25. maj trka na vrata. To je dan, ko bo v veljavo stopila nova uredba EU o varstvu podatkov – GDPR. Marsikdo zamahne z roko in reče, da se to njega ne tiče, a naj poudarimo, da se moti. Podjetja se na GDPR zdaj že intenzivno pripravljajo, kakšne novosti uredba prinaša, pa bi morali vedeti tudi posamezniki. 

Večina podjetij se na uredbo pripravlja zadnji trenutek

Evropska komisija je že pred časom ocenila, da številna, predvsem manjša podjetja, niso dovolj dobro seznanjena s spremembami, ki jih prinaša GDPR. Evropski parlament je sicer zeleno luč za uredbo dal že aprila 2016, tako da so vsi imeli dovolj časa, da se nanjo pripravijo. A očitno se niso. Največ težav imajo podjetja, ki že doslej niso spoštovala predpisov na tem področju.

O GDPR in trenutnih razmerah v Sloveniji smo se pogovarjali s Polono Čufer Klep, višjo managerko v oddelku poslovnega svetovanja v družbi Deloitte Slovenija, ter Lidijo Vincekovič, višjo svetovalka v oddelku poslovnega svetovanja v omenjeni družbi.

Deloitte je izvedel raziskavo med različnimi organizacijami in različnimi sektorji na celotnem EMEA območju in ugotovil, da zgolj 15 odstotkov organizacij, vključenih v raziskavo, verjame, da bodo do 25. maja popolnoma skladni z novo uredbo GDPR.

Tudi v Sloveniji opažajo nizko pripravljenost na nova določila, pri čemer je pomembno omeniti, da je sam GDPR izšel že pred dvema letoma ter tako podjetjem omogočil dveletno prehodno obdobje za pripravo na skladnost, hkrati pa tudi dveletno obdobje za posamezne države članice, da z lokalnimi zakonodajami uredijo področja, ki jih je GDPR pustil odprta za lokalne zakonske ureditve. Odsotnost lokalnega zakona nam v naš prostor trenutno vnaša določene nejasnosti, ki so ključne za samo skladnost.

Za kakšne težave gre?

Slovenska podjetja imajo z uvedbo novih predpisov precej težav, ki se pričnejo že z določitvijo odgovornosti oziroma nosilcev uvajanja skladnosti, saj posamezni oddelki (npr. pravni, IT, kadrovski, trženje) menijo, da ta tema ne spada samo v njihovo domeno. To je res, saj je GDPR multidisciplinarna tema, ki zahteva vpletenost celotnega podjetja in je ne more prevzeti in speljati samo en oddelek, pravita naši sogovornici. V grobem v Deloitte-u sicer delijo področja uvajanja skladnosti na pravni, IT, varnostni in poslovni vidik, vendar je treba poudariti, da se vidiki zelo prepletajo in tudi uvedba skladnosti samo po enem vidiku ni smiselna.

Katere težave so najbolj pogoste?

Največje težave izhajajo iz pomanjkljivega upravljanja z osebnimi podatki, saj podjetja po Deloitte-ovih izkušnjah nimajo ustreznega nadzora nad zbiranjem osebnih podatkov, uporabo osebnih podatkov, pretokom le-teh med različnimi sistemi in samo hrambo osebnih podatkov.

Tveganja, ki izhajajo iz neustreznega upravljanja osebnih podatkov so predvsem kršitve načela zakonitosti (ustrezna pravna podlaga za zakonitost obdelave osebnih podatkov), načela najmanjšega obsega podatkov (zbiranje samo tistih podatkov, ki so potrebni za namene obdelave), načela omejitve shranjevanja (hramba osebnih podatkov le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo) ter morebitna nezmožnost izvrševanja pravic uporabnikov (pravica do seznanitve, dopolnitve, popravka, omejitve obdelave, izbrisa, prenosljivosti in ugovora), saj če podjetje ne ve, za katere namene so bili osebni podatki zbrani, na kateri pravni podlagi in kje vse se hranijo, težko zagotovijo točne informacije o obdelavi osebnih podatkov oziroma omejijo obdelavo, popravijo ali izbrišejo osebne podatke posameznika.

Saj so podjetja morala spoštovati že ZVOP-1. 

V Sloveniji je veljavna zakonodaja o varstvu osebnih podatkov ZVOP-1 že sedaj kar stroga. Vzrok, da se posamezne družbe tega področja pred pričetkom veljave nove zakonodaje lotevajo resneje in da je biti skladen z novo zakonodajo ena od najvišjih poslovnih prioritet, je predvsem zaradi višine upravnih glob, ki jih lahko naloži nadzorni organ za kršitev določil GDPR-ja.

