Menu

Pripravite se na prihod GDPR

23. 3. 2018

Zbiranje podatkov na podlagi privolitve

V primeru zbiranja osebnih podatkov na podlagi privolitve velja, da soglasje predstavlja jasno in razumljivo izjavo, dano z nedvoumnim pritrdilnim dejanjem (opt-in), ki mora biti dokazljiva. Posameznik mora izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov. Vsi, ki obdelujejo podatke na podlagi privolitve posameznika morejo torej preveriti veljavnost obstoječih privolitev glede na nove zahteve in v primeru neskladnosti pridobiti nove.

Način za preklic privolitve mora biti enako enostaven kot podaja privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.

Načelo vgrajenega in privzetega varstva osebnih podatkov

Upravljavci morajo upoštevati načeli vgrajenega in privzetega varstva osebnih podatkov. Upravljavec mora izvesti ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave.

  • Soglasje za zbiranje osebnih podatkov mora biti jasno, razumljivo in dokazljivo. Vir foto: <a href='https://www.freepik.com/free-vector/illustration-of-cloud-security_1063666.htm'>Designed by Freepik</a>
    Soglasje za zbiranje osebnih podatkov mora biti jasno, razumljivo in dokazljivo. Vir foto: Designed by Freepik

Pravice posameznika

Pravica do prenosljivosti podatkov: Upravljavec mora posamezniku zagotoviti osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, in sicer v strukturirani, splošno uporabljani in strojno berljivi obliki.

Upravljavci morajo posamezniku zagotoviti pregledne, jedrnate, razumljive in enostavno dostopne informacije o obdelavi njegovih podatkov, zato mora sprejeti ustrezne ukrepe, ki to zagotavljajo.

Obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov

Upravljavec mora o kršitvi varstva osebnih podatkov brez neposrednega odlašanja (najpozneje v 72 urah) obvestiti nadzorni organ, v določenih primerih mora o tem obveščati tudi posameznike.

Imenovanje pooblaščene osebe za varstvo podatkov

Javni sektor in podjetja (upravljavec ali obdelovalec), katerih temeljne dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov, morajo imenovati odgovorno osebo za varstvo osebnih podatkov.

Evidence dejavnosti obdelav osebnih podatkov

Namesto dosedanjih katalogov zbirk osebnih podatkov morajo upravljavci in obdelovalci voditi evidence dejavnosti obdelav osebnih podatkov. Obveznost ne velja za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen, če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki in ta obdelava ni občasna ali vključuje posebne vrste podatkov. Prijavljanje zbirk osebnih podatkov v centralni register zbirk osebnih podatkov ni več obvezno.

Obdelovalec

GDPR natančno določa pravila v primeru obdelave osebnih podatkov v imenu upravljavca. Posebej je določeno, da obdelovalec ne more zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca.

Predhodne ocene učinka v zvezi z varstvom osebnih podatkov

V določenih primerih bodo tovrstne predhodne ocene učinka v zvezi z varstvom osebnih podatkov (predhodne analize o spoštovanju temeljnih načel varstva osebnih podatkov obvezne za upravljavce.

Učinkovite, sorazmerne in odvračilne sankcije

Sankcije naj bi bile učinkovite, sorazmerne in odvračilne. Upoštevalo se bo veliko kriterijev glede teže kršitve, lahko bodo zelo visoke.

Skupaj z GDPR v veljavo stopi tudi novi Zakon o varstvu osebnih podatkov

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov), na kratko GDPR, se bo začela uporabljati 25. 5. 2018. Takrat naj bi se začel uporabljati tudi novi Zakon o varstvu osebnih podatkov (ZVOP-2), katerega predlog je bil konec meseca januarja 2018 dan v drugi krog javne razprave.

V javnosti je GDPR dvignila mnogo prahu, pojavlja se veliko različnih interpretacij, vprašanj in ponudnikov storitev svetovanja na področju usposabljanja in prilagoditve zahtevam GDPR.

Veljavni zakon na področju varstva osebnih podatkov (ZVOP-1) zagotavlja relativno dobro varstvo osebnih podatkov posameznikov, zato nova uredba ne prinaša toliko novosti v pravno ureditev področja varstva osebnih podatkov. Zagotovo pa bo velika odmevnost v javnosti dvignila osveščenost posameznikov, upravljavcev in obdelovalcev na področju varstva osebnih podatkov.

Bliža se pričetek uporabe GDPR in novega Zakon o varstvu osebnih podatkov (ZVOP-2). Sedaj je skrajni čas, da se tudi podjetja pričnejo pripravljati na novo zakonodajo.

Vir: Deloma povzeto po informativnem letaku Informacijskega pooblaščenca o GDPR, dostopnem na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/Splosna_uredba_o_varstvu_podatkov-letak_maj_2017.pdf.

Avtor članka: mag. Rebeka Tramšek, vodja pravnega svetovanja