GDPR: Uredba o varstvu podatkov

GDPR - Splošna uredba o varstvu podatkov (SUVP) je meseca maja prinesla nova pravila in obveznosti za organizacije, ki pri svojem poslovanju obdelujejo osebne podatke med drugim bistveno strožji nadzor in omejitve pri uporabi osebnih podatkov o obiskovalcih spletnih strani in mest.
GDPR Uredba o varstvu podatkov

Kakšne spremembe prinaša nova Splošna uredba o varstvu podatkov

Digitalizacija je povečala obseg zbiranja podatkov in pospešila pretok informacij o posameznikih. Ker je mogoče te podatke uporabiti v različne namene, je Evropska unija sprejela Splošno uredbo o varstvu podatkov.

Uredba (EU) 2016/679 oziroma Splošna uredba o varstvu podatkov (SUVP) je začela veljati 25. maja 2016, uporablja pa se od 25. maja 2018. V nasprotju z direktivami, ki naslovljene članice EU zavezujejo glede rezultata ali ciljev, ki naj bodo doseženi, nacionalnim državnim organom pa prepušča izbiro oblike in metode (v praksi gre za dopolnitev obstoječe ali sprejetje nove zakonodaje), je uredba splošno veljavna, uporabljiva in zavezujoča neposredno za vse članice EU. V splošni rabi se je uredb tako prijelo ime »evropski zakon«.

POZOR: Kljub temu, da nov slovenski Zakon o varstvu osebnih podatkov (ZVOP-2) pripravljen na podlagi GDPR (SUVP) še ni bil sprejet, je Uredba veljavna, zavezujoča in obvezna za vse slovenske organizacije od konca maja 2018! Večina določb obstoječega zakona (ZVOP-1) pa je z uveljavitvijo GDPR po neobvezujoči oceni Ministrstva za pravosodje prenehala veljati.

Digitalizacija skorajda vseh aspektov vsakodnevnega življenja in uporaba interneta v zasebnem in poslovnem okolju sta izjemno povečali obseg zbiranja podatkov in pospešili pretok informacij o posameznikih

Ker je mogoče to velikansko količino podatkov uporabiti v različne zakonite in tudi nezakonite namene, sta Evropski parlament in Svet EU po dolgoletnih pogajanjih sprejela dogovor o enotnem predpisu, ki bo na ravni celotne EU okrepil pravice posameznikov ter zagotavljal enotno in usklajeno ukrepanje v vseh državah članicah. Končni cilj EU je oblikovanje enotnega evropskega digitalnega trga, ki ga ne bodo ovirale regulatorne posebnosti posameznih članic.

Varstvo posameznikov se z uredbo razširja tudi na tuja podjetja, ki imajo sedež izven EU vendar poslujejo v EU in ponujajo svoje storitve evropskim državljanih oz. obdelujejo njihove osebne podatke.

Najpomembnejše spremembe

Temeljna načela

Bistvene novosti in spremembe novega okvirja varstva osebnih podatkov v Evropi so razvidna iz osnovnih načel GDPR (SUVP). Tovrstna pravna načela so vrednostna merila, ki usmerjajo vsebinsko opredeljevanje pravnih pravil in način njihovega izvrševanja.

Osebni podatki morajo biti zbrani, obdelani in uporabljena zakonito (na podlagi ene izmed predvidenih pravnih podlag), pošteno in na pregleden način ( v zvezi s posameznikom na katerega se nanašajo.

Zbrani so lahko zgolj za določene, izrecne in zakonite namene (t.i. omejitev namena), kar pomeni se zbrani osebni podatki ne smejo obdelovati za druge namene za katere niso bili pridobljeni (najpogosteje za namene trženja) ali obdelovati na način, ki ni združljiv z nameni za katere so bili zbrani.

