Varstvo osebnih podatkov – 2. del

Varstvo osebnih podatkov – 2. del

Subjekti javnega in zasebnega prava lahko zgolj z ustrezno zavarovanimi osebnimi podatki zadostijo zakonskim zahtevam, se tako izognejo predpisanim sankcijam in poslujejo brezskrbno. A da sploh lahko začnejo, morajo osvojiti vsaj splošno vedenje in poznavanje Uredbe, šele nato lahko prepoznavajo njene prednosti, se pripravijo na to, kar od njih zahteva ter začnejo prilagajati pravno in IT področje svojega delovanja. Predstavljamo nekatere ključne pojme in spremembe, ki jih prinaša GDPR.

Splošna uredba o varstvu osebnih podatkov (ang. General Data Protection Reform – GDPR), ki od subjektov zasebnega in javnega sektorja zahteva upoštevanje novih določil o varstvu osebnih podatkov se prične uporabljati s 25. majem 2018.

Obdelovalci in upravljavci (fizične ali pravne osebe, javni organi, agencije ali druga telesa, ki obdelujejo podatke v imenu upravljavca ali pa kot upravljavec sami ali skupaj z drugimi določajo namene in sredstva obdelave), se srečujejo s številnimi novostmi. Uvodoma je pomembno poznati zahtevo po vgrajene in privzetem varstvu osebnih podatkov, ki zahteva, da subjekti na varnost in varovalne mehanizme ter s tem pravice posameznikov mislijo že v fazi načrtovanja (in vzdrževanja) varnostne politike. Torej že, ko snujejo svojo dejavnost. Ker lahko nekatere vrste obdelave predstavljajo veliko tveganje za pravice in svoboščine posameznikov, je treba upoštevati tudi zahteve GDPR o predhodnih ocenah učinka, saj je pomembno tveganja za osebne podatke predvidevati vnaprej in v ta namen vključevati ustrezne (IT in pravne) rešitve.

V ospredju je torej zavedanje pravic posameznika, ki z GDPR-jem dobivajo nove razsežnosti. Posameznik ima od podjetja, ki obdeluje njegove osebne podatke, pravico zahtevati popravek, izbris (pravica do pozabe), umakniti soglasje, vložiti pritožbo oz. uporabiti pravna sredstva, izvedeti, kako dolgo se njegovi podatki hranijo, v kakšen namen se obdelujejo in pridobiti tiste, ki so bili posredovani naprej. S pravico do prenosa bodo morala podjetja posameznikove podatke na njegovo zahtevo prenesti drugemu ponudniku storitve. S tem je posameznikom marsikaj olajšano, od subjektov pa marsikaj zahtevano.

Poleg tega, da morajo sistemi omogočati vse te pravice, GDPR predstavlja obveznost uradnega obveščanja o kršitvah osebnih podatkov nadzornemu organu – to bo pri nas Informacijski pooblaščenec -, v nekaterih primerih pa tudi prizadetim posameznikom. V ta namen imajo nekatera podjetja obveznost, druga pa možnost, da imenujejo uradno osebo za varstvo osebnih podatkov (ang. Data Protection Officer – DPO). Ta je obvezen, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč kot sodnih organov), kadar temeljne dejavnosti upravljavcev in obdelovalcev vključujejo redno in sistematično spremljanje posameznikov ter obveznost pogojujejo narava, obseg in namen obdelovanih osebnih podatkov, pa tudi kadar se v velikem obsegu obdelujejo podatki posebnih vrst (prej občutljivi osebni podatki, npr. zdravstveni podatki, rasa, politično prepričanje ipd.).

Pooblaščenec, ki mora biti strokovno in praktično podkovan s področja varstva osebnih podatkov ter imeti globoko razumevanje zakonodaje, skrbi za obveznost poročanja nadzornemu organu v primeru kršitev. Poleg tega je zadolžen za obveščanje upravljavca, obdelovalca in zaposlenih, kjer deluje (lahko kot notranji, zunanji ali pa skupni pooblaščenec več subjektov), spremlja skladnosti, svetuje, kadar je potrebno glede ocene učinka in pa deluje kot kontaktna točka za nadzorni organ pri predhodnih posvetovanjih v zvezi z vprašanji obdelave osebnih podatkov.

Eno ključnih področij novitete predstavljajo soglasja za obdelavo osebnih podatkov. Veljajo namreč novi pogoji za privolitev, ki mora biti tako dana z jasnim pritrdilnim dejanjem. Posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazi soglasje k obdelavi osebnih podatkov v zvezi z njim, pisno, lahko z elektronskimi sredstvi, ali ustno izjavo. To pa pomeni, da v kolikor predhodna soglasja niso bila pridobljena po teh pravilih, niso več veljavna in je potrebno pridobiti nova, in sicer za vsak namen obdelave posebej (lahko na istem obrazcu, vendar pod ločenimi točkami), pri vsem tem pa še vedno paziti na upoštevanje sedmih načel obdelave osebnih podatkov.

Sedem načel obdelave osebnih podatkov: zakonitost, pravičnost in preglednost, omejitev namena, zajemanje najmanjšega možnega obsega podatkov, točnost, omejitev shranjevanja, celovitost in zaupnost, ter vseskozi poudarjena – odgovornost.

Ključnega pomena so torej komunikacija, soglasja, dostopnost (in prenosljivost) osebnih podatkov, opozarjanje na nepravilnosti, pravica do pozabe in pa varnostni mehanizmi kot taki. Ne moremo pa mimo dejstva, da Zakon o varstvu podatkov (ZVOP-2), ki bi bil prilagojen zahtevam Uredbe, letos ne bo sprejet, kar nalaga še dodatni pritisk na obdelovalce in upravljavce.