Brez zakona o varstvu osebnih podatkov (ZVOP-2) se bo evropska uredba o varstvu osebnih podatkov (GDPR) od 25. maja 2018 dalje uporabljala neposredno.V nadaljevanju bomo na preprost način prikazali, kaj pravzaprav GDPR za obrtnike in podjetnike prinaša. |
Pri tem pa gre opozoriti, da imamo v Sloveniji zakonodajo na področju varstva osebnih podatkov že od leta 2005. V splošni javnosti se je v zadnje pol leta ustvarilo zmotno prepričanje, da bo od 25. maja vse drugače zaradi GDPR, vendar to povsem ne drži. Trenutno veljavni ZVOP-1 že sedaj obrtnikom in podjetnikom nalaga številne obveznosti, GDPR pa nekatere izmed njih le dopolnjuje, predvsem pa prinaša več pravic fizičnim osebam.
DPO morajo imenovati:
Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, kadrovske agencije, spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.), upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, sistem televizije zaprtega kroga, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd.
Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati DPO.
Primeri obsežne obdelave vključujejo:
DPO ne more biti zastopnik podjetja/organizacije.
Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.
Kadar podjetje prostovoljno imenuje DPO, bodo za njeno imenovanje, položaj in naloge veljale enake zahteve, kot če bi bilo imenovanje obvezno.
Dobra novica – prijava od 25. maja dalje ne bo več obvezna!
Tako je, voditi morate evidence dejavnosti obdelave, kar pomeni popis zbirk osebnih podatkov, v katerem vsako zbirk opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost bo po GDPR veljala ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). OZS je pripravila vzorec popisov zbirk osebnih podatkov, ki ga naročite na www.svetovanje.si.
Da, še vedno. Novost pa je ta, da vas morajo vaši pogodbeniki obvestiti, ali in katere podizvajalce uporabljajo, čemur pa lahko kot naročnik storitev vedno ugovarjate. Pogodbe morajo vsebovati več varovalk, ki jih prinaša GDPR. Pogodbo potrebujete v primeru, da zunanjemu obdelovalcu pošiljate kakršne koli osebne podatke (od zaposlenih in drugih fizičnih oseb, kot so na primer izžrebani nagrajenci ipd.). Taki zunanji ponudniki so računovodski servisi, IT podjetja, ....
OZS je pripravila vzorec pogodbe o obdelavi osebnih podatkov po GDPR, ki ga naročite na www.svetovanje.si.
GDPR izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe. Če pravilnik že imate, predvsem preverite, ali se njegove določbe res izvajajo v praksi. Nikakor ne kopirajte kar tako vzorcev pravilnikov, če nekaterih varnostnih ukrepov sploh ne uporabljate.
Glede privolitve je največ vprašanj. Privolitve za pošiljanje tržnih vsebin ne potrebujete od strank oziroma naročnikov, ki so pravne osebe ali s.p.ji. Privolitev morate imeti le od fizičnih oseb!
Navajamo nekaj primerov, kdaj privolitev fizične osebe ni potreba:
Nikakor pa ni dovoljeno zbirati osebnih podatkov, ki niso potrebni za opravljanje dela na določenem delovnem mestu. Za pisarniškega delavca ne smete zahtevati višine in teže ter krvne skupine. V kolikor zaposlujete manekenko za delo fotomodela, pa lahko zahtevate tudi njene fotografije, ker jih morate pokazati svojim strankam, saj je videz ključnega pomena za to delovno mesto.
V vseh primerih, pri katerih pa privolitev potrebujete in ste jo dobili v preteklosti, pa mora izpolnjevati zahteve po GDPR. Če na katerokoli vprašanje odgovorite z NE pomeni, pa četudi privolitve že imate od prej, nimate ustreznih privolitev:
Bistveno je, da je privolitev dana prostovoljno, sicer ne gre za privolitev. Če uporabljate privolitve s potrditvenimi okenci, le-ta ne smejo biti vnaprej izpolnjena (obkljukana).
Prav tako je potrebno določiti rok hrambe podatkov ter posameznike tudi ustrezno obvestiti. Posameznike je potrebno obvestiti tudi o možnostih vpogleda, izbrisa, preklica, popravka in prenosa osebnih podatkov. V sklopu privolitve je potrebno navesti tudi kontaktno osebo, na katero se posamezniki lahko obrnejo v primeru zahtevkov za izbris osebnih podatkov (na primer info@podjetje.si).
OZS je pripravila vzorec privolitve po GDPR, ki ga naročite na www.svetovanje.si.
Katere omejitve v delovnih razmerjih veljajo že sedaj po ZVOP-1 in jih ne prinaša GDPR?
Mag. Nina Scortegagna Kavčnik
Vzorci, ki jih lahko naročite na www.svetovanje.si:
Pogodba o obdelavi osebnih podatkov po GDPR: člani 60,00 EUR in nečlani 120,00 EUR
Privolitev posameznika po GDPR člani brezplačno in 30,00 EUR nečlani
Popis zbirk osebnih podatkov: 50,00 EUR člani in 100,00 EUR nečlani
Cene so brez 22% DDV.