GDPR: Uredba o varstvu podatkov

GDPR - Splošna uredba o varstvu podatkov, je v zadnjih mesecih pogosta debata med vsemi, ki se ukvarjajo s spletno prodajo. Obeta se bistveno strožji nadzor nad uporabo osebnih podatkov o obiskovalcih spletnih strani in mest.
GDPR Uredba o varstvu podatkov

Kakšne spremembe prinaša nova Splošna uredba o varstvu podatkov

Digitalizacija je povečala obseg zbiranja podatkov in pospešila pretok informacij o posameznikih. Ker je mogoče te podatke uporabiti v različne namene, je Evropska unija sprejela Splošno uredbo o varstvu podatkov.

Uredba (EU) 2016/679 oziroma Splošna uredba o varstvu podatkov (SUVP) je začela veljati 24. maja 2016, v uporabo pa bo stopila 25. maja 2018. V nasprotju z direktivami, ki naslovljene članice EU zavezujejo glede rezultata, ki ga je mogoče doseči, nacionalnim državnim organom pa prepušča izbiro oblike in metode (v praksi gre za dopolnitev obstoječe ali sprejetje nove zakonodaje), je uredba splošno veljavna, uporabljiva in zavezujoča neposredno za vse članice EU.

Digitalizacija skorajda vseh aspektov vsakodnevnega življenja in uporaba interneta v zasebnem in poslovnem okolju sta izjemno povečali obseg zbiranja podatkov in pospešili pretok informacij o posameznikih.

Ker je mogoče to velikansko količino podatkov uporabiti v različne zakonite in tudi nezakonite namene, sta Evropski parlament in Svet EU po dolgoletnih pogajanjih sprejela dogovor o enotnem predpisu, ki bo na ravni celotne EU okrepil pravice posameznikov ter zagotavljal enotno in usklajeno ukrepanje v vseh državah članicah. Končni cilj EU je oblikovanje enotnega evropskega digitalnega trga, ki ga ne bodo ovirale regulatorne posebnosti posameznih članic.

Varstvo posameznikov se z uredbo razširja tudi na tuja podjetja, ki poslujejo v EU in zbirajo informacije o evropskih državljanih.

Najpomembnejše spremembe

SUVP najpomembnejšo novost prinaša v obliki načela odgovornosti, ki od organizacij zahteva, da posameznikom pokažejo, kako je njihovo delovanje skladno z ostalimi načeli, ki jih določa 1. odstavek 4. člena SUVP (načela zakonitosti, pravičnosti in preglednosti; omejitve namena; najmanjšega obsega podatkov; točnosti; omejitve shranjevanja; celovitosti in zaupnosti). Pravna načela so vrednostna merila, ki usmerjajo vsebinsko opredeljevanje pravnih pravil in način njihovega izvrševanja.

Druge bistvene spremembe v primerjavi z obstoječim Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07) se tičejo večjega nadzora in učinkovitejšega izvajanja nadzora, lažjega dostopa do lastnih osebnih podatkov ter povečanega nabora pravic posameznika (kot so pravica do pozabe, popravka in izbrisa, seznanitev z dolžino hranjenja podatkov, prepoved aktivnosti, ki so posledica profiliranja idr.).

Ključna področja sprememb

Zakonitost obdelave (6. člen SUVP)

Obdelovalec mora identificirati pravni temelj, na podlagi katerega mu je dovoljena obdelava podatkov.

Soglasje oziroma privolitev (7. člen)

Soglasje mora biti dano prostovoljno, specifično in informirano ter mora nedvoumno izražati posameznikove želje. Obstajati mora neka oblika potrditvenega dejanja (t. i. pozitivni opt-in).

Osebni podatki otrok (8. člen)

Če so storitve otrokom ponujene neposredno, mora biti obvestilo o zasebnosti napisano v jasni in preprosti obliki, ki jo bo otrok lahko razumel. V primeru spletnih storitev (storitve informacijske družbe) bo treba pridobiti tudi soglasje staršev.

GDPR po GDPR (delavnica s konkretnimi rešitvami)

GDPR po GDPR (delavnica s konkretnimi rešitvami)

Vsi smo že slišali za uredbo GDPR. Poenostavljeno rečeno, gre za spremembo, zaostritev pravil na področju varstva osebnih podatkov, ki močno vpliva na poslovanje podjetij, ki zbirajo osebne podatke o strankah. Kako se na spremembe, ki jih je prinesla uredba GDPR, pripraviti v praksi in kaj je potrebno urediti na vaši spletni strani ter kar se tiče hranjenja osebnih podatkov o strankah? Preberite več >>

Pravice posameznika (od 12. do 22. člena SUVP)

Pravica biti informiran

SUVP določa informacije, ki morajo biti posredovane posamezniku, in kdaj mora biti posameznik obveščen. Pri posredovanju informacij je ključno, ali so osebni podatki pridobljeni direktno od posameznika. Bistvena razlika v primerjavi z obstoječo ureditvijo je, da morajo biti posredovane informacije jedrnate, pregledne, razumljive in lahko dostopne, napisane v laičnem oziroma lahko razumljivem jeziku in dostopne brezplačno.

