Kaj se šteje za osebne podatke?
Osebni podatki so v uredbi definirani kot katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti. Torej z imenom, priimkom, naslovom, e-pošto, telefonsko številko, uporabniškim imenom, IP-naslovom, spletnimi identifikatorji. Torej, če lahko iz podatka določite osebo, potem je to osebni podatek.
Kaj so posebne vrste osebnih podatkov?
To že zdaj poznamo pod "občutljivi podatki". To so zdravstveni podatki, podatki, ki razkrivajo rasno, etnično pripadnost, spolno usmerjenost, verska prepričanja..
Kdaj lahko zbirate osebne podatke?
Da je obdelava podatkov zakonita, mora biti izpolnjen eden izmed šestih pogojev:
- posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo osebnih podatkov za enega ali več določenih namenov
- obdelava je potrebna za izvajanje pogodbe (denimo posojilne pogodbe)
- obdelava je potrebna za izpolnitev zakonske obveznosti
- obdelava je potrebna za zaščito življenskih interesov posameznika
- obdelava je potrebna zaradi legitimnih interesov
- obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu
Evropska komisija predvideva, da takrat, ko morate zbirati osebne podatke, te omejite na tiste, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.
Kakšna privolitev je dobra privolitev?
Privolitev mora biti dana jasno, prostovoljno, specifično, ozaveščeno in nedvoumno. Nedejavnost ni privolitev. Molk posameznika tudi ni privolitev. Privolitev je lahko dana pisno, z elektronskimi sredstvi, tudi ustna izjava velja. Dokazno breme, da ste privolitev dobili, je na upravljalcu osebnih podatkov - torej, morate biti sposobni dokazati, da ste privolitev res dobili.
Privolitev mora biti:
- prosto dana (uporabnik se ne sme čutiti prisiljenega, da jo da)
- informirana (uporabnik mora vedeti, komu in s kakšnim namenom daje svoje osebne podatke)
- granulirana ( vsaka zadeva potrebuje svojo individualno privolitev, pavšalna ne velja)
- prostovoljna (uporabniku ne smete pogojevati uporabe storitve s tem, da privoli v obdelavo osebnih podatkov)
Kdo je pooblaščena oseba za varstvo osebnih podatkov?
Pooblaščena oseba za varstvo osebnih podatkov je tisti, ki bo moral obdelovalcu ali upravljalcu osebnih podatkov neodvisno pomagati pri zagotavljanju skladnosti obdelave osebnih podatkov z GDPR. Spletne trgovine oz vsi tisti, ki profilirate svoje stranke, vsi, ki imate klube zvestobe boste potrebovali pooblaščeno osebo.
Pooblaščene osebe pa ne potrebujete vsa podjetja. Če temeljna dejavnost vašega podjetja ni zbiranje osebnih podatkov oz. če npr. zbirate osebne podatke samo vaših zaposlenih, potem ne potrebujete pooblaščene osebe. Ne glede na velikost vašega podjetja.
Poglejmo, za koga GDPR pravi, da potrebuje pooblaščeno osebo:
- vsi upravljalci ali obdelovalci osebnih podatkov v javnem sektorju (zdravstveni domovi, šole, vrtci, knjižnice itd.)
- tisti v zasebnem sektorju, katerih temeljne dejavnosti zajemajo takšne obdelave osebnih podatkov, ki vključujejo redno, sistematično spremljanje; torej tisti, ki svoje stranke profilirate (trgovci, operaterji, klubi zvestobe, fitnes centri itd)
- tisti, ki osebne podatke obdelujejo v zvezi s kazenskimi obsodbami in prekrški
- tisti, ki obdelujejo posebne vrste osebnih podatkov, tu gre za podatke, ki razkrivajo rasno ali etično pripadnost, politično mnenje, versko ali filozofsko prepričanje itd..
Pravice posameznikov do pozabe, prenosljivosti, popravka, dostopa
Pravica do pozabe/izbrisa je pravica posameznika, da upravljavec osebnih podatkov te izbriše brez nepotrebnega odlašanja. Posameznik lahko tako izbris zahteva, ko osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani, posameznik prekliče privolitev. Če se podatki vodijo na podlagi zakona (denimo davčno, delovnopravno področje), potem posameznik ne bo mogel doseči izbrisa, podobno ne bo mogel doseči izbrisa tam, kjer prevladajo drugi interesi in pravice.
