GDPR: Uredba o varstvu podatkov

GDPR - Splošna uredba o varstvu podatkov, je v zadnjih mesecih pogosta debata med vsemi, ki se ukvarjajo s spletno prodajo. Obeta se bistveno strožji nadzor nad uporabo osebnih podatkov o obiskovalcih spletnih strani in mest.
GDPR Uredba o varstvu podatkov

Kakšne spremembe prinaša nova Splošna uredba o varstvu podatkov

Digitalizacija je povečala obseg zbiranja podatkov in pospešila pretok informacij o posameznikih. Ker je mogoče te podatke uporabiti v različne namene, je Evropska unija sprejela Splošno uredbo o varstvu podatkov.

Uredba (EU) 2016/679 oziroma Splošna uredba o varstvu podatkov (SUVP) je začela veljati 24. maja 2016, v uporabo pa bo stopila 25. maja 2018. V nasprotju z direktivami, ki naslovljene članice EU zavezujejo glede rezultata, ki ga je mogoče doseči, nacionalnim državnim organom pa prepušča izbiro oblike in metode (v praksi gre za dopolnitev obstoječe ali sprejetje nove zakonodaje), je uredba splošno veljavna, uporabljiva in zavezujoča neposredno za vse članice EU.

Digitalizacija skorajda vseh aspektov vsakodnevnega življenja in uporaba interneta v zasebnem in poslovnem okolju sta izjemno povečali obseg zbiranja podatkov in pospešili pretok informacij o posameznikih.

Ker je mogoče to velikansko količino podatkov uporabiti v različne zakonite in tudi nezakonite namene, sta Evropski parlament in Svet EU po dolgoletnih pogajanjih sprejela dogovor o enotnem predpisu, ki bo na ravni celotne EU okrepil pravice posameznikov ter zagotavljal enotno in usklajeno ukrepanje v vseh državah članicah. Končni cilj EU je oblikovanje enotnega evropskega digitalnega trga, ki ga ne bodo ovirale regulatorne posebnosti posameznih članic.

Varstvo posameznikov se z uredbo razširja tudi na tuja podjetja, ki poslujejo v EU in zbirajo informacije o evropskih državljanih.

Konferenca GDPR

Najpomembnejše spremembe

SUVP najpomembnejšo novost prinaša v obliki načela odgovornosti, ki od organizacij zahteva, da posameznikom pokažejo, kako je njihovo delovanje skladno z ostalimi načeli, ki jih določa 1. odstavek 4. člena SUVP (načela zakonitosti, pravičnosti in preglednosti; omejitve namena; najmanjšega obsega podatkov; točnosti; omejitve shranjevanja; celovitosti in zaupnosti). Pravna načela so vrednostna merila, ki usmerjajo vsebinsko opredeljevanje pravnih pravil in način njihovega izvrševanja.

Druge bistvene spremembe v primerjavi z obstoječim Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07) se tičejo večjega nadzora in učinkovitejšega izvajanja nadzora, lažjega dostopa do lastnih osebnih podatkov ter povečanega nabora pravic posameznika (kot so pravica do pozabe, popravka in izbrisa, seznanitev z dolžino hranjenja podatkov, prepoved aktivnosti, ki so posledica profiliranja idr.).

Ključna področja sprememb

Zakonitost obdelave (6. člen SUVP)

Obdelovalec mora identificirati pravni temelj, na podlagi katerega mu je dovoljena obdelava podatkov.

Soglasje oziroma privolitev (7. člen)

Soglasje mora biti dano prostovoljno, specifično in informirano ter mora nedvoumno izražati posameznikove želje. Obstajati mora neka oblika potrditvenega dejanja (t. i. pozitivni opt-in).

Osebni podatki otrok (8. člen)

Če so storitve otrokom ponujene neposredno, mora biti obvestilo o zasebnosti napisano v jasni in preprosti obliki, ki jo bo otrok lahko razumel. V primeru spletnih storitev (storitve informacijske družbe) bo treba pridobiti tudi soglasje staršev.