Pravica dostopa

Pravica vključuje potrditev, da se osebni podatki v zvezi s posameznikom obdelujejo. Ta pravica določa tudi dostop do osebnih podatkov posameznika in druge podporne informacije, ki jih mora vsebovati obvestilo o zasebnosti.

Pravica do popravka in izbrisa

Posamezniki imajo pravico do popravka osebnih podatkov, kadar so ti netočni. Če so bili netočni podatki posredovani tudi tretjim osebam (o katerih mora biti posameznik seveda obveščen), jih je treba obvestiti o popravku. Na zahtevo je treba odgovoriti v roku enega meseca oziroma dveh mesecev, če je zahteva do popravka kompleksnejša.

Pravica do izbrisa (pozabe)

To široko načelo omogoča posamezniku, da se osebni podatki o njem izbrišejo, kadar ne obstaja več upravičen razlog za nadaljnjo obdelavo. Preprečitev obdelave je mogoča v posebnih okoliščinah:

  • ko obdelava ni več potrebna v povezavi z namenom zbiranja in obdelave;
  • ko posameznik umakne soglasje za obdelavo;
  • ko posameznik ugovarja obdelavi in ne obstajajo prevladujoči zakoniti razlogi;
  • če je bila obdelava nezakonita;
  • ko je izbris potreben za izpolnitev pravnih obveznosti (pravo EU ali države članice);
  • ko je obdelava povezana s ponudbo storitev informacijske družbe otroku.

Pravica do omejitve obdelave

Ta pravica velja v naslednjih primerih:

  • ko posameznik oporeka točnosti osebnih podatkov;
  • ko je obdelava nezakonita in posameznik nasprotuje izbrisu ter zahteva omejitev uporabe;
  • ko podatki niso več potrebni za namen obdelave, posameznik pa jih potrebuje za uveljavitev pravnih zahtevkov.

Pravica do prenosljivosti

Posamezniku morajo biti podatki, ki jih je posredoval obdelovalcu, poslani v strukturirani, splošno uporabljani in strojno berljivi obliki.

Pravica do ugovora

Posameznik lahko ugovarja obdelavi v primeru obdelave za potrebe opravljanja nalog v javnem interesu ali pri izvajanju javne oblasti ter direktnega marketinga (vključujoč profiliranje).

Pravice v povezavi z avtomatiziranim sprejemanjem odločitev in profiliranjem

SUVP vzpostavlja varovalke proti tveganju nastanka škodljive odločitve, ki bi bila sprejeta brez človeškega posega. Posamezniki imajo pravico, da njihovi osebni podatki niso predmet avtomatizirane obdelave, ki bi imela za posledico nastanek pravnega ali podobnega učinka.

Posamezniku mora biti omogočeno, da pridobi človeško posredovanje, predstavi svoj pogled in pridobi razlago odločitve ter možnost izpodbijanja odločitve.

Druge spremembe

Načelo odgovornosti

Načelo zahteva od upravljavcev in obdelovalcev, da so odgovorni za skladnost in da so to skladnost sposobni dokazati. Odgovorni naj bi to dosegli z implementacijo primernih tehničnih in organizacijskih ukrepov, ki zagotavljajo skladnost.

Ti ukrepi lahko med drugim vključujejo notranje pravilnike o varstvu osebnih podatkov in dodatno izobraževanje zaposlenih, interne revizije obdelovalskih aktivnosti itd. Drugi možni ukrepi so lahko še minimalizacija zbiranja osebnih podatkov, psevdonimizacija, transparentnost, omogočanje posameznikom, da spremljajo obdelavo in vzpostavljanje, ter stalna nadgradnja varnostnih ukrepov.

Ocena učinkov

Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, ki bi lahko povzročili veliko tveganje za pravice in svoboščine posameznika, mora upravljavec opraviti oceno učinkov. Ocena je zahtevana in obvezna v primerih sistematičnega in obsežnega vrednotenja osebnih vidikov, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ter v primeru obsežnega sistematičnega spremljanja javno dostopnega območja.

Pooblaščena oseba za varstvo podatkov

Organizacije bodo morale imenovati pooblaščeno osebo za varstvo podatkov (angl. data protection officer, DPO) glede na tri osnovne okoliščine:

  • pravna narava organizacije (javni/zasebni sektor);
  • narava osebnih podatkov (občutljivi oziroma po novem posebni, »navadni« osebni podatki);
  • načini in nameni obdelave osebnih podatkov in s tem povezano tveganje za zasebnost posameznikov.

Pri upravljalcih in obdelovalcih bo DPO zagotavljal skladnost s predpisi. Njegovo delovanje bo moralo biti neodvisno, saj ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. Omogočeno mu bo moralo biti neposredno poročanje vodstvu upravljavca ali obdelovalca. DPO bo poleg tega komuniciral tudi s posamezniki, katerih osebni podatki se obdelujejo pri organizaciji, in odgovarjal na njihova vprašanja/zahteve.

V primeru inšpekcijskega nadzora bo pooblaščena oseba tista, ki bo v postopku sodelovala kot predstavnik nadzirane organizacije oziroma bo odgovarjala na zahteve in vprašanja inšpektorja.

