Zadnje leto je bilo leto kršitev varstva podatkov, tako po resnostih kot po vrstah kršitev. Prelomna odločba ECJ (Max Schrems, Safe Harbour) je onemogočila oz. razglasila za neveljavno delovanje sistema varnega pristana (da tretja država zagotavlja ustrezno raven varstva zasebnosti pri obdelovanju osebnih podatkov) za prenos osebnih podatkov v ZDA.
Uredba bo imela znaten vpliv na več področij, kjer bo treba ustrezno uskladiti varovanje podatkov. Tukaj predstavljamo nekaj izmed bistvenih sprememb, v bodoče pa bomo predstavili tudi še določene druge.
Kazni
Uredba uvaja precejšnje povečanje kazni, ki jih regulatorji lahko uporabijo, če pride do kršitev na področju njihovega delovanja. Višina kazni bo seveda odvisna od narave kršitev, vendar pa bo možno poseči vse do 20 milijonov evrov ali do 4 odstotke skupnega letnega prometa kršitelja. Ob tako visokih kaznih, bo skladnost z zakonodajo o varstvu podatkov postala pomemben del politike podjetij.
Obvezno obvestilo o kršitvi
V 33. členu Uredba ureja uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov. Organizacija, ki upravlja z osebnimi podatki, mora v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja, vendar najpozneje v 72 urah odkar je izvedel za kršitev, obvestiti pristojni nadzorni organ (Informacijskega pooblaščenca). Obstaja tudi izjema k pravilu, in sicer ni potrebno obvestilo, če ni verjetno, da bi kršitev ogrozila pravice in svoboščine posameznika. Trenutno te obveznosti ni, obstaja pa nenapisano pravilo, da organizacije obvestijo regulatorja, če gre za zadosti resno kršitev.
Poleg tega bodo morali upravljavci na podlagi 34. člena obvestiti o kršitvi varstva osebnih podatkov tudi posameznika, na katerega se nanašajo osebni podatki, če je verjetno, da bo kršitev povzročila veliko tveganje za pravice in svoboščine posameznika.
Pravice posameznikov
Eno izmed vodil uredbe je, da imajo posamezniki nadzor nad obdelovanjem njihovih osebnih podatkov. Zaradi tega sta bili v uredbo vključeni dve novi pravici, pravica do pozabe oz. izbrisa (člen 17) in pravica do prenosljivosti podatkov (člen 20). Pravica do pozabe izhaja iz znane sodbe Google Spain (C-131/12) in omogoča posameznikom, da zahtevajo izbris osebnih podatkov pod določenimi pogoji. V 1. odstavku 17. člena so od točke a do f zapisani ti primeri. Gre npr. zato:
- da podatki niso več potrebni za namen, zaradi katerega so bili zbrani ali obdelani
- da posameznik prekliče privolitev in ne obstaja druga podlaga
- da so podatki obdelani nezakonito, itn.
Druga pravica iz 20. člena, pa zagotavlja, da je posameznik upravičen pridobiti podatke, za katere zaprosi, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral (prvi del te pravice dejansko omogoča prenos podatkov k drugemu upravljavcu).
Privolitev
Privolitev za obdelavo osebnih podatkov ostaja tudi v novi uredbi, so se pa nekoliko zaostrile zahteve glede privolitve zaradi še večje transparentnosti.. Še vedno mora biti privolitev prostovoljna, specifična in ozaveščena, vendar pa mora biti sedaj še dana z jasnim pritrdilnim dejanjem in mora nedvoumno izražati soglasje k obdelavi osebnih podatkov (4. člen, razlaga pojmov). Poleg tega mora biti namen zbiranja ali obdelovanja določen, izrecen in zakonit.
Pooblaščena oseba za varstvo podatkov
Oddelek 4, od 37. člena naprej, ureja obvezno imenovanje in področje delovanja pooblaščene osebe za varstvo podatkov. Po veljavni zakonodaji ni obvezno za organizacijo (upravljavca ali obdelovalca v podjetju ali javnemu organu), da imenuje tako osebo. Po novi uredbi je pooblaščena oseba za varstvo podatkov obvezna za:
- javne organe,
- organizacije, ki se ukvarjajo z rednim in sistematičnim obsežnim spremljanjem podatkov posameznikov zaradi njihove narave, obsega in namenov,
- organizacije, ki se ukvarjajo z obsežnim obdelovanjem posebnih vrst podatkov (9. člen) in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški (člen 10).
