Nova Splošna uredba o varstvu osebnih podatkov, ki s seboj prinaša veliko sistemskih novosti in obveznosti, bo stopila v veljavo 25. maja 2018. Spremembe so praktično že za ovinkom, zato je nujno, da se nanje pripravite pravočasno. Uredba prinaša veliko novosti predvsem za podjetja in delodajalce, ki področja varovanja osebnih podatkov danes še nimajo ustrezno urejenega, kljub temu, da jim to obveznost nalaga že Zakon o varovanju osebnih podatkov.
Ministrstvo za pravosodje bo za lažjo pravočasno pripravo ter prilagoditev novim obveznostim, septembra izdalo smernice osnovane na podlagi sprememb, ki jih prinaša Uredba. Smernice bodo nakazale pot ter način implementacije določb Uredbe v Zakon o varovanju osebnih podatkov. Do takrat se lahko z nekaterimi novostmi seznanite v kratkem povzetku, ki smo ga za vas pripravili pri Kadrovski asistenci.
Katere novosti prinaša Uredba?
- Obveznost imenovanja pooblaščene osebe oz. odgovorne osebe za varstvo podatkov (Data protection officer). Obvezna bo za upravljavce in obdelovalce v javnem sektorju ter tiste, ki v okviru opravljanja svoje temeljne dejavnosti obdelujejo osebne podatke – če gre za redno in sistematično obsežno spremljanje posameznikov ali za obsežno obdelavo osebnih podatkov (IT servisi, računovodski servisi, zasebni zdravstveni domovi idr.). Pooblaščena oseba bo lahko zaposleni znotraj podjetja ali zunanji pooblaščenec. Ta bo moral imeti neodvisno funkcijo in dostop do sistemov varovanja osebnih podatkov. Svoja opažanja, opozorila, mnenja in predloge, bo naslavljal neposredno na vodstvo. Oseba bo odgovorna tudi za varovanje osebnih podatkov pri obdelovalcu oz. upravljavcu, ki ga je imenovala za to funkcijo in pristojna za komunikacijo z nadzornim organom, pristojnim za varovanje osebnih podatkov (informacijskim pooblaščencem).
- Ukinja se dolžnost prijave zbirk osebnih podatkov v register pri informacijskem pooblaščencu. Prijava v register podatkov, ki se vodijo v obveznih kadrovskih in ostalih evidencah, ne bo več potrebna. Bo pa vodenje kataloga zbirk osebnih podatkov pri nekaterih podjetjih ostalo obvezno. Predvsem pri delodajalcih, ki zaposlujejo več kot 250 delavcev ali iz njihove dejavnosti izhaja večje tveganje za zlorabo osebnih podatkov. Razlika bo le v tem, da registra ne bo več potrebno prijaviti informacijskemu pooblaščencu. Ta pa bo lahko v primeru nadzora zahteval vpogled v katalog, ki se bo moral hraniti na sedežu podjetja. Upravljavci in obdelovalci tako ne bodo imeli več dolžnosti, da prijavijo evidence zbirk informacijskemu pooblaščencu. Ta obveznost trenutno še velja za vse delodajalce, ki zaposlujejo vsaj 50 delavcev.
- Osebni podatki se bodo lahko zbirali le na podlagi izrecne privolitve posameznika. Soglasje bo moralo biti izraženo jasno, razumljivo, nedvoumno in tako, da bo dokazljivo. Novost bo aktualna predvsem za dejavnost neposrednega trženja, pri katerem podjetja zbir osebnih podatkov, kasneje uporabljajo v oglaševalske namene. Pomembno je poudariti, da bo potrebno preveriti veljavnost že pridobljenih soglasij in privolitev ter način, kako so bila podana. Če niso bila podana ustrezno, jih bo potrebno pridobiti znova. Način za preklic privolitve bo moral biti tako enostaven kot pri podaji. Posameznik bo imel pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, še posebej pri neposrednem trženju.
- Zagotovljena bo pravica do prenosljivosti podatkov. Posameznik bo lahko od upravljavca zahteval, da mu zagotovi dostop do njegovih osebnih podatkov v strukturirani, splošno uporabljeni in strojno berljivi obliki ter pravico, da te podatke posreduje drugemu upravljavcu.
- Obveznost obveščanja o kršitvah varstva osebnih podatkov. Informacijski pooblaščenec bo moral biti najkasneje v 72 urah obveščen o kršitvah osebnih podatkov. V določenih primerih bo moral biti o kršitvi obveščen tudi posameznik, ki so mu bili ogroženi podatki.
- Obveznost predhodnega posvetovanja z nadzornim organom v primeru tveganih obdelav osebnih podatkov. V določenih primerih, se bodo morali upravljavci oz. obdelovalci pred obdelavo podatkov posvetovati z nadzornim organom.
Visoke kazni za večje kršitve
Informacijski pooblaščenec napoveduje, da bodo sankcije v primeru kršitev učinkovite, sorazmerne in odvračilne. Upoštevane bodo glede na težo kršitve, predvidene sankcije pa so zelo visoke. To je zgolj nekaj novosti, ki jih prinaša nova Uredba. Za dodatne informacije in pomoč se lahko obrnete tudi na Kadrovsko asistenco, kjer se z njimi že intenzivno ukvarjamo.