GDPR na hitro za manjša podjetja

General Data Protection Regulation (GDPR) oz. prevedeno Splošna uredba EU o varstvu podatkov je že od začetka maja 2018 v veljavi. Za vse tiste, ki še niste seznanjeni z delovanjem nove uredbe, si lahko kaj več o tem preberete tukaj.

Glede na to, da ta prispevek cilja na podjetja in njihovo delovanje znotraj GDPR uredbe, se kar lotimo problema. Srž regulacije se nahaja predvsem v vseh podrobnostih, katerih natančno omejitve lahko ob neupoštevanju prinesejo marsikatero težavo in predvsem obsežne finančne sankcije. Če smo natančni, nas lahko ena sama napaka oz. prijava napake stane med 1%-4% letnega dobička, kar se ob večih kršitvah hitro nabere v  vrtoglave zneske. Sicer je GDPR v svoji osnovi namenjen predvsem multinacionalkam (Google, Facebook itd.), ki so znana po večih kršitvah varovanja podatkov in njihovi preprodaji. Glede na to, da imajo dotična podjetja ogromne sklade namenjene zgolj plačevanju kršitev in so zaradi tega skoraj nedotakljiva, je bila ta regulacija nujna.

To sicer ne zanemarja dejstva, da se GDPR nanaša prav na vsa podjetja, od majhnih pa vse do največjih. Zaradi količine informacij, ki se dandanes nahajajo na internetu, brez tega več ne gre. Posledično smo vsi ”prisiljeni” v našo delovno prakso vključiti delovanje, ki je skladno z regulacijo o varovanju osebnih podatkov.

Kje začeti?

Pametno je, da naredimo začetno oceno skladnosti z GDPR-jem. To pomeni analizo vidikov vaših poslovnih procesov, pravne, IT in varnostne vidike. Nato določite skupni strateški pristop k implementaciji in vdrževanju skladnosti z GDPR-jem. Implementacija samega GDPR programa je dolgotrajen proces, ki terja natančen in korekten pristop, katerega uspešna izvedba prinaša mnoge dolgoročne koristi.

1.Začetna ocena

Zgoraj omenjeni vidiki zahtevajo posamezne ocene in poročila, na podlagi katerih pripravimo načrt. Poslovni procesi tako med drugim zahtevajo natančno mapiranje poslovnih procesov, pravni vidik zajema pregled internih pravnih dokumentov in delovnih praks, IT oddelek se bo moral posvetiti sistemom, na katere GDPR najbolj vpliva itd. Ko imamo opravljen ta korak, se lahko lotimo uspešne implementacije.

Oznaka AMP na levi strani povezave

2. Implementacija

Vsekakor najtežji in najobsežnejši korak procesa, ki zajema prav vsa področja, od pridobivanja podatkov do njihovega upravljanja, ki pa lahko ob dobri izvedbi prinese mnogo prednosti.

     2.1. Poznavanje zakonodaje

Zaradi specifičnosti same zakonodaje moramo za začetek poskrbeti za ozaveščenost vseh zaposlenih. To pomeni, da je potrebno prav vse seznaniti z njeno vsebino in metodami novega sistema, ki bo vključeval ”privacy by design”. Poleg vsega je potrebno sprejeti in poznati sledeče pravne akte:

  • Evidence dejavnosti obdelave
  • Politika varstva osebnih podatkov in zasebnosti
  • Pravilnik o varovanju osebnih podatkov
  • Pravilnik o opravljanju videonadzora – ZVOP-2
  • Evidenca o posredovanju osebnih podatkov
  • Izjave o varovanju osebnih podatkov (za zaposlene in druge osebe, ki obdelujejo osebne podatke v podjetju/organizaciji).

   2.1.1. Evidentiranje dejavnosti obdelav

Evidentiranje je ključnega pomena ne samo zaradi zakonske obveznosti in lažjega upravljanja s podatki, temveč tudi zaradi lažjega izkazovanja skladnosti z drugimi vidiki Uredbe. Večje organizacije, ki zaposlujejo več kot 250 oseb, morajo evidentirati VSE svoje dejavnosti obdelav osebnih podatkov.

Za manjše organizacije pod 250 zaposlenimi so te obveznosti omejene, sami moramo evidentirati le tiste dejavnosti obdelav, ki niso občasne ali predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Evidentiranje tudi vključuje posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami ali prekrški.

     2.1.1.1. Kako je potrebno evidentirati?

Evidenca mora obvezno vsebovati naziv/ime in kontaktne podatke upravljalca, namen obdelave, opis kategorij posameznikov, na katere se nanašajo osebni podatki in kategorije uporabnikov, ki so jim bili tej osebni podatki razkriti. Sem prav tako spadajo informacije o prenosih, predvideni roki za izbris in splošni opis tehničnih in organizacijskih varnostnostnih ukrepov. Priporočljivo je, da zaradi lažje skladnosti z Uredbo vodite tudi evidenco pravnih podlag, zbirko pridobljenih privolitev, seznam obvestil o kršitvah, evidenco uveljavljanja pravic posameznikov in interni pravilnik o varovanju osebnih podatkov.

