Avtor GDPR – Novosti o varstvu osebnih podatkov
S 25. 5. 2018 se prične uporabljati Splošna uredba o varstvu podatkov (GDPR), ki prinaša nova pravila. (Direktiva 2016/680 Evropskega parlamenta in Sveta z dne 27.4.2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij in o prostem pretoku takih podatkov.
Kaj je osebni podatek (OP)? Je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. Osebni podatek je torej:
Ime in priimek
Naslov
Spletni naslov
Podatki o zdravju
Prihodek
Kulturni profil
Drugo
Cilj nove Uredbe je omogočiti večji nadzor nad osebnimi podatki, obenem pa na nivoju EU zagotoviti enotnejšo obravnavo varstva osebnih podatkov, s tem pa tudi usklajeno ukrepanje. Z razvojem digitalizacije (internet, pametni telefoni, družabna omrežja) se je bistveno povečal pretok informacij ter količina podatkov, ki jim lahko sledimo. V izogib zlorab različnih podatkov je bilo nujno potrebno okrepiti pravice posameznikov.
Vsak posameznik naj bi bil obveščen o namenu in načinu obdelave osebnih podatkov, tako bo lažje dostopal do lastnih osebnih podatkov. Zagotovljena bo »pravica do pozabe«, kar pomeni, da bo posameznik lahko (v kolikor niso zakoniti razlogi) zahteval, da se njegovi podatki zbrišejo. Z namenom, da se zagotovi večji nadzor in učinkovito izvajanje nadzora nam osebnimi podatki, bo posameznik imel tudi pravico vedeti, kako dolgo se hranijo njegovi podatki, zahteval bo lahko popravek, izbris ali vložil pritožbo, lahko pa bo uveljavljal pravico do prenosljivosti osebnih podatkov (npr. če bi uporabnik želel zamenjati ponudnika storitve). Posameznik ne sme biti podvržen ukrepov, ki izhaja iz profiliranja ali predvidevanj (npr. ocena zdravja, navad…).
Upoštevajo se PRAVICE do:
Ugovora (npr. podatki se ne obdelujejo več v primeru neposrednega trženja)
Omejitve obdelave (posameznik oporeka točnosti podatkov)
Prenosljivost OP (posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljalcu),
Popravka ali izbrisa »Pravica do pozabe« (npr. OP niso več potrebni v namene, za katere so bili zbrani ali obdelani, OP niso bili obdelani zakonito, posameznik prekliče privolitev in ni druge pravne podlage za obdelavo),
Informiranosti in seznanitve z lastnimi OP (določeni so roki za pridobitev kopije 15 dni do 1 mesec)
Avtomatizirane obdelave podatkov in profiliranja (posameznik ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi – razen v nekaterih primerih npr. če je odločitev nujna za sklenitev pogodbe, utemeljena z izrecno privolitvijo posameznika, dovoljena v pravu Unije.
Ključne novosti za upravljalce in obdelovalce podatkov
Podrobnejša opredelitev obdelave podatkov zadeva upravljalca in osebe, ki osebne podatke obdelujejo. Obveznost se nanaša na:
uradno obveščanje o kršitvah varstva osebnih podatkov,
javni sektor ali podjetja, ki zajemajo podatke in jih obdelujejo, morajo imenovati uradno (odgovorno) osebo za varstvo podatkov,
predhodna izvedba analiz učinkov na varstvo osebnih podatkov tj. obveznost poročanja nadzornemu organu (npr. izguba osebnih podatkov).
Osebni podatki se zbirajo na podlagi PRIVOLITVE, torej soglasja. Izjava mora biti jasna, nedvoumna, dokazljiva. Posameznik mora izrecno privolitvi v obdelavo podatkov ter zbiranje. Nujno je potrebno preveriti veljavnost že obstoječih privolitev.
Pri tem je potrebno upoštevati posebno varstvo otrok, ki so opredeljeni kot posebej ranljiva skupina (privolitev staršev, omejitev 16 oz. ne nižje od 13 let). Podjetja se ne bodo več zanašala na »domnevno privolitev« otrok.
