Kaj naj javni in zasebni subjekti sploh storijo, da so skladni z GDPR? Osvojiti morajo splošno vedenje in poznavanje Uredbe, šele nato lahko začnejo priprave na pravno in ITskladnost z GDPR. V nadaljevanju podajamo nekaj ključnih pojmov GDPR.
Obdelovalci in upravljavci (fizične ali pravne osebe, javni organi, agencije ali druga telesa, ki obdelujejo podatke) se srečujejo s številnimi novostmi. Uvodoma je pomembno poznati zahtevo po vgrajenem in privzetem varstvu osebnih podatkov, ki zahteva, da subjekti na varnost in varovalne mehanizme ter s tem pravice posameznikov mislijo že v fazi načrtovanja (in vzdrževanja) varnostne politike. Torej že takrat, ko snujejo svojo dejavnost. Ker lahko nekatere vrste obdelave predstavljajo veliko tveganje za pravice in svoboščine posameznikov, je treba upoštevati tudi zahteve GDPR o predhodnih ocenah učinka, saj je pomembno tveganja za osebne podatke predvidevati vnaprej in v ta namen vključevati ustrezne (IT in pravne) rešitve.
V ospredju je torej zavedanje pravic posameznika, ki z GDPR-jem dobivajo nove razsežnosti. Posameznik ima od podjetja, ki obdeluje njegove osebne podatke, pravico zahtevati popravek, izbris (pravica do pozabe), umakniti soglasje, vložiti pritožbo oz. uporabiti pravna sredstva, izvedeti, kako dolgo se njegovi podatki hranijo, v kakšen namen se obdelujejo in pridobiti tiste, ki so bili posredovani naprej. S pravico do prenosa bodo morala podjetja posameznikove podatke na njegovo zahtevo prenesti drugemu ponudniku storitve. S tem je posameznikom marsikaj olajšano, od subjektov pa marsikaj zahtevano.
Splošna uredba o varstvu osebnih podatkov (angl.GDPR) od vseh zahteva, da svoje poslovanje prilagodijo do 26. 5. 2018.
Poleg tega, da morajo sistemi omogočati vse te pravice, GDPR predstavlja obveznost uradnega obveščanja o kršitvah osebnih podatkov nadzornemu organu – to bo pri nas Informacijski pooblaščenec –, v nekaterih primerih pa tudi prizadetim posameznikom. V ta namen imajo nekatera podjetja obveznost, druga pa možnost, da imenujejo uradno osebo za varstvo osebnih podatkov (angl. Data Protection Officer - DPO). Ta je obvezen, kadar obdelavo opravlja javni organ ali telo (z izjemo sodišč kot sodnih organov), kadar temeljne dejavnosti upravljavcev in obdelovalcev vključujejo redno in sistematično spremljanje posameznikov ter obveznost pogojujejo narava, obseg in namen obdelovanih osebnih podatkov, pa tudi kadar se v velikem obsegu obdelujejo podatki posebnih vrst (prej občutljivi osebni podatki, npr. zdravstveni podatki, rasa, politično prepričanje ipd.).
Eno izmed ključnih področij novitete predstavljajo soglasja za obdelavo osebnih podatkov.
Veljajo namreč novi pogoji za privolitev, ki mora biti tako dana z jasnim pritrdilnim dejanjem. Posameznik, na katerega se nanašajo osebni podatki, prostovoljno, opredeljeno, ozaveščeno in nedvoumno izrazi soglasje za obdelavo osebnih podatkov v zvezi z njim, pisno, lahko z elektronskimi sredstvi ali ustno izjavo. To pa pomeni, da če predhodna soglasja niso bila pridobljena po teh pravilih, niso več veljavna in je treba pridobiti nova, in sicer za vsak namen obdelave posebej (lahko na istem obrazcu, vendar pod ločenimi točkami), pri vsem tem pa še vedno paziti na upoštevanje sedmih načel obdelave osebnih podatkov.
Ključnega pomena so torej komunikacija, soglasja, dostopnost (in prenosljivost) osebnih podatkov, opozarjanje na nepravilnosti, pravica do pozabe in pa varnostni mehanizmi kot taki. Ne moremo pa mimo dejstva, da Zakon o varstvu podatkov (ZVOP-2), ki bi bil prilagojen zahtevam Uredbe, letos ne bo sprejet, kar nalaga še dodatni pritisk na obdelovalce in upravljavce, da se najprej prilagodijo GDPR, nato pa še novemu ZVOP-2.
Piše: doc. dr. Miha Dvojmoč, MD svetovanje, infoCenter, predsednik detektivske zbornice RS