S 25.5.2018 je pričela veljati Splošna uredba o varstvu podatkov oz. GDPR.
Kljub temu, da smo imeli čas, da se prilagodimo novim določilom, kar dve leti, pa je večina pričela z resnimi pripravami tik pred ali celo po pričetku veljavnosti. Seveda k temu ni pripomogel ZVOP-2, ki bo pričel veljati z precejšno zamudo (ampak to je že zgodba zase).
Uredba je tu in večina še vedno ne ve povsem, kaj dejansko sploh mora storiti.
V naslednjem članku bomo podali okvirne napotke, kako se lotiti urejanja osebnih podatkov v lastnem podjetju, da bomo skladni z določili nove uredbe.
Pri tem velja opozorilo. Varovanje osebnih podatkov je tema, ki ji velja nameniti precej razmisleka. V vsaki organizaciji se boste zadev lotili po svoje, glede na individualne potrebe in razmere. Zato tega članka ne jemljite v smislu "vse kar potrebujete", ampak kot pomoč pri razmišljanju kako se zadeve lotiti v vašem konkretnem primeru.
Zakaj uredba o varovanju osebnih podatkov?
V prvem koraku se je potrebno vživeti v "duh" uredbe.
Splošna uredba o varovanju osebnih podatkov v svoji osnovi ne želi uničevati poslovnih procesov, modelov in načina poslovanja ponudnikov in obdelovalcev. Če razmislimo, je varovanje osebnih podatkov v moderni družbi, ko osebne podatke delimo drug z drugim in jih javno objavljamo (ne glede na namen), resen izziv.
Uredba želi ob vsem tem kaosu poskrbeti, da se, kljub odprtosti modernih tehnologij in naše družbe kot celote in kljub vsem podatkom, ki jih posredujemo drugim, le-ti obdelujejo na način, ki nam omogoča vsaj tisto minimalno nadzora, kolikor ga je možno ohraniti.
Kaj je osebni podatek?
Splošna uredba določa, da "osebni podatek" pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom na katerega se nanašajo osebni podatki. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Osebni podatek je tako praktično vsak podatek, ki ga pridobimo, hranimo, obdelujemo od posameznika.
Vzemite si trenutek. Zadihajte. Razmislite.
Najlažje boste zadeve začeli urejati na začetku. Tako začnite s tem, da sledite spodnjim korakom:
- Ugotovimo katere osebne podatke zbiramo
Večina podjetij bo v svojih evidencah imela vsaj osebne podatke:
- svojih zaposlenih;
- kontaktne podatke svojih strank;
- e-naslove, ki jih je zbralo za namene trženja,
- ipd.
Podatke, ki jih zbirate, smiselno razdelite v vsebinsko zaokrožene kategorije oz. zbirke (evidence). Evidenca zaposlenih, evidenca kupcev, evidenca bivših strank, evidenca trenutnih naročnikov, evidenca e-pošte, ipd.
Za vsako od teh zbirk podatkov pomislite, katere podatke o njih obdelujete. Denimo za zaposlene, bodo to kontaktni podatki zaposlenih, njihovi podatki, ki jih potrebujete za obračun prihodkov, podatki o izpolnjeni delovni obvezi, ...
Pri kontaktih strank bodo to podjetje, v katerem je oseba zaposlena, njeno delovno mesto, kontaktni e-naslov, telefon, itd.
Pri podatkih v naši email bazi bodo shranjeni e-naslovi, ime in priimek, spol, ipd.
Torej. V prvem koraku razmislite kaj in katere podatke v podjetju sploh zbirate oz. obdelujete.
V kolikor nastopate kot obdelovalec podatke (ne kot upravljavec), te podatke vsebinsko ločite po naročnikih.
- Razmislimo s kakšnim namenom podatke zbiramo oz. obdelujemo
Za vsakega od osebnih podatkov moramo utemeljiti namen, s katerim ga hranimo in obdelujemo. Zavedati se moramo, da je konec s hranjenjem osebnih podatkov "na zalogo". Podatkov ne smemo hraniti brez razloga, zgolj za primer, ker nam bo mogoče, v bodoče, kdaj prišel prav.
Za vsak osebni podatek, ki ga podjetje obdeluje mora imeti podlago, ki mu obdelavo dovoljuje.
Ta podlaga za obdelavo osebnih podatkov je lahko:
- če smo od posameznika pridobili privolitev (soglasje);
- če je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
- če nas k temu obvezuje zakon;
- če se s tem zaščiti življenjske interese posameznika;
- če gre za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti;
- če gre za zakonite interese, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, zlasti kadar je posameznik otrok.
Mogoče podatkov ne zbiramo sami, ampak jih pridobimo od svojih naročnikov, ki nam jih posredujejo, mi pa jih zgolj obdelujemo. V tem primeru nastopamo kot obdelovalec osebnih podatkov in mora podlago za obdelavo zagotoviti upravljavec.
- Ugotovimo kje in kako se posamezni osebni podatki hranijo
Kje se podatki, ki jih obdelujemo hranijo? Jih hranimo v fizični obliki, na svojem računalniku, na disku strežnika "v oblaku"? Kako so podatki zavarovani, kdo ima do njih dostop? Kako skrbimo za njihovo varnost?
V tem koraku razmislimo tudi, ali morda podatke prenašamo v tretje države (zunaj EU), ali pa jih morda posredujemo zunanjim obdelovalcem (denimo računovodskemu servisu).
