Ureditev in preverjanje skladnosti poslovanja s zahtevami evropske Splošne uredbe o varstvu podatkov (GDPR) in Zakona o varstvu osebnih podatkov (ZVOP-2).
Uredba med drugim predvideva:
Januarja je začel veljati tudi Zakon o varstvu osebnih podatkov (ZVOP-2), ki dopolnjuje Splošno uredbo o varstvu podatkov (GDPR). Zakon je bil pričakovan že dolgo, saj ga je Slovenija sprejela med zadnjimi v EU. Z njim so zdaj urejena tista področja, ki niso pokrita z uredbo GDPR.
Skladnost s pravili ZVOP-2 in GDPR je obvezna za vse pravne subjekte, ki obdelujejo osebne podatke.
Osebni podatek je definiran kot katerikoli podatek o lastnostih, stanju, ravnanju ali razmerju, ki se nanaša na določeno ali določljivo fizično osebo, torej posameznika, na glede na obliko, v kateri je izražen.
Določljiva fizična oseba pa je tista, ki se jo lahko neposredno ali posredno identificira s pomočjo njenih identifikacijskih številk (npr. EMŠO, davčna številka, številka zdravstvenega zavarovanja, telefonska številka, registrska številka vozila), ali s sklicevanjem na dejavnike, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto (npr. zaposlitev, naslov, funkcijo, položaj ali status v določenem subjektu, ipd.).
Za organizacije z velikim številom strank – fizičnih oseb je ureditev varstva osebnih podatkov še posebej nujna, saj te razpolagajo z velikim številom občutljivih osebnih podatkov, ki jih je potrebno zaščititi v skladu z zakonodajo. Upravitelj zbirk osebnih podatkov mora imeti bodisi zakonsko bodisi pogodbeno pooblastilo za procesiranje vsakega osebnega podatka, s katerim razpolaga.
Subjekti morajo v ta namen najprej pripraviti kataloge zbirk osebnih podatkov, iz katerih je razvidno, katere osebne podatke obdelujejo, kdo je upravljalec podatkov, kdo skrbnik, kje so hranjeni, na kakšni podlagi jih obdelujejo, itd..
Po obstoječi zakonodaji mora imeti vsaka organizacija izdelan pravilnik o varstvu osebnih podatkov ter kataloge zbirk osebnih podatkov (za vsako zbirko osebnih podatkov posebej).
Prav tako morajo imeti upravljavci zbirk osebnih podatkov podpisane ustrezne pogodbe z morebitnimi zunanjimi obdelovalci podatkov, ki zanje vršijo računalniško oz. drugo obdelavo osebnih podatkov. Obdelovalci osebnih podatkov morajo pri tem zagotoviti isto stopnjo zaščite osebnih podatkov kot izvorni upravitelj osebnih podatkov, ki jim tako obdelavo osebnih podatkov poveri.
Delodajalci morajo poskrbeti tudi, da njihovi zaposleni spoštujejo obvezna pravila s področja varstva osebnih podatkov, v ta namen morajo pridobiti pisne izjave s strani delavcev, prav tako pa jih morajo izrecno seznaniti, katere osebne podatke delavcev bodo obdelovali v zvezi z zaposlitvijo.
Delodajalci morajo spoštovati pravila o varstvu osebnih podatkov tudi preko delovanja svojih spletnih strani. Le-te morajo biti skladne z določbami ZVOP-2 in GDPR, pri čemer je predpisan obvezen sprejem Politike zasebnosti spletne strani, v primeru uporabe piškotkov »cookijev«, pa tudi obvestila o uporabi piškotkov.
S sprejetjem ZVOP-2 so se zaostrila tudi pravila glede izvajanja videonadzora v podjetjih. ZVOP-2 v ta namen določa vsebino obvestila o izvajanju videonadzora, sklepa o uvedbi videonadzora in pravilnika o izvajanju videonadzora. Podjetje mora sprejeti vse tri navedene akte.
S sprejemom ZVOP-2 je zdaj možno izrekanje kazni po GDPR. Najvišje lahko segajo od 20 milijonov EUR ali vse do 4 % skupnega svetovnega letnega prometa.
Pri vsakem izreku kazni se upoštevajo tudi drugi kriteriji: od naklepa ali malomarnosti, kakšno je bilo število prizadetih posameznikov, za kakšne vrste podatkov gre. Kazen bo odvisna tudi od tega, kakšno je sodelovanje kršiteljev pred, med in po ugotovljeni kršitvi.
Visoke kazni so možne za namerno ali zelo brezskrbno zavarovanje podatkov, še posebej, če gre za podatke velikega obsega ali sporne oziroma občutljive podatke. To je mogoče v primerih, ko pride na primer do zlorabe ali prodaje z namenom finančnih koristi, do prikritega zbiranja in sledenja ter zlorabe zelo občutljivih podatkov za posameznike, kot je zdravstveno, finančno stanje, socialne okoliščine in podobno.
Za stranke lahko pripravimo naslednje akte, ki jih predpisujeta ZVOP-2 in GDPR:
1. Pravilnik o varstvu osebnih podatkov
2. Politika zasebnosti za objavo na spletu
3. Kadrovsko področje
4. Videonadzor (po potrebi)
5. Pogodbena obdelava
6. Privolitve in soglasja
7. Evidenca dejavnosti obdelave
8. Ocena učinka na varstvo osebnih podatkov (po potrebi)
Na področju prava informacijskih tehnologij vam nudimo: