjujete osebne podatke denimo z ZDA, lahko te klavzule sklepate še do 27. septembra, veljale pa bodo do 27. decembra 2022. Po tem datumu morajo biti vse pogodbe prilagojene novim standardnim pogodbenim klavzulam.

    Nove standardne pogodbene klavzule so modularnega značaja, je pojasnjeno v razlagi na strani urada informacijskega pooblaščenca. Kaj pa to pomeni? To pomeni, da vključujejo različne scenarije obdelave osebnih podatkov oziroma module, ki jih pogodbeni stranki izbereta glede na konkretne okoliščine prenosa. To so lahko različni odnosi:

    • EU-upravljavec – neEU-upravljavec,
    • EU-upravljavec – neEU-obdelovalec,
    • EU-obdelovalec – neEU-obdelovalec in
    • EU-obdelovalec – neEU-upravljavec.

    Nove klavzule imajo torej možnost ureditve več različnih pogodbenih odnosov, kot je bilo to po prejšnjih standardnih pogodbenih klavzulah.

    Novo je tudi to, da kadar je uvoznik podatkov obdelovalec ali podobdelovalec, nove standardne pogodbene klavzule že vključujejo tudi vse zahteve iz 28. člena GDPR (člen povzemamo v okvirju), zato pogodbenim strankam ni treba sklepati še ene ločene pogodbe.

    Novo je tudi to, da sta v pogodbeni odnos lahko vključeni več kot dve stranki, torej ne le en obdelovalec in en upravljavec.

    Katere so še vsebinske novosti pogodb?

    Nove klavzule prinašajo tudi vsebinske novosti, pojasnjujejo pri informacijski pooblaščenki.

    Med novostmi so tudi večje pravice posameznikov – omogočeno je:

    • da so posamezniki obveščeni o postopkih obdelave njihovih podatkov,
    • da imajo možnost, da vzpostavijo stik s tujimi upravljavci,
    • da prejmejo kopijo sklenjenih klavzul, odškodnino za škodo, povzročeno v zvezi z njihovimi osebnimi podatki ...

    Preglejte stare pogodbene klavzule

    Vsi tisti, ki izvažate osebne podatke v tretje države (torej najemate storitve obdelave osebnih podatkov denimo v ZDA), preglejte svoje zdajšnje standardne pogodbene klavzule.

    Te bo treba prilagoditi ali spremeniti za nova pravila, saj, kot rečeno, po 27. septembru ne boste več smeli sklepati »starih« pogodbenih klavzul. Podatki se bodo po njih lahko še prenašali do 27. decembra 2022, po tem dnevu pa morajo biti vse vaše pogodbene klavzule prilagojene opisanim novim pravilom.

25. maja se je v EU začela uporabljati splošna uredba o varstvu osebnih podatkov (GDPR). Prinaša nekaj novih obveznosti in nalog. Nekatera podjetja morajo zaposliti pooblaščeno osebo za varstvo osebnih podatkov, preveriti je treba, ali ste vse privolitve za zbiranje osebnih podatkov zbrali pravilno in v skladu z novimi pravili. Najvišje kazni, če bo prihajalo do kršitve uredbe, so milijonske.

TEMA JE DOSTOPNA LE NAROČNIKOM.
Berite Finance že za 1 EUR

Naročnina brez vezave – odpoved kadarkoli

Plačilo prek spleta – dostop takoj

Finance kjerkoli in kadarkoli - brezplačna mobilna aplikacija

Bodite na tekočem! Uporabite Finance Fokus – vaš osebni kliping

Če naročniški dostop že imate, se prijavite z vašim uporabniškim imenom.

Viri