Konec maja (25. 5. 2018) se bo v vseh državah članicah EU začela uporabljati Splošna uredba o varstvu podatkov (angl. General data protection regulation, GDPR). Zaradi svoje pravne narave je GDPR nadrejen nacionalni zakonodaji in se bo začel uporabljati neposredno, v obstoječem besedilu. To pomeni, da bodo morala podjetja, ki upravljajo z osebnimi podatki posameznikov ali jih obdelujejo, uskladiti delovanje s to uredbo, tudi če dotlej še ne bo sprejeta nova zakonodaja. Novi Zakon o varstvu osebnih podatkov (ZVOP-2) je namreč še v zakonodajnem postopku. V nadaljevanju podajamo nekaj informacij s tega področja.
GDPR se bo uporabljal za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v EU, ne glede na to, ali dejanska obdelava poteka v EU ali ne. Poleg tega se bo GDPR uporabljal za obdelavo s strani upravljavca ali obdelovalca, ki nima sedeža v EU, če gre za obdelavo osebnih podatkov posameznikov, ki so v EU, kadar so dejavnosti obdelave povezane (a) z nudenjem blaga ali storitev takim posameznikom v EU, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali (b) s spremljanjem njihovega vedenja, kolikor to poteka v EU.
Kaj je osebni podatek
Enoznačno definiranje osebnih podatkov je kompleksna naloga, zato uredba uporablja generalno klavzulo, s katero opiše okoliščine, ki vplivajo na to, ali se določen podatek lahko šteje za osebni podatek.
Osebni podatek je tako katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka (npr. EMŠO, davčna številka, številka zdravstvenega zavarovanja, telefonska številka, registrska številka vozila), podatek o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (npr. zaposlitev, naslov, funkcija, položaj ali status v določenem subjektu ipd.).
Osebni podatek je tudi naslov elektronske pošte, ki se glasi na ime, ne glede na to, ali gre za zasebni ali službeni elektronski naslov.
Splošni elektronski naslov, kot je npr. info@podjetje.si, se praviloma ne šteje za osebni podatek, lahko pa pod določenimi pogoji zapade pod varstvo osebnih podatkov v delovnih razmerjih oziroma pod zaščito ustavne pravice do zasebnosti.
Kaj pomeni obdelava osebnih podatkov – kdaj mora podjetje izvajati ukrepe varstva osebnih podatkov
Obdelava pomeni kakršnokoli avtomatizirano ali ročno delovanje ali niz delovanj v zvezi z osebnimi podatki, kot je zbiranje, zapisovanje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.
Kot je razvidno, je tako rekoč vsako dejanje, ki pomeni ravnanje z osebnimi podatki, že njihova obdelava. Gre za vseobsegajočo definicijo, zaradi katere bodo morala podjetja izvesti določene ukrepe na tem področju.
Kakšne bodo nove obveznosti
Podjetja bodo morala predvsem najprej opraviti inventuro in klasifikacijo osebnih podatkov, torej preveriti, katere podatke obdelujejo, kdo ima dostop do njih in zakaj. Po načelu minimalne izpostavljenosti imajo dostop do osebnih podatkov lahko le osebe, ki ta dostop nujno potrebujejo. Pretirano širok vpogled se odsvetuje.
Avtorica: Nina Orehek Ručigaj, davčna in pravna svetovalka Unija Consulting
Celoten članek je na voljo v aprilski številki biltena Unikum.
V kolikor vas zanima kako se ustrezno pripraviti na novo Splošno uredbo o varstvu podatkov (GDPR), so vam v pomoč naši pravni svetovalci Unija Consulting. Kontaktirajte nas za termin na info@unija.com.