- Ugotovimo kako dolgo hranimo osebne podatke
Za vsak osebni podatek je potrebno vedeti, kako dolgo ga želimo hraniti oz. je potrebno določiti kriterij, na podlagi katerih se čas hrambe določi. Poleg tega, da ima posameznik pravico vedeti, kako dolgo bomo njegove podatke hranili, je čas hrambe pomemben tudi zato, ker moramo, ko osebnega podatka ne potrebujemo več, brez odlašanja izbrisati.
- Prečistimo osebne podatke
Kot omenjeno. Za osebne podatke, ki jih obdelujemo, potrebujemo razlog. V kolikor smo v katerem od prejšnjih korakov ugotovili, da nimamo razloga, da bi jih obdelovali, hranili, itd. Te osebne podatke izbrišemo.
- Zagotovite podlago za obdelavo
|
Za osebne podatke, za katere smo ugotovili, da ji želimo obdelovati tudi v bodoče, bomo za to potrebovali podlago.
Ta podlaga bo lahko privolitev, ki mora biti dana z jasnim pritrdilnim dejanjem. To pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim. Če smo podatke pridobili le na podlagi starega soglasja, skoraj gotovo staro soglasje ne zadošča novim zahtevam in bomo morali soglasje pridobiti na novo.
Pomembno je, tudi da upravljavec ne sme pogojevati storitve s soglasjem, razen če je obdelava potrebna za storitev.
Če je privolitev dana v pisni obliki, mora biti jasno razmejena od drugega besedila v konkretnem dokumentu in predložena na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku.
Več lahko preberete v članku: Pošiljanje mailingov po GDPR |
|
Soglasje za prejemanje e-sporočil po GDPR (za elektronsko objavo)
Soglasje za prejemanje e-sporočil po GDPR (fizična oblika) |
Soglasje ni edina podlaga za obdelavo
- Zagotovite varnost obdelave osebnih podatkov
Ko vemo, katere podatke obdelujemo in zakaj, zagotovimo, da se le-te obdeluje varno in v pravi namen. Poskrbimo, da do njih dostopajo le osebe, ki imajo do tega pravico in ki dostop potrebujejo, ter da se zagotovi vsa potrebna varnost, da ne pride do zlorab in kršitev varnosti podatkov (ustrezna varovanja, gesla, šifriranja, fizična varovanja, itd.).
- Uredite dokumentacijo
Med ureditev področja osebnih podatkov se seveda šteje tudi ureditev in sprejetje ustreznih internih aktov. Uredba načeloma ne predpisuje (vsaj v večini primerov ne) obveznega sprejema aktov, je pa to ustrezno z vidika zagotovitve, da smo sprejeli ustrezne ukrepe za varovanje osebnih podatkov, s katerimi razpolagamo.
|
V kolikor zbiramo e-naslove posameznikov, za prijavo na naše e-novice, potrebujemo ustrezno soglasje, bodisi v elektronski, bodisi v fizični obliki. V ta okvir sodi tudi politika o varovanju osebnih podatkov, v kateri posameznikom na razumljiv ter v jasnem in preprostem jeziku pojasnimo načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave osebnih podatkov, ki se nanašajo nanj.
Smiselno je, da sprejmemo krovni pravilnik o varovanju osebnih podatkov, ter, v kolikor velja za nas, opredelimo tudi ostala področja, denimo uporabo e-pošte ali interneta v podjetju.
Tudi v kolikor za nas ni obvezno, je priporočljivo, da uredimo evidence za posamezne kategorije osebnih podatkov. Denimo evidenco zaposlenih, evidenco kupcev, evidenco e-sporočil, itd. V njih za vsako kategorijo osebnih podatkov določimo konkretna "navodila in informacija", kaj, kako, zakaj se konkretni podatki hranijo in obdelujejo.
|
|
Pravilnik o zavarovanju osebnih podatkov po GDPR
Pravilnik o zavarovanju osebnih podatkov na področju uporabe elektronske pošte po GDPR
Evidenca dejavnosti obdelave osebnih podatkov po GDPR (za upravljavca osebnih podatkov) |
|
Urejanje pogodbenih razmerij z zunanjimi partnerji
V kolikor podatke posredujemo zunanjim partnerjem, ki podatke obdelujejo v našem imenu, ali pa jih mi ubdelujemo v imenu naročnikov, je potrebno z njimi urediti obdelavo in varstvo podatkov, ter skleniti ustrezno pogodbo, ki omogoča takšno obdelavo tudi v bodoče.
- Seznanite vse zaposlene
Zelo pomembno! Z vsemi ugotovitvami in ukrepi, seznanimo vse zaposlene. Varstvo osebnih podatkov ni naloga in obveza le ene osebe v podjetju. Vsi zaposleni se morajo zavedati pomena varovanja osebnih podatkov, ter pravil in ukrepov, ki jih morajo spoštovati, da bodo lahko te podatke varovali.
|
|
Pogodba o obdelavi in varstvu osebnih podatkov po GDPR
Izjava zaposlenega o varovanju osebnih podatkov po GDPR |
Povežite se z nami...
Koristne povezave v zvezi s člankom:
Pravni dokumenti:
Soglasja:
Pravilniki in interni akti:
Pogodbe in sklepi:
Brezplačni pravni članki in priročniki: