Gospodarska Zbornica Slovenije | Arhiv: 10 najpogostejših vprašanj in odgovorov o GDPR
GZS

Arhiv: 10 najpogostejših vprašanj in odgovorov o GDPR

10 najpogostejših vprašanj in odgovorov o GDPR

Kaj je GDPR?
GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo o varstvu podatkov (Uredba 2016/679 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES ( nadaljevanju: Uredba GDPR)).

Kdaj se začne uporabljati?
25. maja 2018.

Katero je področje uporabe Uredbe GDPR?
Uredba GDPR se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke.

Koga zavezuje Uredba GDPR?
Uredba GDPR zavezuje fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki upravlja ali obdeluje osebne podatke.

Kaj je osebni podatek?
»Osebni podatek“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Kateri so pogoji za uporabljanje oz. obdelavo osebnih podatkov?
Pogoj za obdelavo osebnih podatkov zakonitost obdelave. Obdelava je zakonita v kolikor je izpolnjen eden od naslednjih pogojev:
  • osebna privolitev posameznika za obdelavo njegovih podatkov,
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba.
Kaj vse se šteje za osebno privolitev posameznika v obdelavo njegovih osebnih podatkov?
Privolitev posameznika, na katerega se nanašajo osebni podatki pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Kdo je uradna oseba za varstvo osebnih podatkov?
Uradna oseba za varstvo osebnih podatkov ali DPO (ang. Data Protection Officer ) je oseba, ki je pri upravljavcu oz. obdelovalcu osebnih podatkov odgovorna za skladnost obdelave osebnih podatkov.

Kdo mora imenovati uradno osebo za varstvo osebnih podatkov?
Uradno osebo mora imenovati:
  • javni organ ali telo;
  • podjetja, katerih temeljna dejavnost je upravljanje ali obdelava osebnih podatkov;
  • podjetja in druge institucije, ki upravljalo ali obdelujejo posebne vrste osebnih podatkov in osebne podatke zvezi s kazenskimi obsodbami in prekrški.
Ali mora biti uradna oseba za varstvo osebnih podatkov za zaposlena pri upravljalcu oz. obdelovalcu osebnih podatkov?
Za uradno osebo za varstvo osebnih podatkov se lahko imenuje zaposlenega, v kolikor to ni v nasprotju interesov, kakor tudi zunanjega pogodbenega izvajalca.





10 ukrepov za pravočasno zagotovitev skladnosti poslovanja z uredbo GDPR:

  1. Dvignite ozaveščenost o pomenu varovanja osebnih podatkov v vašem podjetju.
    Namenite ustrezen čas in sredstva za podrobno seznanitev in izobraževanje vodstva ter zaposlenih z uredbo GDPR.

  2. Zberite in dokumentirajte vse osebne podatke, ki jih posedujete, na kakšni podlagi ste jih pridobili in s kom jih delite.
    V ta nemen bo potrebno izvesti skrbni informacijski pregled po organizacijski strukturi vašega podjetja.

  3. Preverite obstoječo raven ravnanja z osebnimi podatki v vašem podjetju.
    V kolikor je vaše poslovanje na področju varstva osebnih podatkov skladno s trenutno veljavnimi predpisi, boste z implementacijo uredbe GDPR imeli manj dela.

  4. Preverite veljavnost obstoječih privolitev z uredbo GDPR.
    Ni nujno, da so obstoječe privolitve za zbiranje osebnih podatkov skladne z novimi, strožjimi zahtevami uredbe GDPR.

  5. Prilagodite način pridobivanja novih privolitev uredbi GDPR.
    Zagotovite ustrezno seznanitev posameznika o tem komu daje podatke, katere podatke daje, za kakšen namen in kakšne pravice ima. Komunicirajte jasno in razumljivo.

  6. Prilagodite pogodbe s pogodbenimi obdelovalci osebnih podatkov.
    Na področjih kjer se poslužujete outsourcinga storitev (npr. kadrovske agencije, ponudniki storitev informacijske tehnologije, računovodskimi servisi) bo potrebno v izvajalske pogodbe dodati ustrezne klavzule za zagotovitev skladnosti poslovanja z uredbo GDPR.

  7. Preverite vaše postopke za zagotavljanje pravic posameznikov po uredbi GDPR.
    Testirajte procese, če delujejo. Kako učinkovito bi se odzvali na zahtevo posameznika za seznanitev, izbris, popravek prenos osebnih podatkov. Kako bi ravnali v primeru ugovora? Ali so vaši procesi ustrezno tehnološko podprti, da lahko zadostite rokom?

  8. Imenujte pooblaščeno osebo za varstvo osebnih podatkov (Data Protection Officer – DPO), v kolikor izpolnjujete pogoje za obvezno imenovanje.
    Najprej preverite, ali ste zavezani imenovati DPO. Če je odgovor pozitiven, razmislite o tem ali za DPO imenovati enega od zaposlenih ali pa zunanjo osebo. V vsakem primeru je potrebo zagotoviti neodvisni položaj DPO od vodstva družbe in visoko strokovnost.

  9. Preverite, ali ustrezno varujete pravice otrok.
    Ste implementirali ustrezne ukrepe in postopke za to, da boste v primerih, ko vaše storitve uporabljajo otroci, privolitev pridobili od staršev oz. zakonitih skrbnikov?

