23 maj

Uredba o varstvu osebnih podatkov (GDPR)

Kot verjetno že veste, s 25.5.2018 začenja veljati omenjena Uredba. Čeprav slovenski Zakon o varstvu osebnih podatkov (ZVOP-2) še ni sprejet, se bo Uredba uporabljala neposredno.

Kot podjetnik, delodajalec in upravljalec osebnih podatkov morate upoštevati pravila varstva osebnih podatkov, ki jih določa GDPR. Predvsem se nova pravila varstva osebnih podatkov nanašajo na tiste, ki obdelujete osebne podatke, tudi v primerih, ko zbirate elektronske naslove in naročnikom pošiljate elektronsko pošto. Osebni podatek je torej tudi elektronski naslov, ki vsebuje ime in priimek (npr.ime.priimek@podjetje.si), IP naslov, spletni identifikatorji in psevdonimi. Če je možno iz podatka določiti osebo, se ta šteje za osebni podatek. V kolikor obdelujete le osebne podatke svojih zaposlenih (vsi tisti podatki, ki so potrebni za obračun in izplačilo plače), ne potrebujete posebne privolitve – v tem primeru osebne podatke zaposlenih zbirate že po sami zakonodaji, na podlagi pogodbe o zaposlitvi.

Če obdelava osebnih podatkov ni med poglavitnimi dejavnostmi vašega podjetja, in so edini podatki , ki jih obdelujete podatki zaposlenih, prav tako ne potrebujete pooblaščene osebe za varstvo podatkov. V kolikor pa izvajate redno in sistematično spremljanje osebnih podatkov, obdelujete posebne vrste osebnih podatkov (verska, etična, rasna pripadnost, politično mnenje, spolna usmerjenost…) pa ste zavezani k imenovanju pooblaščene osebe, ki je lahko tudi zunanji izvajalec. Podobno velja za oceno učinka varstva osebnih podatkov – ta je potrebna, ko je mogoče, da bi vrsta obdelave ob upoštevanju narave, obsega, okoliščin in namena obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Če torej strankam pošljete mailing, ocene ne potrebujete, če pa npr. obdelujete zdravstvene podatke svojih strank, pa je ocena obvezna.

Kaj torej lahko storite sami: naredite popis vseh zbirk osebnih podatkov (kar je določal že ZVOP-1), preverite, ali je v podjetju poskrbljeno za pravico posameznika do vpogleda v njegove osebne podatke, preverite katere osebne podatke hranite in s kakšnim namenom so bili pridobljeni, omogočite t.i. pravico do pozabe (zagotoviti posamezniku nepovratno brisanje njegovih podatkov, razen tistih zakonsko določenih za trajno hrambo) ter omogočite izvrševanje pravice do prenosljivosti osebnih podatkov (da se ti posamezniku izročijo v strojno berljivi obliki).

Bolj obširen opis, besedilo Uredbe, vključno s smernicami boste našli na spletnih straneh informacijskega pooblaščenca.

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf