24. julija, 2018

Praktični vidiki in nasveti o varovanju osebnih podatkov (GDPR)

Čeprav sta od uveljavitve Splošne uredbe o varstvu podatkov (GDPR) minila že dva meseca, večina podjetij še vedno ni povsem uskladila področja varstva osebnih podatkov, pri tem pa se srečujejo z nemalo težavami. Navajamo nekaj praktičnih odgovorov, izhajajočih iz pojasnil in smernic Informacijskega pooblaščenca.

Zakon o varstvu osebnih podatkov (ZVOP-2) še ni bil sprejet, čeprav GDPR že velja neposredno v državah članicah. Kaj lahko ZVOP-2 uredi drugače?

Splošna uredba o varstvu osebnih podatkov postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. ZVOP-2 bo predvidoma uredil nekatera vsebinska področja, kot so uporaba zdravstvenih, biometričnih in genetskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do javnih informacij, uporabo osebnih podatkov v znanstvene in statistične namene). ZVOP-2 ne sme spreminjati določb Splošne uredbe, lahko pa posamezne zadeve natančneje uredi.

Ali moramo še vedno voditi opis zbirk osebnih podatkov?

Da, vsako podjetja je dolžno voditi evidence dejavnosti obdelave, če obdelava ni občasna, če je verjetno, da obdelava, ki jo podjetje izvaja, pomeni tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ali če obdelava vključuje posebne (občutljive) vrste podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški. Vodenje evidenc je v vsakem primeru obvezno za podjetje, ki zaposluje 250 ali več oseb.

Vodenje opisa zbirk osebnih podatkov pomeni pripravo popisa (ime zbirke, vrste podatkov, pravne podlage). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo.

Pomembno je tudi, da ta obveznost ne velja le za upravljavce, temveč tudi za obdelovalce, denimo podjetja, ki drugim nudijo storitve obdelave osebnih podatkov (računovodski servisi, IT-storitve, klicni centri, storitve gostovanja ali hrambe podatkov).

Na spletni strani omogočamo registracijo uporabnikov. Na kaj moramo paziti pri oblikovanju spletne strani?

Transparentnost obdelave osebnih podatkov je mogoče doseči le s pravilno oblikovano izjavo o varstvu osebnih podatkov. Upravljavci spletnih mest morate posameznikom, ki obiskujejo vaše spletne strani, zagotoviti določene informacije v zvezi z obdelavo njihovih osebnih podatkov: katere njihove osebne podatke obdelujete, za kakšen namen jih obdelujete; kdo obdeluje njihove podatke (podatki o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku – osebno ime, če gre za fizično osebo, naziv oziroma firma in naslov oziroma sedež); druge podatke, če je to potrebno, da se zagotovi zakonita in poštena obdelava. Ne pozabite omeniti tudi hrambe piškotkov.

Praktična navodila glede priprave spletne strani si lahko preberete tudi na povezavi Informacijskega pooblaščenca – Smernice za oblikovanje izjave o varstvu osebnih podatkov na spletnih straneh.

Ali res moramo imenovati pooblaščeno osebo za varstvo osebnih podatkov (DPO)?

GDPR v 37. členu določa, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo osebnih podatkov (DPO). Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih mora podjetje samo preveriti, ali je imenovanje DPO obvezno. Imenovanje je obvezno za naslednje subjekte:

  • javne organe in telesa;
  • podjetja, katerih temeljna dejavnost zajema obdelavo podatkov, pri čemer je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati; sem spadajo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe pa tudi kadrovske agencije, številne spletne trgovine in IT-podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje, upravljanje odnosov s strankami – CRM), zdravstveni IT-sistemi ipd.);
  • tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki spadajo med ›posebne vrste podatkov‹ – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi; posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.

Celoten članek je na voljo v avgustovski številki biltena Unikum.