Najpogostejše kršitve Splošne uredbe o varstvu osebnih podatkov

Najpogostejše kršitve Splošne uredbe o varstvu osebnih podatkov

maja 2018 se je začela uporabljati evropska Splošna uredba o varstvu podatkov (General Data Protection Regulation – GDPR). Njene določbe so se morale neposredno uporabljati v vseh državah članicah EU. Ta je za podjetja in druge organizacije, vključno z javnim sektorjem, prinesla nova določila na področju zbiranja in obdelave (uporabe) osebnih podatkov, torej podatkov, ki se nanašajo na fizične osebe, s katerimi podjetja/organizacije prihajajo v stik.

Ljudje smo postali zelo občutljivi na svoje podatke in spremljamo, kdo jih zbira, kje jih shranjuje, kaj se z njimi dogaja in zakaj. Žal pa se še vedno pojavljajo kršitve tako zbiranja, kot tudi same uporabe osebnih podatkov. V današnji objavi Vam bomo predstavili le najpogostejše.

Kršitve se lahko nanašajo na različna področja delovanja, kot tri najpogostejša pa bi poudarili kršitve na računovodskem, kadrovskem in poslovnem področju. Pogosta kršitev, ki se pojavlja v računovodstvu in kadrovskem oddelku je nepravilna uporaba pooblastil. Informacijska varnost predvideva, da organizacije uvedejo sistem pooblastil, na podlagi katerih je jasno, v katere podatke in dokumente sta konkretnemu zaposlenemu dovoljena vpogled in obdelava. Torej, vsak zaposleni mora imeti svoje uporabniško ime in geslo ter omejene dostope, ki so skladni z njegovim delom. In ena hujših kršitev je, če tega v organizacijah ni. Velikokrat se dogaja, da prav v računovodstvu do osebnih podatkov posameznikov dostopa več ljudi z istim uporabniškim imenom in geslom.

Na poslovnem področju (poslovni sekretarji, tajnice, itd..) pa so postavljeni pred drugačen izziv. Pri svojem delu se soočajo z obdelovanjem različnih baz osebnih podatkov, za katere morajo imeti privolitev za vsak posamičen namen obdelave. Pri njih je vedno na prvem mestu vprašanje, ali imajo zakonito osnovo za obdelovanje in zbiranje podatkov. V takih primerih vedno svetujemo, da najprej pregledajo vse obstoječe baze osebnih podatkov, s katerimi ravnajo, in preverijo, ali imajo potrebna soglasja. V nasprotnem je treba ta soglasja pridobiti ali baze uničiti.

Najpogosteje pride do kršitve in posledično kazni zaradi treh razlogov:

Prvi razlog je, da organizacija sploh še nima urejenega področja varovanja osebnih podatkov ali pa je to zelo površno urejeno. Drugi je, da imajo v organizaciji vse odlično formalno urejeno, vendar tega ne spoštujejo. Tretji razlog pa je ta, da imajo v organizaciji vse zapisano, tega se tudi držijo in temu sledijo, vendar pride lahko do nepredvidenih neželenih situacij in posledično do incidenta.