Načelo najmanjšega obsega podatkov vse organizacije omejuje pri zbiranju osebnih podatkov na način, da če podatki niso potrebni za dosego cilja, jih ni primerno zbirati (spletna trgovina ne potrebuje zbirati rojstnega dneva stranke, za blago za katero ne velja starostna omejitev nakupa). Prav tako to načelo nalaga organizacija, da uporabljajo manj občutljive podatke od tistih, katerih narava oziroma zloraba ima večjo težo (psevdonimi so boljši kot celotno osebno ime) in da so podatki na voljo samo tistim osebam v organizaciji, ki jih dejansko potrebujejo.

Načelo točnosti predstavlja obveznost preverjanja točnosti in rednega posodabljanja.

Načelo omejitve shranjevanja določa, da so osebni podatki shranjeni le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.

Celovitost in zaupnost vpeljuje obveznost obdelave na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali zakonito obdelavo.

Najpomembnejše načelo pa je načelo odgovornosti, ki od organizacij upravljavcev zahteva skladnost s temeljnimi načeli in sposobnost dokazati skladnost obdelave s temeljnimi načeli.

Zavezanci naj bi med drugim to dosegli z implementacijo primernih tehničnih in organizacijskih ukrepov, ki zagotavljajo skladnost. Ti ukrepi lahko med drugim vključujejo notranje pravilnike o varstvu osebnih podatkov in dodatno izobraževanje zaposlenih, interne revizije obdelovalskih aktivnosti itd. Drugi možni ukrepi so lahko še minimalizacija zbiranja osebnih podatkov, psevdonimizacija, transparentnost, omogočanje posameznikom, da spremljajo obdelavo in vzpostavljanje, ter stalna nadgradnja varnostnih ukrepov.

GDPR po GDPR (delavnica s konkretnimi rešitvami)

GDPR po GDPR (delavnica s konkretnimi rešitvami)

Vsi smo že slišali za GDPR - zaostritev pravil na področju varstva osebnih podatkov, ki močno vpliva na poslovanje podjetij, ki zbirajo osebne podatke o strankah. Kako se na spremembe, ki jih je prinesla uredba GDPR, pripraviti v praksi in kaj je potrebno urediti kar se tiče hranjenja osebnih podatkov o strankah? Preberite več >>

Druge spremembe

Druge bistvene spremembe v primerjavi z obstoječim zakonom se tičejo večjega nadzora in učinkovitejšega izvajanja nadzoralažjega dostopa do lastnih osebnih podatkov ter povečanega nabora pravic posameznika (kot so pravica do pozabe, popravka in izbrisa, seznanitev z dolžino hranjenja podatkov, prepoved aktivnosti, ki so posledica profiliranja idr.).

Spremembe se tičejo tudi osebnih podatkov otrok. Če so storitve otrokom ponujene neposredno, mora biti obvestilo o zasebnosti napisano v jasni in preprosti obliki, ki jo bo otrok lahko razumel. V primeru spletnih storitev (storitve informacijske družbe) pa je potrebno pridobiti tudi soglasje staršev.

Pravice posameznikov

Eden izmed ciljev pripravljavcev GDPR-ja je bila tudi poenotenje pravic posameznika v zvezi z obdelavo osebnih podatkov. Vsaka organizacija mora tako skladno z obveznostjo informiranja posameznika obvestiti in informirati o njegovih/njenih pravicah.

