Uveljavitev splošne uredbe EU o varstvu podatkov (GDPR), ki uvaja enotna pravila na tem področju, se bliža. Ključni datum za podjetja je 25. maj. Podjetja se na uredbo intenzivno pripravljajo, a večina jih obenem poudarja, da so že doslej varno in odgovorno ravnala z osebnimi podatki svojih strank.

Kaj pa nova uredba pomeni za samostojne podjetnike? Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij GDPR vsebuje odstopanja glede vodenja evidenc. Pri samostojnih podjetnikih je potrebno prvo preveriti, o kakšnem obsegu oziroma zbirki osebnih podatkov sploh govorimo ter nato sprejeti naslednje korake, so nam pojasnili v družbi Deloitte Slovenija. 

Na spletni strani Zavod mladi podjetnik so zapisali, da uredbo GDPR morate spoštovati, če vsaj na eno od spodnjih vprašanj odgovorite pritrdilno:

► Ali zbirate e-poštne naslove prek obrazca na vaši spletni strani ali trgovini in pošiljate e-novice?

► Ali imate spletno trgovino, v kateri prek košarice prodajate različne izdelke?

► Ali uporabljate spletno analitiko, kot je recimo Google Analytics?

► Ali uporabljate orodja za ponovno trženje (angl. remarketing), ponovno ciljanje (angl. retargeting) oziroma podobne načine oglaševanja?

Katera podjetja potrebujejo pooblaščeno osebo za varstvo osebnih podatkov (DPO)?

Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščena oseba, je zapisano na spletni strani informacijskega pooblaščenca.  

Zahteva za imenovanje pooblaščene osebe za varstvo podatkov velja za javne organe, ko temeljne dejavnosti upravljavca ali obdelovalca zajemajo redno in sistematično obsežno spremljanje posameznikov in če temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov (nekoč poznanih kot občutljivi osebni podatki).

Pri imenovanju pooblaščene osebe je potrebno paziti, da oseba ne bo v nasprotju interesov pri opravljanju nalog pooblaščene osebe za varstvo podatkov ter ostalih delovnih nalog. Pooblaščena oseba je lahko zaposleni ali zunanji izvajalec, lahko pa povezane družbe ali javni organi imenujejo eno pooblaščeno osebo. Njena vloga je predvsem svetovalne narave, spremljanje skladnosti, sodelovanje z nadzornim organom in kot kontaktna točka v zvezi z varstvom osebnih podatkov. Položaj pooblaščene osebe za varstvo podatkov mora biti neodvisen in zaščiten, so nam razložili v družbi Deloitte Slovenija. 

Kdo je na "udaru" GDPR? 

Poglejmo nekaj sektorjev: finančne storitve, telekomunikacije, zavarovalništvo, turizem in trgovina. Največ - še posebej v trgovini in turizmu - se jih trenutno ukvarja s tem, da od uporabnikov pridobijo soglasja za nadaljevanje marketinškega obveščanja. 

V Kompasu se zavedajo možnosti, da del uporabnikov soglasij za namen marketinškega obveščanja ne bo podal, zato bodo primorani prilagodili marketinške aktivnosti.

"Po začetni paniki smo ugotovili, da bomo zaradi novosti korenito pregledali, katere osebne podatke zbiramo in hranimo v podjetju," so povedali v družbi Enigmarium. Največ dela pričakujejo pri pripravi sistema za sprejem soglasij, kar vključuje tudi nove izjave o soglasjih strank ter nekaj programerskih sprememb.

Predvsem se bodo spremenili operativni procesi hotela, potreben bo vnos večje količine podatkov, pa opažajo v hotelu Four points by Sheraton. Strožji predpisi za hotele pomenijo predvsem spremembe v operativnih procesih, v mesecu do uveljavitve uredbe jih tako čaka implementacija novosti na področjih komunikacije, hranjenja podatkov, nadzora, opozarjanja o kršitvah ter realizacija možnosti prenosa, sicer pa uredba ne bo vplivala le na EU, pač pa bodo posledice čutili vsi, ki z EU poslujejo.

Na varovanje osebnih podatkov so zelo pozorni tudi v trgovskih družbah, predvsem v zvezi z delovanjem sistemov kartic zvestobe, ki prinašajo ugodnosti kupcem. "A tudi prejšnja ureditev na tem področju je narekovala številne obveznosti, zdaj bomo določene procese večinoma le prilagodili," so odgovorili v Mercatorju.

Ob tem pa tako kot v številnih drugih podjetjih opažajo, da je uredba zaradi počasnega sprejemanja novega zakona o varstvu osebnih podatkov in izdajanja smernic na določenih področjih precej odprta, zato za zdaj ne vedo, kaj lahko pričakujejo. Kot najbolj pereč in tehnično najbolj zahteven izziv izpostavljajo sledenje obdelav osebnih podatkov.

Posebej izpostavljajo tudi pridobivanje privolitev za obdelovanje podatkov. To je izredno dolg proces, saj na splošno manj kot polovica posameznikov odpre klasično direktno pošto, še nižji je delež odpiranja elektronske pošte. Razumevanje teme je nizka in lahko se zgodi, da bo večina ljudi ignorirala napore podjetij, da bi zagotovila skladnost obdelave podatkov z zakonom, se bojijo v trgovcu.