Začnimo na začetku. Kaj je uredba GDPR in čemu je namenjena?
Uredba GDPR je pričela veljati 24. 5. 2016, v uporabo pa stopa s 25. 5. 2018. Evropska unija je namreč sprejela Splošno uredbo o varstvu osebnih podatkov oziroma GDPR (General Data Protection Regulation), saj je digitalizacija pripeljala do povečanega obsega zbiranja informacij in povečala pretok podatkov o posameznikih. To gromozansko količino podatkov je mogoče uporabiti tako v zakonite kot tudi v nezakonite namene, zato so se organi Evropske unije dogovorili za enoten predpis, ki bo na ravni Evropske unije okrepil pravice posameznikov ter poenotil in uskladil ukrepanje v vseh članicah EU. Uredba velja tudi za vsa tuja podjetja, ki poslujejo v Evropski uniji in zbirajo podatke o prebivalcih Evropske unije.
Katere ključne spremembe prinaša uredba GDPR?
Katere pravice pripadajo posamezniku z novo uredbo GDPR?
Zbiranje podatkov je dovoljeno le na podlagi privolitve, soglasje pa mora biti dokazljivo in dano na podlagi jasne in razumljive izjave, dane z nedvoumnim pritrdilnim dejanjem (t.i. "opt-in"). Način za preklic privolitve uporabe osebnih podatkov mora biti enako enostaven kot podaja soglasja. Vsak posameznik ima pravico do umika privolitve za nadaljnjo uporabo in obdelavo osebnih podatkov.
Posameznik ima pravico, da obdelovalcu sporoči popravek osebnih informacij, v kolikor so ti netočni. Če so bili zbrani netočni podatki posredovani tudi tretjim osebam (o čemer mora biti posameznik tudi obveščen), jih mora obdelovalec obvestiti o popravku. Na zahtevo je potrebno odgovoriti v roku enega meseca oziroma dveh, v kolikor je zahteva kompleksnejša.
Posameznik ima pravico, da se njegovi podatki izbrišejo, kadar ne obstaja več upravičen razlog za obdelovanje.
Nova uredba obdelovalcem podatkov nalaga 72-urni rok (brez nepotrebnega odlašanja) za obvestitev nadzornega organa o vdoru v podatkovne baze. V določenih primerih je o tem obvezno obvestiti tudi uporabnike. V kolikor pride do vdora v sistem in ima podjetje nameščene vse varnostne mehanizme, z novo uredbo ne bo plačalo kazni, mora pa obvezno poročati o incidentu.
Posameznik lahko zbrane podatke in informacije prevzame in prenese k konkurenčnemu ponudniku. Obdelovalec podatkov mora zbrane podatke posamezniku posredovati v strukturirani, splošno uporabljani in strojno berljivi obliki.
Kaj pomeni nova uredba za obdelovanje podatkov?
Podjetja bodo morala pri zbiranju osebnih podatkov natančno opredeliti, s kakšnim namenom se bodo podatki zbirali in kdo jih bo obdeloval. Navedba "zbrane podatke bomo uporabljali za nadaljnje trženjske namene" z novo uredbo ne bo več dovolj. Prenovljena zakonodaja bo od vas namreč zahtevala, da natančno razmislite, za kakšen namen boste podatke uporabili, ter skrbno načrtovanje vseh nadaljnjih korakov uporabe pridobljenih podatkov. Vsak posameznik bo lahko od obdelovalca podatkov zahteval izpis vseh podatkov, ki jih obdelovalec hrani o njem ter zahteva izbris le-teh.
Splošna uredba (EU) o varstvu podatkov torej želi omogočiti prebivalcem nadzor nad uporabo njihovih osebnih podatkov ter zvišati raven varstva osebnih podatkov. Kot mnoge spremembe pred to (spomnimo se, koliko prahu je dvignila zakonodaja, ki ureja uporabo spletnih piškotkov) tudi ta uredba sproža veliko debat in odpira mnoga nova vprašanja. Skladnost z uredbo GDPR bo za manjša podjetja enostavnejša kot za velika, bodo pa v vsakem primeru morala biti tržna orodja in kanali v skladu z uredbo po 25. 05. 2018. Svetujemo vam, da se sprememb lotite preudarno, zavedati pa se je potrebno, da nova uredba predvideva bistveno višje kazni za kršitve, kot so bile do sedaj. Za doseganje skladnosti z uredbo vam zato svetujemo, da se posvetujete s pravnimi strokovnjaki s področja varstva osebnih podatkov, saj je uredba kot novost postala tržna niša za ponudnike, ki GDPR obravnavajo enostransko in ponujajo le delno rešitev.
Avtor: Ana Alič
Več prispevkov