Namesto dosedanjih katalogov se uvaja evidenca obdelav. Upravljalci ne bodo dolžni prijavljati zbirk OP v centralni register, velja pa za določene upravljavce ter nekatere pogodbene obdelovalce obveznost vodenja evidence dejavnosti obdelave (podobno katalogu).
Informacijo o pridobivanju OP, kadar niso bili pridobljeni od posameznika, na katerega se ti nanašajo, je potrebno posredovati najpozneje v roku 1 meseca, upoštevajo pa se posebne okoliščine.
Upravljalec podatkov izvede tehnične in organizacijske ukrepe za zagotovitev ustrezne obdelave podatkov, pri čemer upošteva določbe nove Uredbe (25.-30. člen), vključno z kodeksi ravnanja, oceno učinkov na varstvo osebnih podatkov, predhodno posvetovanje, certificiranje, obvestilo o kršitvah itd. Predhodno posvetovanje z nadzornim organom je nujno pred začetkom obdelave, če je iz ocene učinka na varstvo osebnih podatkov razvidno, da bi obdelava povzročila veliko tveganje.
Obvestilo o kršitvi varstva osebnih podatkov je potrebno realizirati najkasneje v 72 urah po seznanitvi s kršitvijo.
Upoštevajo se TEMELJNA NAČELA:
Zakonitosti (Obdelava podatkov je dopusta, če je v javnem interesu ali je potrebna za izvedbo ter sklenitev pogodbe, izpolnitev zakonskih obveznosti, posameznik je v obdelavo privolil, privolitev mora biti nedvoumna, svobodna, za mlajše od 16 let – privolitev staršev, dokazljiva itd.),
Preglednosti (informacije so jedrnate, razumljive, enostavne, lahko so v elektronski obliki. V informacije mora biti vključeno opozorilo na tveganja, pravila upravljavca, zaščitni ukrepi, vključevati mora obvestilo ali je oseba dolžna podati podatke ter morebitne posledice, če podatkov ne posreduje, pravice posameznika itd.),
Pravičnosti,
Omejitev namena (podatki morajo biti zbrani za namen arhiviranja v javnem interesu, zgodovinske, statistične, znanstvene namene),
Minimizacija (OP morajo biti ustrezni in omejeni tako, da jih je možno ustrezno obdelovati npr. za arhiviranje, statistiko),
Točnost (Podatki morajo biti točni, po potrebi posodobljeni).
Omejitev shranjevanja (Upravljalec je dolžan določiti roke za shranjevanje, kolikor je to potrebno npr. za izbris ali občasno preverjanje nadaljnje potrebnosti podatkov). Izjema: arhiviranje, znanstveni, statistični nameni.
Celovitost (Zagotoviti je potrebno ustrezno varnost in zaupnost OP, nepooblaščenim je onemogočen dostop do podatkov, upravljalec je dolžan ocenjevati tveganje),
Odgovornost upravljavca / novosti:
– Ni več obveznosti prijave kataloga zbirk.
– Dolžni so imenovati osebo, zadolženo za varstvo osebnih podatkov (oseba, ki je pri upravljavcu OP odgovorna za skladnost obdelave OP). Obvezno imenovanje je v državnih organih, pri upravljalcih, ki spremljajo posameznike na podlagi profiliranja, segmentiranja ipd., pa tudi pri upravljalcih, ki so povezani s podatki v kazenskih obsodbah.
– Dolžni so poročati o kršitvah v zvezi z varstvom osebnih podatkov.
– Opravi se vpliv na varstvo osebnih podatkov, v koliko obstoji tveganje za posameznika se realizira posvet z nadzornim organom.
Nadzorni organ je informacijski pooblaščenec RS, ki lahko za lažje kršitve izreka upravne globe v znesku do 10.000.000 EUR ali v primeru podjetja do 2 % skupnega svetovnega letnega prometa v preteklem obračunskem letu. Za težje kršitve pa so upravne globe v znesku do 20.000.000 EUR ali v primeru podjetja v znesku do 4 % skupnega svetovnega letnega prometa v preteklem obračunskem letu.
