V veljavo stopa uredba GDPR – Kaj morate vedeti?

Datum Objavljeno, dne: 15.02.2018

Začnimo na začetku. Kaj je uredba GDPR in čemu je namenjena?

Uredba GDPR je pričela veljati 24. 5. 2016, v uporabo pa stopa s 25. 5. 2018. Evropska unija je namreč sprejela Splošno uredbo o varstvu osebnih podatkov oziroma GDPR (General Data Protection Regulation), saj je digitalizacija pripeljala do povečanega obsega zbiranja informacij in povečala pretok podatkov o posameznikih. To gromozansko količino podatkov je mogoče uporabiti tako v zakonite kot tudi v nezakonite namene, zato so se organi Evropske unije dogovorili za enoten predpis, ki bo na ravni Evropske unije okrepil pravice posameznikov ter poenotil in uskladil ukrepanje v vseh članicah EU. Uredba velja tudi za vsa tuja podjetja, ki poslujejo v Evropski uniji in zbirajo podatke o prebivalcih Evropske unije.


Katere ključne spremembe prinaša uredba GDPR?

  •  višje globe za kršitelje
  •  obvezno poročanje o vdorih v podatkovne baze
  •  pravica posameznika do izbrisa podatkov
  •  poenotenje varovanja osebnih podatkov
  •  jasna in nedvoumna privolitev v uporabo osebnih podatkov
  •  strožji pogoji za obdelavo osebnih podatkov
  •  časovna omejitev hrambe osebnih podatkov
  •  pravica posameznika do prenosa podatkov
  •  imenovanje pooblaščene osebe za varstvo osebnih podatkov

Katere pravice pripadajo posamezniku z novo uredbo GDPR?

  • Pravica do soglasja in odvzema soglasja na enak način, kot je bilo le-to dano.

Zbiranje podatkov je dovoljeno le na podlagi privolitve, soglasje pa mora biti dokazljivo in dano na podlagi jasne in razumljive izjave, dane z nedvoumnim pritrdilnim dejanjem (t.i. "opt-in"). Način za preklic privolitve uporabe osebnih podatkov mora biti enako enostaven kot podaja soglasja. Vsak posameznik ima pravico do umika privolitve za nadaljnjo uporabo in obdelavo osebnih podatkov.

  •  Pravica posameznika do popravka informacij in izbrisa (imenovana tudi »pravica do pozabe«).

Posameznik ima pravico, da obdelovalcu sporoči popravek osebnih informacij, v kolikor so ti netočni. Če so bili zbrani netočni podatki posredovani tudi tretjim osebam (o čemer mora biti posameznik tudi obveščen), jih mora obdelovalec obvestiti o popravku. Na zahtevo je potrebno odgovoriti v roku enega meseca oziroma dveh, v kolikor je zahteva kompleksnejša.

Posameznik ima pravico, da se njegovi podatki izbrišejo, kadar ne obstaja več upravičen razlog za obdelovanje.

  •  Pravica do obveščenosti v primeru vdora v podatkovne baze ali kraje osebnih podatkov.

Nova uredba obdelovalcem podatkov nalaga 72-urni rok (brez nepotrebnega odlašanja) za obvestitev nadzornega organa o vdoru v podatkovne baze. V določenih primerih je o tem obvezno obvestiti tudi uporabnike. V kolikor pride do vdora v sistem in ima podjetje nameščene vse varnostne mehanizme, z novo uredbo ne bo plačalo kazni, mora pa obvezno poročati o incidentu.

  •  Pravica posameznika do posredovanja zbranih podatkov tretji osebi oziroma organizaciji (imenovana tudi »pravica do prenosljivosti«).

Posameznik lahko zbrane podatke in informacije prevzame in prenese k konkurenčnemu ponudniku. Obdelovalec podatkov mora zbrane podatke posamezniku posredovati v strukturirani, splošno uporabljani in strojno berljivi obliki.

Kaj pomeni nova uredba za obdelovanje podatkov?

Podjetja bodo morala pri zbiranju osebnih podatkov natančno opredeliti, s kakšnim namenom se bodo podatki zbirali in kdo jih bo obdeloval. Navedba "zbrane podatke bomo uporabljali za nadaljnje trženjske namene" z novo uredbo ne bo več dovolj. Prenovljena zakonodaja bo od vas namreč zahtevala, da natančno razmislite, za kakšen namen boste podatke uporabili, ter skrbno načrtovanje vseh nadaljnjih korakov uporabe pridobljenih podatkov. Vsak posameznik bo lahko od obdelovalca podatkov zahteval izpis vseh podatkov, ki jih obdelovalec hrani o njem ter zahteva izbris le-teh.

Splošna uredba (EU) o varstvu podatkov torej želi omogočiti prebivalcem nadzor nad uporabo njihovih osebnih podatkov ter zvišati raven varstva osebnih podatkov. Kot mnoge spremembe pred to (spomnimo se, koliko prahu je dvignila zakonodaja, ki ureja uporabo spletnih piškotkov) tudi ta uredba sproža veliko debat in odpira mnoga nova vprašanja. Skladnost z uredbo GDPR bo za manjša podjetja enostavnejša kot za velika, bodo pa v vsakem primeru morala biti tržna orodja in kanali v skladu z uredbo po 25. 05. 2018. Svetujemo vam, da se sprememb lotite preudarno, zavedati pa se je potrebno, da nova uredba predvideva bistveno višje kazni za kršitve, kot so bile do sedaj. Za doseganje skladnosti z uredbo vam zato svetujemo, da se posvetujete s pravnimi strokovnjaki s področja varstva osebnih podatkov, saj je uredba kot novost postala tržna niša za ponudnike, ki GDPR obravnavajo enostransko in ponujajo le delno rešitev.
 

Avtor: Ana Alič

Več prispevkov