Viri: Uredba (EU) 2016/679, Informacijski pooblaščenec RS

Vabljeni na praktično delavnico GDPR po GDPR

Ali se uredba GDPR tiče tudi mene?

Uredbo GDPR morate spoštovati, če vsaj na eno od spodnjih vprašanj odgovorite pritrdilno:

  • Ali zbirate e-poštne naslove preko obrazca na vaši spletni strani ali trgovini in pošiljate e-novice?
  • Ali imate spletno trgovino, v kateri prek košarice prodajate različne izdelke?
  • Ali uporabljate spletno analitiko, kot je recimo Google Analytics?
  • Ali uporabljate orodja za ponovno trženje (angl. remarketing), ponovno ciljanje (angl. retargeting) oziroma podobne načine oglaševanja?

25. maj je prišel in odšel, naši osebni podatki in osebni podatki vaših strank pa se še vedno (ne)pravilno zbirajo in obdelujejo.

Program delavnice

V mesecu po uvedbi Uredbe se je večina vprašanj v povezavi z GDPR razjasnila, glede nekaterih tudi pristojni organi (še) nimajo odgovorov.

Zato vas vabino na delavnico, kjer vam bomo predstavili konkretne odgovore na vprašanja, ki se vam zastavljajo ob elektronskem ali fizičnem poslovanju, ovrgli mite in zavajajoče informacije, ki krožijo in po spletu in ob klepetu ter vam ponudili orodja s katerimi boste brez postavljanja svojega poslovnega modela na glavo, postali skladni z zahtevami GDPR.

Naša pravna svetovalca vam bosta pokazala:

  • Kako pravilno sestaviti evidence dejavnosti obdelave
  • Kaj morajo vsebovati spletne dokumenti in kaj se v svetu GDPR dogaja s piškotki, analitiko in spletnim marketingom
  • Kdaj in kako urejati pogodbeno (pod)obdelavo
  • Kako pravilno urediti izvoz v tretje države in kako se zaščiti z Zasebnostnim ščitom
  • Kaj sploh je ocena učinka, kdaj jo rabite in kako jo pripravite
  • Ali plačevati odgovorno osebo, ki svetuje ni pa odgovorna
  • Kako pripraviti ustrezne tehnične in organizacijske ukrepe in zakaj se vse začne pri politiki čiste mize in uporabi gesel

Udeleženci boste na delavnici prejeli tudi vzorčne pravne dokumente.

Komu je delavnica namenjena?

Delavnica o GDPR je namenjena vsem, ki za potrebe poslovanja zbirate osebne podatke svojih strank, od elektronskega naslova do podatkov o naročilu in katerihkoli drugih informacij, ki so obravnavane kot osebni podatek. Med gosti pričakujemo:

  • vodstvene kadre manjših in srednje velikih podjetij,
  • predstavnike marketinških oddelkov, ki bodo prejeli usmeritve, kako zbirati osebne podatke, že pred uveljavitvijo uredbe,
  • pravnike, ki bodo pripravljali pravne okvire za sprejem uredbe v podjetju,
  • tehnične oddelke podjetij, ki bodo rešitev tudi tehnično implementirali v podjetju,
  • lastnike / odgovorne v digitalnih agencijah, ki bodo izvajali implementacijo za svoje stranke.

Zakaj GDPR delavnice ne smete zamuditi?

Delavnica o GDPR je odlična priložnost, da pridobite ključne informacije o tem, kako v vašem primeru izvesti uredbo, ki je v veljavo stopila 25. maja 2018. Z vami bosta pravna strokovnjaka, ki uredbo izvajata tudi v praksi. Hkrati je delavnica odlična priložnost, da iz prve roke izveste, katere pravne akte, pravilnike in sklepe je potrebno v vašem podjetju še posodobiti, da ne boste imeli težav z inšpekcijami.

Kotizacija in lokacija

Datum in lokacija: torek, 3. julija 2018 v Ljubljani, med 14:00 in 17:00.

Za 3 ure strnjenega predavanja in vzorce pravnih dokumentov, boste odšteli:

Nudimo vam 20-% popust za vsakega nadaljnjega udeleženca iz istega podjetja. Komitenti NLB (odprt račun pri NLB) imajo 50% popusta na kotizacijo.

Oznake: , , , ,
Iskanje
↓ Pomagamo vam pri rasti ↓

GDPR po GDPR (delavnica s konkretnimi rešitvami)

24.08.2018 od 14:00 do 17:00
GDPR po GDPR (delavnica s konkretnimi rešitvami)

Vsi smo že slišali za uredbo GDPR. Poenostavljeno rečeno, gre za spremembo, zaostritev pravil na področju varstva osebnih podatkov, ki močno vpliva na poslovanje podjetij, ki zbirajo osebne podatke o strankah. Kako se na spremembe, ki jih je prinesla uredba GDPR, pripraviti v praksi in kaj je potrebno urediti na vaši spletni strani ter kar se tiče hranjenja osebnih podatkov o strankah?
Preberite več >>

Vse za podjetje