Pravice posameznika (od 12. do 22. člena SUVP)

Pravica biti informiran

SUVP določa informacije, ki morajo biti posredovane posamezniku, in kdaj mora biti posameznik obveščen. Pri posredovanju informacij je ključno, ali so osebni podatki pridobljeni direktno od posameznika. Bistvena razlika v primerjavi z obstoječo ureditvijo je, da morajo biti posredovane informacije jedrnate, pregledne, razumljive in lahko dostopne, napisane v laičnem oziroma lahko razumljivem jeziku in dostopne brezplačno.

Pravica dostopa

Pravica vključuje potrditev, da se osebni podatki v zvezi s posameznikom obdelujejo. Ta pravica določa tudi dostop do osebnih podatkov posameznika in druge podporne informacije, ki jih mora vsebovati obvestilo o zasebnosti.

Pravica do popravka in izbrisa

Posamezniki imajo pravico do popravka osebnih podatkov, kadar so ti netočni. Če so bili netočni podatki posredovani tudi tretjim osebam (o katerih mora biti posameznik seveda obveščen), jih je treba obvestiti o popravku. Na zahtevo je treba odgovoriti v roku enega meseca oziroma dveh mesecev, če je zahteva do popravka kompleksnejša.

Štirje izjemni strokovnjaki na konferenci Uredba GDPR – Pasti in nevarnosti >>

Pravica do izbrisa (pozabe)

To široko načelo omogoča posamezniku, da se osebni podatki o njem izbrišejo, kadar ne obstaja več upravičen razlog za nadaljnjo obdelavo. Preprečitev obdelave je mogoča v posebnih okoliščinah:

  • ko obdelava ni več potrebna v povezavi z namenom zbiranja in obdelave;
  • ko posameznik umakne soglasje za obdelavo;
  • ko posameznik ugovarja obdelavi in ne obstajajo prevladujoči zakoniti razlogi;
  • če je bila obdelava nezakonita;
  • ko je izbris potreben za izpolnitev pravnih obveznosti (pravo EU ali države članice);
  • ko je obdelava povezana s ponudbo storitev informacijske družbe otroku.

Pravica do omejitve obdelave

Ta pravica velja v naslednjih primerih:

  • ko posameznik oporeka točnosti osebnih podatkov;
  • ko je obdelava nezakonita in posameznik nasprotuje izbrisu ter zahteva omejitev uporabe;
  • ko podatki niso več potrebni za namen obdelave, posameznik pa jih potrebuje za uveljavitev pravnih zahtevkov.

Pravica do prenosljivosti

Posamezniku morajo biti podatki, ki jih je posredoval obdelovalcu, poslani v strukturirani, splošno uporabljani in strojno berljivi obliki.

Pravica do ugovora

Posameznik lahko ugovarja obdelavi v primeru obdelave za potrebe opravljanja nalog v javnem interesu ali pri izvajanju javne oblasti ter direktnega marketinga (vključujoč profiliranje).

Pravice v povezavi z avtomatiziranim sprejemanjem odločitev in profiliranjem

SUVP vzpostavlja varovalke proti tveganju nastanka škodljive odločitve, ki bi bila sprejeta brez človeškega posega. Posamezniki imajo pravico, da njihovi osebni podatki niso predmet avtomatizirane obdelave, ki bi imela za posledico nastanek pravnega ali podobnega učinka.

Posamezniku mora biti omogočeno, da pridobi človeško posredovanje, predstavi svoj pogled in pridobi razlago odločitve ter možnost izpodbijanja odločitve.

Konferenca GDPR

Druge spremembe

Načelo odgovornosti

Načelo zahteva od upravljavcev in obdelovalcev, da so odgovorni za skladnost in da so to skladnost sposobni dokazati. Odgovorni naj bi to dosegli z implementacijo primernih tehničnih in organizacijskih ukrepov, ki zagotavljajo skladnost.

Ti ukrepi lahko med drugim vključujejo notranje pravilnike o varstvu osebnih podatkov in dodatno izobraževanje zaposlenih, interne revizije obdelovalskih aktivnosti itd. Drugi možni ukrepi so lahko še minimalizacija zbiranja osebnih podatkov, psevdonimizacija, transparentnost, omogočanje posameznikom, da spremljajo obdelavo in vzpostavljanje, ter stalna nadgradnja varnostnih ukrepov.