  • Pravica biti informiran – informacije, ki morajo biti posredovane posamezniku, in kdaj mora biti posameznik obveščen. Posredovane informacije morajo jedrnate, pregledne, razumljive in lahko dostopne, napisane v laičnem oziroma lahko razumljivem jeziku in dostopne brezplačno.
  • Pravica dostopa – vključuje potrditev, da se osebni podatki v zvezi s posameznikom obdelujejo. Ta pravica določa tudi dostop do osebnih podatkov posameznikain druge podporne informacije.
  • Pravica do popravka in izbrisa – kadar so osebni podatki netočni. Če so bili netočni podatki posredovani tudi tretjim osebam (o katerih mora biti posameznik seveda obveščen), jih je treba obvestiti o popravku.
  • Pravica do izbrisa (pozabe) – omogoča posamezniku, da se osebni podatki o njem izbrišejo, kadar ne obstaja več upravičen razlog za nadaljnjo obdelavo. Preprečitev obdelave je mogoča v posebnih okoliščinah.
  • Pravica do omejitve obdelave – velja v primerih ko posameznik oporeka točnostiosebnih podatkov, ko je obdelava nezakonita in posameznik nasprotuje izbrisu ter zahteva omejitev uporabe; ko podatki niso več potrebni za namen obdelave, posameznik pa jih potrebuje za uveljavitev pravnih zahtevkov.
  • Pravica do prenosljivosti – obdelovalec mora obdelane podatke na zahtevo posameznika posredovati v strukturirani, splošno uporabljani in strojno berljivi obliki.
  • Pravica do ugovora – v primerih obdelave za potrebe opravljanja nalog v javnem interesu ali pri izvajanju javne oblasti ter direktnega marketinga (vključujoč profiliranje).
  • Pravice v povezavi z avtomatiziranim sprejemanjem odločitev in profiliranjem – vzpostavlja varovalke proti tveganju nastanka škodljive odločitve, ki bi bila sprejeta brez človeškega posega. Posamezniki imajo pravico, da njihovi osebni podatki niso predmet avtomatizirane obdelave, ki bi imela za posledico nastanek pravnega ali podobnega učinka.

Pooblaščena oseba za varstvo podatkov

Organizacije morajo imenovati pooblaščeno osebo za varstvo podatkov (angl. data protection officer, DPO) glede na tri osnovne okoliščine:

  • pravna narava organizacije (javni/zasebni sektor);
  • narava osebnih podatkov (občutljivi oziroma po novem posebni, »navadni« osebni podatki);
  • načini in nameni obdelave osebnih podatkov in s tem povezano tveganje za zasebnost posameznikov.

Pri upravljalcih in obdelovalcih bo DPO zagotavljal skladnost s predpisi. Njegovo delovanje bo moralo biti neodvisno, saj ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. Omogočeno mu bo moralo biti neposredno poročanje vodstvu upravljavca ali obdelovalca. DPO bo poleg tega komuniciral tudi s posamezniki, katerih osebni podatki se obdelujejo pri organizaciji, in odgovarjal na njihova vprašanja/zahteve.

V primeru inšpekcijskega nadzora bo pooblaščena oseba tista, ki bo v postopku sodelovala kot predstavnik nadzirane organizacije oziroma bo odgovarjala na zahteve in vprašanja inšpektorja.

Ključni dokumenti

Evidenca dejavnosti obdelave

Evidenca dejavnosti obdelave

Vsaka organizacija, ki redno obdeluje osebne podatke (izplačuje plače, komunicira s strankami itd.) vodi evidenco dejavnosti obdelave v okviru svoje odgovornosti. Evidenca mora med drugim vsebovati naslednje informacije:

  • naziv ali ime in kontaktne podatke upravljavca in skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  • namene obdelave;
  • opis kategorij posameznikov in vrst osebnih podatkov;
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah
  • informacije o prenosih osebnih podatkov v tretjo državo
  • predvidene roke za izbris različnih vrst podatkov;
  • splošni opis tehničnih in organizacijskih varnostnih

Vzorec evidence dejavnosti obdelave za upravljavce in obdelovalce.

Obvestilo posamezniku

S pridobitvijo osebnih podatkov posamezniku nastane obveznost zagotovitve naslednjih informacij posamezniku:

  • identiteto in kontaktne podatke upravljavca in njegovega predstavnika
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  • zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  • uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
  • dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo
  • obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravic posameznika, obstoj pravice, da se lahko privolitev kadar koli prekliče,
  • pravico do vložitve pritožbe pri nadzornem organu;
  • ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov

Vzorec obvestila

Pogodba z obdelovalcem

Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt. Pogodba je potrebna, da obe stranki poznata svoje obveznosti in odgovornosti, ki iz tega izhajajo. Upravljavci so odgovorni za skladnost z Uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Uredbe in da se ustrezno varujejo tudi pravice posameznikov. Uredba opredeljuje minimalni obseg sestavin, ki jih mora vsebovati pisni dogovor.

