Pridobivanje, shranjevanje in obdelava osebnih podatkov

Splošna uredba o varstvu osebnih podatkov

25.5.2018 bo stopila v veljavo Splošna uredba o varstvu osebnih podatkov (ZVOP-2), angleško "General Data Protection Regulation" (GDPR). Njen cilj je omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki ter s poenotenimi predpisi dvigniti raven varstva osebnih podatkov v celotni Evropski Uniji. 

Ključne novosti za upravljavce in obdelovalce osebnih podatkov

• Zbiranje osebnih podatkov je dovoljeno le na podlagi izrecne in dokazljive privolitve posameznika. Upravljavec mora posamezniku jasno povedati, zakaj bodo njegovi podatki uporabljeni in koliko časa bodo hranjeni. Obdelava osebnih podatkov bo dovoljena samo za namene, ki so bili navedeni v soglasju.
• Posameznik ima pravico do umika soglasja. To mu mora biti omogočeno na enako enostaven način, kot je soglasje podal.
• Upravljavci morajo posamezniku zagotoviti pregledne in enostavno dostopne informacije o njegovih podatkih in njihovi obdelavi.
• Upravljavec mora o kršitvi varstva osebnih podatkov obvestiti nadzorni organ najkasneje v 72 urah (v določenih primerih tudi posameznike).
• V določenih primerih bo potrebno imenovanje pooblaščene osebe za varstvo podatkov.
• Upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v centralni register zbirk osebnih podatkov, vendar bo v določenih primerih obvezno vodenje evidence dejavnosti obdelave.

Ukrepi pred začetkom veljave nove uredbe

• Preveriti veljavnost obstoječih privolitev.
• Prilagoditi način pridobivanja soglasij v prihodnje.
• Prilagoditi pogodbe s pogodbenimi obdelovalci osebnih podatkov.
• Preveriti in prilagoditi popis zbirk osebnih podatkov (evidence dejavnosti obdelave).
• Zagotoviti pravice posameznikov do seznanitve, omejitve, izbrisa, popravkov in prenosa osebnih podatkov.
• Preveriti, ali bomo morali izvajati ocene učinka.
• Preveriti, ali bomo morali imenovati odgovorno osebo za varstvo osebnih podatkov (DPO).
• Preveriti, kako minimizirati količino zbranih podatkov, obseg njihove obdelave, obdobje njihove hrambe in število ljudi, ki te podatke obdelujejo (načelo vgrajenega in prevzetega varstva podatkov).
• Pregledati in prilagoditi varnostne politike o varstvu osebnih podatkov in njihovo izvajanje.
• Določiti, kdo bo poročal v primeru varnostnega incidenta.
• Razmisliti, ali potrebujemo certifikat, da za osebne podatke ustrezno skrbimo. (Certificiranje bo možno čez nekaj časa. Bo prostovoljno, a plačljivo.)
• Po potrebi poiskati zunanje strokovnjake za pomoč pri uvajanju sprememb.

Viri:

• https://www.ip-rs.si/fileadmin/user_upload/Pdf/GDPR/Splosna_uredba_o_varstvu_podatkov-letak_maj2017_v2.pdf 
• https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori/ 
• https://www.ip-rs.si/fileadmin/user_upload/Data_protection_infographic_SL-LR.pdf 
• https://www.ip-rs.si/fileadmin/user_upload/Pdf/GDPR/GDPR_TOP10_14sep2017.pdf 
• http://www.mp.gov.si/fileadmin/mp.gov.si/pageuploads/mp.gov.si/novice/2018/ZVOP-2_javna_razprava_2.pdf

*Ta članek je zasnovan kot interpretacija Splošne uredbe o varstvu osebnih podatkov (ZVOP-2), vendar ne predstavlja pravnega nasveta.