Oznaka AMP na levi strani povezave

             2.1.1. Pooblaščena oseba za varstvo podatkov

Obvezna je določitev pooblaščene osebe za varstvo podatkov, ki pa je lahko zunanja ali notranja. Ta oseba mora biti vključena v vse zadeve v zvezi z varstvom podatkov, kar zajema vse sestanke, prisotnost pri sprejemanju odločitev, posvetovanje v primeru kršitev itd. Podatki kontaktne osebe morajo biti javno dostopni in med drugim zajemajo ime, priimek in mail. Naloge odgovorne osebe zajemajo spremljanje skladnosti, analiziranje, svetovanje, obveščanje, sodelovanje z informacijskim pooblaščencem (IP) in vodenje evidence.

Upravljalci ne bodo več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, ostajajo pa dolžnosti sprejema katalogov, te dolžnosti se krepijo in uvajajo tudi za (pogodbene) obdelovalce.

Večji poudarek daje uredba tudi (predhodnim) izvedbam analiz učinkov na varstvo osebnih podatkov, v primeru varnostnih incidentov, kot je npr. izguba osebnih podatkov, pa se uvaja obveznost poročanja nadzornemu organu in v določenih primerih tudi obveščanja vseh prizadetih posameznikov.

      2.2 Obdelava osebnih podatkov

Vsekakor najpomembnejše področje GDPR-ja, saj prinaša mnogo novosti, sprememb in predvsem popolnoma spremenjen način poslovanja. Zgoraj omenjeni ”Privacy by design” predvsem cilja na prenovljen pristop zbiranja informacij, saj dosedanji ne ustrezajo postavljenim standardom.

Pod obdelavo podatkov sodijo sledeče dejavnosti: zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, preklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Zbiranje podatkov je eno ključnih področij, ki zahteva natančen pristop. Pogoje privolitve lahko najdemo v 7. členu, ki jasno določajo, da more biti upravljalec zmožen dokazati, da ima ustrezne privolitve za obdelavo. To pridobimo preko obrazca, ki mora biti narejen po določenih standardih in pravilih.

    2.2.1. Obrazec za privolitev

Ta zajema zahtevo za privolitev, ki mora biti jasno ločena od ostalih stvari. V jasnem, preprostem jeziku je potrebno razumljivo in v lahko dostopni obliki izpostaviti možnost privolitve za zbiranje podatkov. Strogo je prepovedana uporaba vnaprej obkljukanih okenc ali molk domnevati kot privolitev.

Obiskovalca moramo prav tako obvestiti o možnosti preklica privolitve in o dejstvu, da izvajanje pogodbe/storitve ni pogojeno s privolitvijo.

Kaj pa je s privolitvami, pridobljenimi pred uvedbo GDPR zakonodaje?

Dejstvo je, da mnogo podjetij vidi največji problem predvsem v tem, da bo potrebna ponovna pridobitev vseh osebnih podatkov, ki jih že imamo a niso bili pridobljeni po sprejemu GDPR-ja. Po 171. uvodni odločbi velja, da v primeru, ko je bila pridobitev podatkov opravljena v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni potrebno dati ponovne privolitve. Upravljalcu se dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uvedbe te uredbe.

 

3. Prijava kršitev varnosti

Upravljalec osebnih podatkov je zaradi nove Uredbe, dolžan o vsaki kršitvi varnosti osebnih podatkov, če je verjetno, da bi bile s kršitvijo ogrožene pravice in svoboščine, obvestiti nadzorni organ (IP-Informacijski Pooblaščenec, https://www.ip-rs.si/ ). Obvestilo je treba podati takoj po zaznani kršitvi, najkasneje pa v 72 urah. Če uporavljalec s kršitvijo varovanja podatkov povzroči veliko tveganje za pravice in svoboščine posameznika, mu mora to tudi sporočiti. Informacijski pooblaščenec vam prav tako priporoča, da vzpostavite učinkovit sistem zaznavanja in dokumentiranja kršitev ter sporočanja. Na njihovi spletni strani lahko najde vse zahtevane obrazce, ki jih pooblaščena oseba nato izpolni in posreduje IP.

 

 4. Obisk informacijskega pooblaščenca

Ker je naloga IP preverjanje skladnosti z zahtevami GDPR, lahko tudi pride do obiska IP. V sklopu preverjanja se izvede analizo vrzeli, sprejetih terminskih planov, posodobljenih in pripravljenih dokumentov in seznanjenosti zaposlenih z GDPR. V primeru neskladnosti nas lahko doletijo kazni v obliki opomina ali globe, to je pogojeno z okoliščinami.

 

 

Skladnost z novo GDPR zakonodajo ni preprost zalogaj in se pogosto izkaže za precej bolj zapleteno nalogo, kot jo sprva dojemamo. Upoštevati je potrebno mnoga določila, redno preverjati vse procese in skrbeti za natančne evidence. Če se temu področju še niste (dovolj) posvetili, vam toplo priporočamo, da se tega lotite v čim krajšem času in si prihranite mnoge tegobe v prihodnosti.