Ocena učinka

Uredba daje velik poudarek preventivnim ukrepom v okviru temeljnega načela, načela odgovornosti, ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov.

Tako ob upoštevanju narave, obsega, okoliščin in namenov obdelave, ki bi lahko povzročili veliko tveganje za pravice in svoboščine posameznika, mora upravljavec opraviti oceno učinkov. Ocena je zahtevana in obvezna v primerih sistematičnega in obsežnega vrednotenja osebnih vidikov, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ter v primeru obsežnega sistematičnega spremljanja javno dostopnega območja.

Viri: Uredba (EU) 2016/679, Informacijski pooblaščenec RS

Vabljeni na praktično delavnico GDPR po GDPR

Ali se uredba GDPR tiče tudi mene?

Uredbo GDPR morate spoštovati, če vsaj na eno od spodnjih vprašanj odgovorite pritrdilno:

  • Ali zbirate e-poštne naslove preko obrazca na vaši spletni strani ali trgovini in pošiljate e-novice?
  • Ali imate spletno trgovino, v kateri prek košarice prodajate različne izdelke?
  • Ali uporabljate spletno analitiko, kot je recimo Google Analytics?
  • Ali uporabljate orodja za ponovno trženje (angl. remarketing), ponovno ciljanje (angl. retargeting) oziroma podobne načine oglaševanja?

25. maj je prišel in odšel, naši osebni podatki in osebni podatki vaših strank pa se še vedno (ne)pravilno zbirajo in obdelujejo.

Program delavnice

V mesecu po uvedbi Uredbe se je večina vprašanj v povezavi z GDPR razjasnila, glede nekaterih tudi pristojni organi (še) nimajo odgovorov.

Zato vas vabino na delavnico, kjer vam bomo predstavili konkretne odgovore na vprašanja, ki se vam zastavljajo ob elektronskem ali fizičnem poslovanju, ovrgli mite in zavajajoče informacije, ki krožijo in po spletu in ob klepetu ter vam ponudili orodja s katerimi boste brez postavljanja svojega poslovnega modela na glavo, postali skladni z zahtevami GDPR.

Naša pravna svetovalca vam bosta pokazala:

  • Kako pravilno sestaviti evidence dejavnosti obdelave
  • Kaj morajo vsebovati spletne dokumenti in kaj se v svetu GDPR dogaja s piškotki, analitiko in spletnim marketingom
  • Kdaj in kako urejati pogodbeno (pod)obdelavo
  • Kako pravilno urediti izvoz v tretje države in kako se zaščiti z Zasebnostnim ščitom
  • Kaj sploh je ocena učinka, kdaj jo rabite in kako jo pripravite
  • Ali plačevati odgovorno osebo, ki svetuje ni pa odgovorna
  • Kako pripraviti ustrezne tehnične in organizacijske ukrepe in zakaj se vse začne pri politiki čiste mize in uporabi gesel

Udeleženci boste na delavnici prejeli tudi vzorčne pravne dokumente.

Komu je delavnica namenjena?

Delavnica o GDPR je namenjena vsem, ki za potrebe poslovanja zbirate osebne podatke svojih strank, od elektronskega naslova do podatkov o naročilu in katerihkoli drugih informacij, ki so obravnavane kot osebni podatek. Med gosti pričakujemo:

  • vodstvene kadre manjših in srednje velikih podjetij,
  • predstavnike marketinških oddelkov, ki bodo prejeli usmeritve, kako zbirati osebne podatke, že pred uveljavitvijo uredbe,
  • pravnike, ki bodo pripravljali pravne okvire za sprejem uredbe v podjetju,
  • tehnične oddelke podjetij, ki bodo rešitev tudi tehnično implementirali v podjetju,
  • lastnike / odgovorne v digitalnih agencijah, ki bodo izvajali implementacijo za svoje stranke.