V praksi naši sogovornici opažata, da čeprav je že ZVOP-1 določal, da se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali, po izpolnitvi namena obdelave pa se morajo osebni podatki izbrisati, uničiti, blokirati ali anonimizirati, temu v podjetjih ni tako. V praksi namreč družbe za hrambo (osebnih) podatkov določajo najkrajše roke hrambe (v skladu z zakonom in poslovnimi potrebami), ne pa tudi najdaljše. Uničuje se kvečjemu fizična dokumentacija zaradi sprostitve prostora fizičnega arhiva, v sistemih pa (osebni) podatki ostajajo za nedoločen čas in se nikoli ne brišejo, kar je kršitev načela omejitve shranjevanja.

Imajo privolitve posameznikov, a te niso v skladu z GDPR

Potencialno težavo predstavljajo tudi do sedaj zbrane privolitve, saj obstaja visoka verjetnost, da niso bile v skladu z GDPR-jem in od 25. maja ne bodo ustrezna podlaga za obdelavo osebnih podatkov. Olajševalno okoliščino naj bi za podjetja prinesel predlog ZVOP-2, a kdaj bo sprejet, še ni jasno.

Kaj naj bi prinesel ZVOP-2? Zanimive so predvsem prehodne določbe, ki določajo moratorij na kazni zaradi privolitev, ki so neskladne z GDPR (a skladne z ZVOP-1) za obdobje do enega leta od začetka veljavnosti tega zakona. Določajo, da se dejanja obdelave osebnih podatkov pri upravljavcih osebnih podatkov in pogodbenih obdelovalcih nadaljujejo po določbah ZVOP-1 najpozneje do roka šest mesecev od začetka veljavnosti tega zakona ter obveznost izvedbe ustreznih ukrepov prilagoditev glede določitve pooblaščene osebe v roku devetih mesecev (občine in javni vzgojno-izobraževalni zavodi v roku dveh let) od začetka veljavnosti tega zakona. 

Zakaj sploh potrebujemo GDPR, če imamo lokalne zakone?

GDPR postavlja strožje pogoje za privolitev, ki je eden od pogojev za zakonitost obdelave (poleg izvajanja pogodbe, zakonske obveznosti, zaščite življenjskih interesov, javnega interesa in zakonitega interesa). Le-ta mora biti dokazljiva, razumljiva, informirana, prostovoljna, aktivna, enostavno preklicljiva, za vsak namen posebej, samostojna izbira (ne sme biti v najprej označena, pogoj za izvedbo storitve ter mora biti ločena od splošnih pogojev), itd, razložita naši sogovornici iz družbe Deloitte.

GDPR tudi določa, da kadar obdelava temelji na privolitvi, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.

Po Deloitte-ovih izkušnjah iz prakse, večina do sedaj zbranih privolitev ni v skladu z novimi zahtevami GDPR-ja, zato bodo družbe morale za nadaljnjo zakonito obdelavo do sedaj zbranih osebnih podatkov ponovno zbrati nove privolitve, kar lahko predstavlja obsežen projekt. Ob zbiranju novih privolitev sta ključnega pomena tudi hramba privolitev, saj bodo morali upravljavci in obdelovalci dokazati, da imajo za posameznika ustrezno, z GDPR-jem skladno privolitev, ter učinkovito upravljanje privolitev, predvsem zaradi posameznikove pravice, da privolitev kadarkoli brez škode prekliče.

Kaj to pomeni za posameznika?

Za posameznika to prinaša več transparentnosti glede obdelave njegovih osebnih podatkov, saj so mu na voljo vse informacije in povečuje njegove možnosti nadzora nad svojimi osebnimi podatki, ki za podjetja seveda predstavljajo veliko vrednost.

Ključne spremembe, ki jih GDPR prinaša napram predhodni evropski direktivi o varstvu osebnih podatkov iz leta 1995, so širitev ozemeljske veljavnosti, saj velja za upravljavce in obdelovalce osebnih podatkov, tudi če nimajo sedeža v Evropski uniji, vendar obdelujejo osebne podatke posameznikov, ki so v EU, in širitev same definicije osebnih podatkov, saj med osebne podatke po novi ureditvi spadajo vsi podatki, v zvezi z določenim ali določljivim posameznikom.

Pri tem je določljiv posameznik tisti, ki ga je mogoče neposredno ali posredno določiti. Tako po novem kot osebne podatke štejemo tudi podatke o lokaciji, IP naslove, spletne in tehnološke identifikatorje, piškotke, RFID oznake in tudi psevdonimizirane podatke.

Naslednjič: Pooblaščena oseba za varstvo osebnih podatkov v podjetjih – kaj je njena naloga in zakaj jo podjetje mora imeti? Kaj nova uredba pomeni za samostojne podjetnike in na kaj morajo biti pozorni?