Le malo predpisov lahko tekmuje s Splošno uredbo o varstvu osebnih podatkov – GDPR, tako v pretežno negativni razvpitosti kot tudi glede obsega zavezancev in precej splošnega prepričanja, da gre za birokratske, nelogične in nesmiselne zahteve, ki jim je na deklaratorni ravni pač treba čim bolj formalistično slediti.

Tisti, ki smo se z varstvom osebnih podatkov ukvarjali že pred dobo GDPR, vemo, da pravic posameznikov in obveznosti upravljavcev, tudi obdelovalcev, GDPR ne ureja bistveno drugače, kot predpisi, ki jih je nadomestila. Predvsem pa s širšim pogledom na področje varstva osebnih podatkov določbe dobijo svoj smisel, upravljavci pa bremena po GDPR, lahko vidijo tudi kot svoje konkurenčne prednosti, kot priložnost izgradnje trdnejšega, trajnejšega in na zaupanju temelječega odnosa do svojih strank v digitalni dobi, ki nas predvsem sili, da stvari počnemo hitreje, pogosteje, ceneje… Pa se jih lotevamo zakonito?

Odgovornost za zakonitost obdelave osebnih podatkov je bila vselej upravljavčeva. GDPR pa je to izrecno izpostavila in mu v odvisnosti od obsega obdelave, vrst osebnih podatkov in  namenov, ki jih zasleduje, naložila nekatere nove obveznosti.

Upravljavec je po GDPR vselej dolžan:

  • Posameznikom posredovati INFORMACIJE  o obdelavi osebnih podatkov (politike zasebnosti, informacije za posameznike…).
  • Voditi EVIDENCE dejavnosti obdelave.
  • Sprejeti INTERNI AKT o varnosti osebnih podatkov.
  • Zagotoviti primerno varstvo osebnih podatkov na delovnem mestu.
  • Odgovarjati na zahteve posameznikov (sprejeti odločitev o pravici).

Glede na specifične situacije, naravo, obseg in namene obdelave osebnih podatkov pa tudi:

  • Izdelati LIA (ko se pri obdelavi naslanja na zakoniti interes) in ustrezne PRIVOLITVENE IZJAVE (ko se pri obdelavi naslanja na privolitev).
  • Izdelati DPIA (ko oceni, da bi nameravana obdelava lahko pomenila veliko tveganje za pravice in svoboščine posameznikov).
  • Poročati o KRŠITVI varstva osebnih podatkov (v določenih primerih tudi obveščati s kršitvijo prizadete posameznike).
  • Imenovati POOBLAŠČENE OSEBE za varstvo osebnih podatkov.

Vloga obdelovalcev osebnih podatkov po GDPR ni nova, so pa nove nekatere njihove obveznosti.

Obdelovalci so po GDPR dolžni:

  • Voditi EVIDENCE dejavnosti obdelave (ločeno od evidenc dejavnosti obdelave, ki jih vodi v vlogi upravljavca).
  • Sprejeti INTERNI AKT o varnosti osebnih podatkov.
  • Pomagati upravljavcu pri odzivanju na zahteve posameznikov.
  • Pomagati upravljavcu pri izdelavi DPIA.
  • Pomagati upravljavcu pri odkrivanju in poročanju o KRŠITVI varstva osebnih podatkov.
  • Imenovati POOBLAŠČENE OSEBE za varstvo osebnih podatkov.
  • Pridobiti SOGLASJE upravljavca za angažiranje PODOBDELOVALCA in z njim skleniti pisno pogodbo.

Ozaveščeni, informirani in drugače opolnomočeni posamezniki, ki poznajo in uveljavljajo svoje pravice, so največji garant za spoštovanje pravil varstva osebnih podatkov.

Posamezniki po GDPR pri upravljavcu osebnih podatkov lahko uveljavijo pravico:

  • do informiranosti in dostopa do osebnih podatkov;
  • do popravka in izbrisa, v določenih primerih v smislu “pravice do pozabe”,
  • do omejitve obdelave osebnih podatkov,
  • do prenosljivosti osebnih podatkov,
  • do ugovora in
  • v zvezi z avtomatizirano obdelavo osebnih podatkov vključno s profiliranjem.

Vsaka zahteva posameznika je za upravljavca priložnost, da preveri skladnost svojih ravnanj s predpisi in se po potrebi izboljša.

mag. Rosana Lemut Strle