Ocena učinkov

Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, ki bi lahko povzročili veliko tveganje za pravice in svoboščine posameznika, mora upravljavec opraviti oceno učinkov. Ocena je zahtevana in obvezna v primerih sistematičnega in obsežnega vrednotenja osebnih vidikov, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ter v primeru obsežnega sistematičnega spremljanja javno dostopnega območja.

Pooblaščena oseba za varstvo podatkov

Organizacije bodo morale imenovati pooblaščeno osebo za varstvo podatkov (angl. data protection officer, DPO) glede na tri osnovne okoliščine:

  • pravna narava organizacije (javni/zasebni sektor);
  • narava osebnih podatkov (občutljivi oziroma po novem posebni, »navadni« osebni podatki);
  • načini in nameni obdelave osebnih podatkov in s tem povezano tveganje za zasebnost posameznikov.

Pri upravljalcih in obdelovalcih bo DPO zagotavljal skladnost s predpisi. Njegovo delovanje bo moralo biti neodvisno, saj ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. Omogočeno mu bo moralo biti neposredno poročanje vodstvu upravljavca ali obdelovalca. DPO bo poleg tega komuniciral tudi s posamezniki, katerih osebni podatki se obdelujejo pri organizaciji, in odgovarjal na njihova vprašanja/zahteve.

V primeru inšpekcijskega nadzora bo pooblaščena oseba tista, ki bo v postopku sodelovala kot predstavnik nadzirane organizacije oziroma bo odgovarjala na zahteve in vprašanja inšpektorja.

Viri: Uredba (EU) 2016/679, Informacijski pooblaščenec RS

Kako se na spremembe, ki jih prinaša uredba GDPR, pripraviti v praksi? Vse boste izvedeli na konferenci GDPR, ki bo na sporedu 22. februarja 2018. Preverite program TUKAJ >>

Oznake: , , , ,
Iskanje
↓ Pomagamo vam pri rasti ↓

Delavnica: Google Analytics in Marko Penko

01.03.2018 od 16:00 do 10.03.2017 16:00
Delavnica: Google Analytics in Marko Penko

Imate spletno stran oziroma trgovino ter za oglaševanje vašega produkta ali storitve zapravite več 1000 evrov mesečno, pa se to pri prodaji ne pozna dovolj? Kaže, da imate težave pri učinkovitosti oglasov. Obstaja rešitev, ki se ji reče Google Analytics delavnica, ki jo za nas pripravlja Marko Penko.
Preberite več >>

Delavnica: Google Adwords oglaševanje in Marko Penko

24.03.2018 od 9:00 do 30.03.2018 17:00
Delavnica: Google Adwords oglaševanje in Marko Penko

Pri oglaševanju na Googlu je zelo pomembno poznavanje navodil, trikov in smernic za uspešno postavitev in vodenje AdWords kampanje. Da boste svoje oglaševanje vzpostavili kar se da učinkovito, vas vabimo na delavnico, v okviru katere boste spoznali Google AdWords: od osnov do potankosti. Z nami bo izkušeni Google AdWords mojster Marko Penko, ki je v svoji karieri upravljal na milijone evrov oglaševalskih proračunov.
Preberite več >>

Delavnica: Optimizacija spletnih strani

06.04.2018 od 14:00 do 18:00
Delavnica: Optimizacija spletnih strani

Klasična trgovina z odličnimi izdelki in nizkimi cenami ni vredna veliko, če se nahaja na odročni lokaciji, kjer je nihče ne obišče. Podobno velja za spletne strani in spletne trgovine. Če vas obiskovalci ne najdejo, potem tudi nakupa ne morejo opraviti. Zato je tu optimizacija spletnih strani.
Preberite več >>

Delavnica: Prodajni lijak

13.04.2018 od 14:00 do 18:00
Delavnica: Prodajni lijak

Uspešno postavljen prodajni lijak je eno izmed najpomembnejših marketinških orodij tega časa. Žalosti nas ugotovitev, da ga marsikatero slovensko podjetje bežno pozna, kaj šele uporablja v praksi. To želimo spremeniti, zato bomo na predavanju govorili o tem, zakaj bi moral biti prodajni lijak fokus vsakega posla.
Preberite več >>

Vse za podjetje