Nova evropska Splošna uredba o varstvu osebnih podatkov (GDPR – General Data Protection Regulation) se začne uporabljati enotno v vseh državah članicah 25. maja 2018. Glede na sedaj veljavni Zakon o varstvu osebnih podatkov (ZVOP-1), prinaša precej novosti. Najpomembnejši novosti, na katere se bodo morali prilagoditi upravljavci zbirk osebnih podatkov, sta način pridobivanja osebne privolitve za obdelavo osebnih podatkov in imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO – Data Protection Officer).
GDPR med drugim določa, da morajo DPO-ja imeti vsi upravljavci in obdelovalci zbirk osebnih podatkov kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Zagotovo v to skupino sodijo vsi upravljavci in obdelovalci, ki oblikujejo profile posameznikov na podlagi več zbirk osebnih podatkov in več konkretnih osebnih podatkov, ki se nahajajo v teh zbirkah. To so tiste pravne osebe ali sp-ji, ki obdelujejo osebne podatke v imenu in za račun naročnika – t.i. out sourcing.
Nedvomno v to kategorijo upravljavcev sodijo vsi upravljavci/obdelovalci, ki se ukvarjajo s trženjem, predvsem vedenjskim. Nadalje vsi, ki storitve oblikujejo na podlagi preferenc in zmožnosti posameznika. To so vse banke, zavarovalnice, klubi zvestobe trgovcev, spletne trgovine, ki tržijo svoje produkte na podlagi preferenc njihovih kupcev ter seveda kadrovske agencije itn. Naj poudarim, da bodo zaposlitvene agencije morale imeti DPO ne glede na to, ali iščejo kadre samostojno, kot izvajanje lastne dejavnosti. Ali tudi če kadre zgolj iščejo in jih ustrezno profilirajo po naročilu nekega podjetja.
Kaj bo glavna naloga DPO?
DPO bo pri agenciji opravljal pomembno nalogo zagotavljanja skladnosti poslovanja s predpisi s področja varstva osebnih podatkov. In sicer neodvisno, kar pomeni, da za svoje delo ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. DPO-jev položaj bo moral omogočati le poročanje vodstvu upravljavca oziroma obdelovalca (podjetja, organa ali organizacije), kjer bo deloval. Če morda naredimo primerjavo, bo njegov položaj znotraj upravljavca/obdelovalca v našem pravnem redu primerljiv položaju notranjega revizorja. Brez ustreznega znanja in sredstev za njegovo delo seveda ne bo šlo. Uredba izrecno zahteva, da mora imeti DPO za svoje delo dovolj finančnih sredstev, da bo lahko opravljal naloge. DPO bo moral imeti tudi neomejen dostop do vseh zbirk osebnih podatkov v organizaciji in vpogled v vse postopke obdelave.
Poleg nadzora nad vsakršno obdelavo osebnih podatkov, bo DPO dolžan komunicirati tudi s posamezniki. Kot so iskalci zaposlitve, katerih osebni podatki se obdelujejo pri upravljalcu ali obdelovalcu, in jim odgovarjati na njihova vprašanja/zahteve glede pravic, ki jim jih daje GDPR.
Kdo je lahko vaš DPO?
Vaš DPO je lahko eden od zaposlenih ali zunanji izvajalec. Uredba zahteva, da mora biti DPO neodvisen. Imenovan mora biti na podlagi strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. DPO je lahko tudi pravna oseba, ki nudi te storitve. To je zagotovo lahko dodana vrednost, saj bo imel posameznik težko vsa potrebna znanja, ki se od njega zahtevajo in pričakujejo. Ta vključujejo pravna znanja, znanja s področja informacijske varnosti in modernih informacijskih tehnologij.
Vaš DPO smo lahko tudi mi. Odvetnici Nataša Pirc Musar in Rosana Lemut Strle imata vso potrebno znanje.
GDPR zaostruje pogoje za pridobitev posameznikove privolitve
Privolitev ostaja zakonita podlaga za prenos osebnih podatkov v skladu z GDPR. Vendar je pridobitev privolitve bistveno omejena. GDPR zahteva, da posameznik, na katerega se nanašajo osebni podatki, svojo privolitev da »z jasnim pritrdilnim dejanjem ali ustno izjavo.«
GDPR določa pritrdilno soglasje za obdelavo podatkov – informirana privolitev
V skladu z GDPR mora biti privolitev izražena »prostovoljno, konkretno, ozaveščeno in nedvoumno.« Pred sprejetjem GDPR je bilo negotovo, ali se bo EU sprijaznila z »nedvoumno« privolitvijo. Ali bo določila višji standard »izrecnega« soglasja. Končni osnutek je pristal nekje na sredini. Na eni strani določa nedvoumno soglasje, na drugi strani zahteva soglasje, ki se izrazi »z izjavo ali jasnim pritrdilnim dejanjem.«
Uvodna izjava 32 pojasnjuje, da »to lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve.«
Še nekaj drugih novosti nas čaka po maju 2018
Uredba na primer določa primere, ko bo treba o vdorih v zbirke osebnih podatkov in drugih kršitvah varstva osebnih podatkov obvestiti Informacijskega pooblaščenca. In tudi vse posameznike, na katere se nanašajo osebni podatki v zbirki(ah) osebnih podatkov upravljavca. Uredba zdaj s privolitvijo upravljavca zbirke osebnih podatkov dopušča tudi podpogodbeno obdelavo. To pomeni, da osebne podatke pogodbeni partner pod določenimi pogoji lahko posreduje še tretjemu partnerju v (pod)obdelavo. Uredba v določenih primerih določa obvezno izvedbo presoje vplivov na zasebnost (t. i. PIA – Privacy Impact Assesment). To bo treba izvesti v primerih, ko bi določena vrsta obdelave lahko povzročila veliko tveganje za pravice in svoboščine fizičnih oseb.
Sicer pa naj bi poslanci do maja 2018 sedaj veljavni Zakon o varstvu podatkov (ZVOP-1) razveljavili in sprejeli nov Zakon o varstvu podatkov (ZVOP-2). V novem zakonu bodo jasneje urejene določitve namena obdelave za javni sektor, medtem ko bo za zasebni sektor veljalo enako, kot je urejeno v Splošni uredbi, natančneje bodo urejene tudi pristojnosti DPO.