Zakaj GDPR delavnice ne smete zamuditi?

Delavnica o GDPR je odlična priložnost, da pridobite ključne informacije o tem, kako v vašem primeru izvesti uredbo, ki je v veljavo stopila 25. maja 2018. Z vami bosta pravna strokovnjaka, ki uredbo izvajata tudi v praksi. Hkrati je delavnica odlična priložnost, da iz prve roke izveste, katere pravne akte, pravilnike in sklepe je potrebno v vašem podjetju še posodobiti, da ne boste imeli težav z inšpekcijami.

Kotizacija in lokacija

atum in lokacija: četrtek, 5. oktober 2018 v NLB CIP, Trg republike 2, Ljubljana, med 14:00 in 17:00.

Za 3 ure strnjenega predavanja in vzorce pravnih dokumentov, boste odšteli:

  • DDV zavezanci: Early bird cena za prijave in plačila do 14.9.: 99 evrov + ddv  (Polna cena: 119 evrov + ddv)
  • DDV nezavezanci: Early bird cena za prijave in plačila do 14.9.: 99 evrov  (Polna cena: 119 evrov)
  • Delavnica je lahko za vas brezplačna: Preberite več o možnosti sofinanciranja s strani države 

Nudimo vam 20-% popust za vsakega nadaljnjega udeleženca iz istega podjetja. Komitenti NLB (odprt poslovni račun pri NLB) imajo 20% popusta na kotizacijo.

Oznake: , , , ,
Iskanje
↓ Pomagamo vam pri rasti ↓

Konferenca: AI4GOOD – powered by Huawei

26.09.2018 od 12:30 do 17:00
Konferenca: AI4GOOD – powered by Huawei

Umetna inteligenca (Artificial intelligence) je med podjetniki svetovnega kova, kot sta Elon Musk in Jeff Bezos, izredno pogosta tema pogovorov. Kako pa je z uporabo oziroma razvojem umetne inteligence v Sloveniji? Vabimo vas na brezplačno konferenco AI4GOOD – powered by Huawei, na kateri bomo preverili stanje ter napovedali trende.
Preberite več >>

GDPR po GDPR (delavnica s konkretnimi rešitvami)

05.10.2018 od 14:00 do 17:00
GDPR po GDPR (delavnica s konkretnimi rešitvami)

Vsi smo že slišali za GDPR - zaostritev pravil na področju varstva osebnih podatkov, ki močno vpliva na poslovanje podjetij, ki zbirajo osebne podatke o strankah. Kako se na spremembe, ki jih je prinesla uredba GDPR, pripraviti v praksi in kaj je potrebno urediti kar se tiče hranjenja osebnih podatkov o strankah?
Preberite več >>

WordPress delavnica: postavi svojo spletno stran!

16.10.2018 od 16:00 do 18.10.2018 19:00
WordPress delavnica: postavi svojo spletno stran!

Pri prvih korakih v WordPressu vam bo priskočil na pomoč strokovnjak, ki je postavil že 250 spletnih strani! WordPress je najbolj popularen CMS (ang. content management system), saj obvladuje kar med 50 in 60 odstotkov tržnega deleža. Nameravate postaviti svojo spletno stran? Uporabljamo ga tudi za naš portal in ga toplo priporočamo!
Preberite več >>

Email Marketing Master Class

24.10.2018 od 15:00 do 18:00
Email Marketing Master Class

Email je eden izmed najmočnejših marketinških kanalov za podjetja vseh velikosti, z enim od najnižjih cen na konverzijo in najvišjo stopnjo uspeha. Še vedno pa ga mnogi neuspešno izkoriščajo. Zato ti bomo na delavnici pokazali, kako zgradiš in maksimalno izkoristiš potencial svojih email baz.
Preberite več >>

Vse za podjetje