Dunajska cesta 156, 1000 Ljubljana
Telefon: 031 692 524

Blog

Načela obdelave osebnih podatkov

NAČELA OBDELAVE OSEBNIH PODATKOV

GDPR SKOZI POUDARKE INFORMACIJSKE POOBLAŠČENKE MOJCE PRELESNIK – 2. DEL

7 načel obdelave osebnih podatkov po 5. členu GDPR: zakonitost; omejitev namena; najmanjši obseg podatkov; točnost; omejitev shranjevanja; celovitost in zaupnost; odgovornost

 

Karkoli počnete s podatkom – ga pridobivate, vpogledate, posredujete, popravljate itd. – imeti morate ustrezno zakonsko podlago. Ta zahteva izhaja iz načela zakonitosti, torej da je pooblastilo zapisano bodisi v pravnem aktu, bodisi da se vsak posameznik, katerega podatke obdelujete, z obdelavo strinja. Potrebujete torej osebno privolitev za obdelovanje njegovih podatkov. Osebni podatek vam lahko posreduje ta posameznik ali pa vas pooblasti, da od nekje ta podatek pridobite.

Ob tem pa je potrebno vedeti še nekaj, in sicer: četudi imate podlago za obdelovanje v osebnih privolitvah in v zakonodajnih aktih, morate še vedno kot upravljavec osebne zbirke paziti, da boste te podatke obdelovali pravično in pregledno. Pridobljenih osebnih podatkov ne smete zlorabljati za namene, za katere niso bili pridobljeni. Preglednost pomeni, da boste vedno dali informacije o tem, da podatke ter posameznikov obdelujete.

»Vedno boste morali paziti tudi na namen, za katerega so bili podatki primarno zbrani. Podatki so zbrani za nek točno določen namen. Samo za ta namen, za katerega so bili zbrani, se lahko uporabljajo in za noben drug,« opozarja informacijska pooblaščenka Mojca Prelesnik.

Upoštevati morate tudi načelo najmanjšega možnega obsega podatkov: »Če lahko nek cilj dosežete z manjšim obsegom podatkov, jih imate čim manj. Če vam zadostuje EMŠO, ne potrebujete še davčne številke, ki je tudi nedoločljiv identifikator, in en identifikator za identifikacijo mora zadoščati.«

»Ves čas boste morali skrbeti za to, da boste skladni z GDPR. Z vsemi zahtevami GDPR. To je tako težko breme za vsakega upravljavca osebnih podatkov, da mora ves čas biti skladen z vsemi zahtevami GDPR.« (Mojca Prelesnik, informacijska pooblaščenka)

Podatke morate imeti točne in ažurne, hraniti jih morate najmanjši možni čas – toliko, kolikor zakon dopušča. Pri tem velja opomniti, da imajo novejši zakoni določene roke hrambe, na kar morate biti pozorni znotraj področja, na katerem delujete. Navadno je tako za upravljavca, posameznika, katerega podatki se zbirajo, kot tudi za nadzornika najlažje, če je točno zapisano, koliko časa se lahko podatke hrani. Ne zanemarite pravnega vidika skladnosti z GDPR.

Paziti boste morali na celovitost in zaupnost teh podatkov, pa tudi na zavarovanje, da ne boste dali na razpolago teh osebnih podatkov, če ni tako zahtevano.

Nenazadnje pa ne smete pozabiti tudi na samo odgovornost za skladnost s temeljnimi načeli in pa zmožnost dokazovanja skladnosti, pri čemer so ključnega pomena preventivni oziroma proaktivni ukrepi. »Ves čas boste morali skrbeti za to, da boste skladni z GDPR. Z vsemi zahtevami GDPR. To je tako težko breme za vsakega upravljavca osebnih podatkov, da mora ves čas biti skladen z vsemi zahtevami GDPR,« zaključuje informacijska pooblaščenka.

 

 

Nekatere ključne novosti za upravljavce in obdelovalce

Nekatere ključne novosti za upravljavce in obdelovalce

 

Informacijski pooblaščenec podaja ključne novosti, ki jih prinaša GDPR in so relevantne tako za upravljavce kot tudi obdelovalce.

Seznanite se z njimi zdaj:

– Veljajo novi pogoji za privolitev, po katerih morajo biti soglasja jasna, razumljivo podana, nedvoumno pritrdilna (opt-in) in dokazljiva.

– Posameznik ima pravico do umika soglasja, pri čemer mora biti način za preklic privolitve tako enostaven kot podaja privolitve.

– Varstvo osebnih podatkov mora biti vgrajeno in privzeto, upravljavci pa morajo ti načeli upoštevati.

– Upravljavec je dolžan posamezniku zagotoviti osebne podatke v zvezi z njim, ki jih je posredoval naprej, v strukturirani, splošno uporabljani in strojno berljivi obliki. Informacije o obdelavi njegovih podatkov mu morajo biti pregledne in enostavno dostopne.

