Portal TFL
Zakaj je zasebnost pomembna?
ŠTEVILKA in LETO IZDAJE
AVTOR
dr. Nataša Pirc Musar, odvetniška družba Pirc MusarDatum
13.03.2018
Rubrika
Tema tedna
Vir
Pravna podlaga
ni določena
Povezave
Podsistem TAX
Podsistem FIN
Podsistem LEX
Povzetek
Splošna uredba Evropske unije o varstvu osebnih podatkov (GDPR) prinaša dolgo pričakovano pravno usklajenost za področje varstva osebnih podatkov v Evropi. GDPR vsebuje že dobro uveljavljena načela o preglednosti, poštenosti in odgovornosti in dodaja nekaj pomembnih novih pravic za posameznike in novih obveznosti za upravljavce.
BESEDILO
Splošna uredba Evropske unije o varstvu osebnih podatkov (GDPR) prinaša dolgo pričakovano pravno usklajenost za področje varstva osebnih podatkov v Evropi. GDPR vsebuje že dobro uveljavljena načela o preglednosti, poštenosti in odgovornosti in dodaja nekaj pomembnih novih pravic za posameznike in novih obveznosti za upravljavce.
Nasveti za pripravljenost na GDPR
Če želite biti skladni, morate vedeti, katere podatke zbirate in obdelujete, kako jih zbirate, kaj delate z njimi in zakaj, kdo jih obdeluje in kje in kako jih varujete. Popis zbirk, če tega niste naredili že zaradi zahtev sedaj veljavnega zakona o varstvu osebnih podatkov (ZVOP-1), je nujna predpostavka.
Popis podatkov
- Formirajte multidisciplinarno ekipo, potrebujete namreč strokovnjake z različnih področij.
- Izberite programski okvir, ki usmerja delo vaše organizacije.
- Določite svoje cilje in prednostne naloge.
- Preglejte zbirke osebnih podatkov tako, da začnete s kategorijami občutljivih osebnih podatkov (po novem se bodo ti podatki imenovali posebne vrste osebnih podatkov) in enoznačnimi identifikatorji (v Sloveniji EMŠO, davčna številka in kartica zdravstvenega zavarovanja).
Dobro preučite osebne podatke, ki jih obdelujete
Izvedite popis v celotnem podjetju in kartirajte osebne podatke. Posebno pozornost namenite tistemu, ki jih upravlja, obdeluje, dostopa do njih, uporablja, popravlja, briše ali jih lahko posreduje drugim. Če boste vedeli, katere podatke zbirate, boste znali določiti svojo strategijo. Če boste vedeli, kdo se pri vas ukvarja z osebnimi podatki, bo to lahko zaradi boljše komunikacije z njimi del vaše korporacijske kulture in odgovornosti. Predvsem čisto pri vsaki zbirki osebnih podatkov preverite, kakšen pravni temelj imate, da nek podatek v zbirko sploh lahko gre.
Ocenite in upravljajte
Ocenite tveganja, prednosti in priložnosti ter vzpostavite sistem upravljanja za uporabo in dostop do osebnih podatkov.
Avtorizirajte in zavarujte
Zaščitite osebne podatke z uporabo varnostnih ukrepov, ki preprečujejo, odkrivajo in se odzivajo na ranljivosti in kršitve podatkov. Predvidite napake in malomarnost povsod, ne le pri zlonamernih posameznikih. Vgradite nadzor zasebnosti v svoje tehnologije in postopke, da zagotovite opozorila ob morebitnih kršitvah in da boste vedno znali izkazati privolitev posameznika, mu zagotavljati preglednost in nadzor nad njegovimi osebnimi podatki.
Dvig zavedanja
Ustvarite kulturo o zavedanju pomena varnosti in zasebnosti, tako da vključite vsakogar v svoji organizaciji, ki mora znati zaščititi tako svoje osebne podatke kot tudi osebne podatke vaših strank, vključno s poročanjem o nepravilnostih. Grožnje, dejavniki groženj, ranljivosti in tveganja so nenehno prisotni.
GDPR ozaveščenost
1. Ocenite stanje varovanja osebnih podatkov v vaši organizaciji.
2. Zberite in povežite obstoječe zmogljivosti in procese.
3. Ugotovite in odpravite najpomembnejše vrzeli.
4. Jasno izrazite nepravilnosti! Ni dovolj, da popravite tehnologijo oz. sisteme, napak in vrzeli se morajo zavedati predvsem ljudje.
Iščete usmeritve za GDPR s strani regulatorjev?
Vsi poskušamo razumeti zapleten tekst nove uredbe. Med strokovnjaki potekajo intenzivne razprave. Nam regulatorji lahko pomagajo?
Vsakdo si želi usmeritev. Vsi prosijo za napotke. Ker se dan, ko se GDPR začne uporabljati, približuje, vsi iščejo in si želijo napotkov. Delovna skupina iz člena 29 jih je dejansko nekaj že dala. Zelo dejavna je britanska informacijska pooblaščenka, ostali pooblaščenci, predvsem tisti iz manjših EU držav, dajejo napotkov bolj malo. V Sloveniji, tako kot v večini držav članic EU, še vedno čakamo na t.i. izvedbeno zakonodajo, na ZVOP-2, ki bi že davno moral biti v parlamentarnem postopku, če bi ga želeli v uporabi imeti še pravočasno, torej do 25. 5. 2018, ko bomo morali začeti uporabljati GDPR. Do parlamentarnih volitev sta samo še dve seji, marčevska in aprilska.
Če ZVOP-ne bo sprejet, bodo upravljavci v nezavidljivem položaju, saj se bomo znašli v situaciji, ko bo še vedno veljal ZVOP-1, ki absolutno ni usklajen z GDPR, in bomo morali uporabljati GDPR, ki je neposedno uporabljiv pravni akt.
Nedvomno pa se upravljavci že danes lahko pripravijo na nove obveznosti, kot so pravica posameznika do prenosljivosti podatkov, obveščanje posameznikov, če se zgodi vdor v zbirko osebnih podatkov, kako bodo izvajali pravico do pozabe in za velike upravljavce in celoten javni sektor najpomembnejša novost – imenovanje pooblaščene osebe za varstvo osebnih podatkov.