Pravica do popravka pomeni pravico posameznika, na katerega se nanašajo osebni podatki, da upravljalec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim.
Prenosljivost osebnih podatkov je pravica, da posameznik prejme podatke v zvezi z njim, ki jih je posredoval upravljalcu. Hkrati ima pravico, da te podatke posreduje drugemu upravljalcu, ne da bi ga prvotni upravljalec pri tem oviral.
Pravica do dostopa pomeni, da ima posameznik, na katerega se nanašajo osebni podatki, pravico dostopa do osebnih podatkov, namena njihove obdelave, vrste zadevnih osebnih podatkov, uporabnikov ali kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah.
Kdo mora pripraviti oceno učinka varstva osebnih podatkov?
Ocena učinka bo potrebna takrat, ko bo možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov.
Ocena učinka se zahteva zlasti, v primeru:
- sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno s profiliranjem, in je podlaga za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj podobno vplivajo (avtomatizirano odločanje o (ne)dodelitvi posojila na banki)
- obsežna obdelava posebnih vrst podatkov, denimo biometričnih podatkov
-obsežno sistematično spremljanje javno dostopnega območja, denimo videonadzor
Ocena mora vsebovati sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno, pa tudi zakonitih interesov, za katere si prizadeva upravljavec, oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen, oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe.
Kdaj morate pripraviti evidenco dejavnosti obdelave?
GDPR predpisuje, da morajo evidenco pripraviti podjetja z vsaj 250 zaposlenimi, torej velika podjetja. Tudi tukaj obstajajo izjeme: če je verjetno, da obdelava, ki jo izvajate, pomeni tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ta obdelava ni občasna, ali pa vključuje posebne vrste podatkov, potem morate tudi vi pripraviti evidenco dejavnosti obdelave.
Evidenca bo morala vsebovati naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov, namene obdelave, opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrste osebnih podatkov, kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, predvidene roke za izbris različnih vrst podatkov (kadar je mogoče) ter splošni opis tehničnih in organizacijskih varnostnih ukrepov, seveda, ko je to možno.
Predpisane kazni
GDPR predpisuje visoke kazni. Najvišji zneski, ki se omenjajo, so do 20 milijonov evrov oziroma štiri odstotke letne prodaje (kar je več). Vendar, to so najvišji zneski! Možnost, da bi vas tudi zares doletela tolikšna kazen, je precej majhna. Kazen bo morala biti sorazmerna, odvračilna in učinkovita, poudarjajo v uradu informacijske pooblaščenke ter dodajajo, da se bo pri določanju višine kazni upoštevalo kar 11 meril (med drugim narava, teža in trajanje kršitve, število posameznikov, raven škode; ali je kršitev namerna ali posledica malomarnosti; vsi ukrepi, ki jih je upravljavec/obdelovalec sprejel za ublažitev škode; predhodne kršitve upravljavca/obdelovalca ...).
V primeru kršitve
Vse kršitve varnosti morate podjetja in organizacije dokumentirati pri sebi, o nekaterih obveščati nadzorni organ (urad informacijske pooblaščenke), o posameznih zelo hudih kršitvah pa bo treba obvestiti vsakega prizadetega posameznika ali splošno javnost. Nadzorni organ morate obvestiti v 72 urah po tem, ko se zaveste, da se je zgodila kršitev.
Kako poskrbeti za varnost podatkov?
Za podatke, ki jih podjetje hrani ali obdeluje, je treba zagotoviti ustrezno raven varnosti, seveda glede na tveganje.
GDPR predvideva naslednje ukrepe (glede na njihovo ustreznost):
GDPR predvideva naslednje ukrepe (glede na njihovo ustreznost):
-psevdonimizacija in šifriranje osebnih podatkov (pozor: psevdonimizirani podatki so še vedno osebni podatki!);
-zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov ter storitev za obdelavo osebnih podatkov;
-zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
-redno testiranje, ocenjevanje in vrednotenje učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava. Upravljavec in obdelovalec morata zagotoviti, da katerakoli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.