Posebne vrste podatkov so določene v 9. členu uredbe. Gre za občutljive osebne podatke, ki bi lahko pomenili resno grožnjo za temeljne pravice in svoboščine posameznikov in predstavljajo osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, obdelavo genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.
Pooblaščena oseba bo odgovorna za skladnost delovanja organizacije z uredbo in bo prva kontaktna točka v primeru preiskave s strani informacijskega pooblaščenca. Pooblaščena oseba mora imeti zadostno strokovno znanje glede skladnosti varstva podatkov z zakonodajo.
Širša uporaba
Uredba širi obseg uporabe zakonodaje varstva podatkov tudi na organizacije izven EU, če je njihova dejavnost usmerjena na potrošnike v EU. Vprašanje je, kako bo EU to določbo izvrševala v praksi. Uredba sicer velja za upravljavce osebnih podatkov, ključni deli uredbe pa se uporablja tudi za obdelovalce. Obdelovalec je po 4. členu fizična ali pravna oseba, ki deluje v imenu upravljavca, vendar ne določa namena in načinov obdelovanja podatkov. Če se organizacija odloči najeti izvajalca glede storitev informacijske tehnologije ali obračunavanja in izplačevanja plač, je ta izvajalec obdelovalec podatkov.
Proaktivnost glede varovanja zasebnosti
Doslej je veljalo načelo reakcijskega pristopa do zasebnosti, t.j. da se ukrepa naknadno, ko je do kršitve že prišlo. Po novem pa se zahteva proaktiven pristop, tako da se kršitve kar v največji meri skušajo preprečiti z raznimi pogoji za skladnost delovanja z uredbo. Tako bo potrebna ocena tveganja glede varstva podatkov (ocena učinka v zvezi z varstvom podatkov po 35. členu) pri vsakem projektu, ki ima veliko stopnjo tveganja glede varstva podatkov), skladnost z zakonodajo varstva podatkov pa bo treba tudi redno preverjati.
Organizacije z več kot 250 zaposlenimi bodo morale imeti in vzdrževati točne podatke o dejavnosti obdelovanja podatkov.
Vsi, ki se ukvarjajo z obdelovanje osebnih podatkov, bodo morali pregledati in po potrebi dopolniti pravilnike, pogoje poslovanja, ipd. (politike organizacije), tako da bo zagotovljena hitra in enostavna identifikacija, zamejitev in odprava kršitve. Zagotoviti je potrebno, da se v primeru kršitve obvesti pooblaščenca v 72 urah.
Prav tako morajo politike vsebovati določbe, ki omogočajo nedvoumno privolitev in jasno ter izrecno določajo namen zaradi katerega se podatki obdelujejo (prednastavljene kljukice v formah ali molk nista veljavni obliki privolitve po novem). Če organizacija nima imenovane pooblaščene osebe za varstvo podatkov, bo treba izbrati ustrezno osebo, ki poseduje potrebna znanj.
Če se za projekte ne uporablja ocena učinkov na varstvo podatkov, bo to po novem potrebno. Treba bo določiti procese, ki bodo zagotavljali, da se pri vsakem projektu taka ocena resnično izvede oz. da se identificirajo projekti, ki imajo lahko resne vplive na pravico do zasebnosti posameznika.
Če se izvaja obdelovanje za druge organizacije, je potrebno pogledati, kakšne obveznosti je treba izpolnjevati po uredbi. Po možnosti (glede na obseg uredbe) je treba pridobiti mnenje, ali organizacija obdeluje skladno z uredbo ali pa mora kaj dopolniti.
Potrebno je imeti zagotovljene ukrepe, ki:
- omogočajo izbris podatkov na zahtevo in kjer je potrebno,
- zagotavljajo podatke v lahko dostopni, strukturirani, običajni in strojno berljivi obliki
- omogočajo hrambo podrobnih zapisov načina obdelave osebnih podatkov
12 korakov do skladnosti s Splošno uredbo o varstvu podatkov – kratek priročnik angleškega informacijskega pooblaščenca.
Pripravil: Miha Jesenko
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala EDUS.