– Obveznost uradnega obveščanja o kršitvah osebnih podatkov nadzornemu organu, v določenih primerih pa tudi prizadetim posameznikom.

– Imenovanje pooblaščene osebe za varstvo podatkov je v določenih primerih obvezno.

– Evidence obdelav nadomeščajo dosedanje kataloge. Za določene upravljavce in določene pogodbene obdelovalce obstaja obveznost vodenja katalogu podobnih evidenc obdelave osebnih podatkov, katalogov pa ni treba več prijavljati v centralni register zbirk osebnih podatkov.

– Predhodne ocene učinka v zvezi z varstvom osebnih podatkov bodo za določene upravljavce obvezne. Z njimi se izkazuje spoštovanje temeljnih načel varstva podatkov.

– Kodeksi ravnanja in potrjevanja predstavljajo nove preventivne mehanizme za zagotavljanje in izkazovanje ustreznega ravnanja z osebnimi podatki.

Vir: Informacijski pooblaščenec. (2017).
Ključne novosti za upravljavce in obdelovalce.
Pridobljeno na https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/Splosna_uredba_o_varstvu_podatkov-letak_maj_2017.pdf
Kaj lahko v smeri skladnosti z GDPR storite že danes?

Kaj lahko v smeri skladnosti z GDPR storite že danes?

1) Osvojite pojem osebnih podatkov in postavite osnovo za analizo svojega delovanja. Če zbirate, shranjujete ali uporabljate katerekoli informacije v zvezi z določenim ali določljivim posameznikom, naj bo to ime in priimek, naslov, podatki o lokaciji, spletni identifikator, podatki o zdravju, prihodku ali drugem dejavniku, značilnem za posameznika, morate upoštevati predpise.

2) Zavedajte se prednosti reforme splošne uredbe in postavite mentalno osnovo za skladnost. Z GDPR povezujejo povečanje zaupanja potrošnikov, pospeševanje razvoja podjetij, preprostejše in pravičnejše poslovanje, omejevanje stroškov in spodbujanje rasti podjetij.

3) Varujte pravice ljudi, ki vam zaupajo podatke. Komunicirajte preprosto in jasno podajajte svoje potrebe – zakaj obdelujete podatke, koliko časa jih hranite in kdo do njih dostopa. Pridobite soglasje, posebej bodite pozorni na otroke. Omogočite dostop in prenosljivost, obveščajte o kršitvah, omogočite »pravico do pozabe«, uporabljajte dodatne zaščitne ukrepe za zdravstvene podatke ter podatke, ki razkrivajo posameznikovo raso, spolno usmerjenost, veroizpoved in politična prepričanja. Pazite pri prenosu podatkov zunaj območja EU. Vgrajujte zaščitne ukrepe za varstvo podatkov že v prvih fazah razvoja svojih proizvodov in storitev!

4) Poskrbite za praven vidik svojega delovanja. Ste obdelovalec podatkov? Pogodbe, ki jih sklenete s svojimi strankami, naj bodo brezhibne in vsebinsko celovite. Zavarujte sebe, svoje stranke in posameznike, s podatki katerih razpolagate.

5) Preverite, ali potrebujete DPO – uradno osebo za varstvo podatkov. Veste, kakšne podatke in koliko njih zbirate?

6) Poučite se o pogojih za vodenje evidenc. Če podatke obdelujete redno, njihova obdelava ogroža pravice in svoboščine ljudi ali pa pri obdelavi ravnate z občutljivimi podatki ali kazenskimi evidencami, morate voditi evidenco.

Pa veste, kaj mora vsebovati?

Elementi evidence:
– kontaktni podatki podjetja
– razlogi za obdelovanje podatkov
– opisi kategorij osebnih podatkov in posameznikov, na katere se ti osebni podatki nanašajo
– kategorije organizacij, ki podatke prejemajo
– podatke o prenosu – v drugo organizacijo ali izven državnih meja
– rok za odstranitev podatkov
– opis varnostnih ukrepov, ki jih pri obdelavi uporabljate

7) Predvidevajte z ocenami učinkov. Nujno potrebne pri obdelavi z visokim tveganjem – uporabi novih tehnologij, samodejni in sistematični obdelavi, obsežnem nadzoru, obdelavi velikih količin občutljivih podatkov, priporočljive pa na vseh ravneh!

8) Poznajte stroške neupoštevanja predpisov. Od opozorila, opomina do prepovedi zbiranja podatkov in denarnih kazni. Izognite se učinkovitim, sorazmernim in odvračilnim sankcijam z upoštevanjem predpisov splošne uredbe.

Vir: EC.EUROPA.EU. (2017).
Varstvo podatkov: Boljši predpisi za mala podjetja.
Pridobljeno na http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_sl.htm