  10. In, v kolikor ne zmorete sami, skrbno izberite morebitnega zunanjega izvajalca.
    Nasvet za MSP: »GDPR je tržna niša. Svoje strokovne storitve za pomoč pri implementaciji uredbe GDPR ponujajo številni subjekti, med njimi tudi takšni, ki se nadejajo zgolj hitrega zaslužka. Njihova promocija temelji predvsem na zastraševanju podjetij z visokimi kaznimi. Zato previdnost ni odveč«.
Članek: Marko Djinović, 10 ukrepov za pravočasno skladnost poslovanja, Glas Gospodarstva





1. PRIVOLITEV

Kdaj je privolitev veljavna?
Uredba GDPR v 4. členu opredeli privolitev posameznika, na katerega se nanašajo osebni podatki, kot vsako prostovoljno, konkretno, informirano in nedvoumno izkazano voljo posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Veljavna privolitev mora zadostiti štirim zahtevam, in sicer mora biti:
  • prostovoljna,
  • specifična,
  • informirana in
  • nedvoumna.
Kjer niso izpolnjeni vsi pogoji Uredbe GDPR, boste morali po 25. 5. 2018 pridobiti ponovne privolitve!

Kdaj je privolitev prostovoljna?
Kadar je svobodno dana, torej kadar ima posameznik resnično izbiro in nadzor nad svojimi osebnimi podatki (več).

Kdaj je privolitev specifična?
Ko je podana za konkretno opredeljen namen. Konkreten, ekspliciten in legitimen namen je predpogoj za pridobitev veljavne privolite. Jasno opredeljen namen obdelave je orodje proti t.i. function creep pojavu.

Kdaj je privolitev informirana?
Ko posameznik razume vsebino privolitve (s čim soglaša) in tudi način, kako lahko privolitev oz. soglasje umakne. Informirana in posledično veljavna privolitev vsebuje najmanj naslednje informacije:
  • identiteto upravljavca (npr. ime podjetja, naziv organizacije ali društva)
  • konkretno opredeljen namen za vsako posamezno obdelavo, za katero je zahtevana posamezna privolitev,
  • navedbo vrst osebnih podatkov, ki bodo zbrani in obdelovani
  • obstoj pravice do umika privolitve,
  • obvestilo posamezniku, da ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov
  • obvestilo posamezniku o morebitnih tveganjih pri prenosu osebnih podatkov v tretjo državo ali mednarodno organizacijo.
Kdaj je privolitev nedvoumna?
Ko posameznik izrazi soglasje z jasnim pritrdilnim ravnanjem, ki mora vedno biti dano z izjavo (pisno ali ustno, vključno z e-sredstvi) ali z izkazano aktivnostjo (več).

Kaj je izrecna privolitev in kako se razlikuje od veljavne privolitve?

V določenih primerih, ko obstaja veliko tveganje za zlorabo podatkov ali je potreba posameznika po nadzoru nad osebnimi podatki večja, je potrebno pridobiti eksplicitno oz. izrecno privolitev (več).

Članek: Marko Djinović, Vse, kar morate vedeti o privolitvi za obdelavo osebnih podatkov, Glas Gospodarstva

Vir: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/ 25.5.2018





2. POGODBENA OBDELAVA

Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec, mora za to obstajati pisna pogodba ali drug ustrezen akt.

Katere sestavine mora vsebovati pogodba o pogodbeni obdelavi?

Iz pogodbe mora biti razvidno čigave in katere podatke, za kakšen namen in koliko časa jih bo obdelovalec obdeloval v imenu upravljavca. Iz pogodbe mora biti razviden tudi domet pravic in obveznosti upravljavca v zvezi z osebnimi podatki, saj upravljavec ne more prenesti na obdelovalca več pravic, kot jih ima sam, hkrati pa omejitve za upravljavca predstavljajo tudi omejitve za obdelovalca.

Uredba GDPR predpisuje minimalni obseg sestavin pogodbe ali drugega pravnega akta, ki mora zlasti določati, da obdelovalec:
  • lahko osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca,
  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  • sprejme vse ukrepe, potrebne za varnost osebnih podatkov (ukrepe opiše v internem pravilniku o varnosti osebnih podatkov);
  • zaposli drugega obdelovalca le, če je prej pridobil posebno ali splošno pisno dovoljenje upravljavca in da zagotovi, da veljajo med obdelovalcem in pod-obdelovalcem enake obveznosti kot med upravljavcem in obdelovalcem in da je med njima sklenjena pisna pogodba.
  • upravljavcu pomaga pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki;
  • upravljavcu pomaga pri zagotavljanju varnosti obdelave osebnih podatkov, uradnem obveščanju o kršitvah in oceni učinkov na varstvo osebnih podatkov;
  • po zaključku storitve obdelave izbriše ali vrne vse osebne podatke upravljavcu (razen kadar hrambo predpisuje zakon);
  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 Uredbe GDPR, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje
Več>>

Vir: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/; 25.5.2018





3. POOBLAŠČENEC ZA VARSTVO OSEBNIH PODATKOV (DPO)

Kdo mora imenovati pooblaščeno osebo?

Uredba GDPR v 37. členu določa, da bodo pooblaščeno osebo morali imenovati:
  1. Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-

  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.

  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.
Podrobnejše razlage in konkretne primere, kaj obsegajo pojmi »temeljne dejavnosti«, »velik obseg« in »redno in sistematično spremljanje« najdete v Smernicah o pooblaščenih osebah za varstvo osebnih podatkov Delovne skupine za varstvo podatkov iz člena 29.

Katere so naloge pooblaščene osebe?

Kot določa 39. člen Uredbe GDPR, so naloge predvsem svetovalno-nadzorne narave:

(a) obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s Uredbo GDPR in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b) spremljanje skladnosti s uredbo GDPR, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c) svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d) sodelovanje z nadzornim organom;

(e) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

Pooblaščena oseba ni odgovorna za zagotavljanje skladnosti z določbami o varstvu osebnih podatkov, pač pa sta upravljavec in obdelovalec tista, ki morata dokazati, da obdelava poteka v skladu z Uredbo GDPR.

Katere poklicne odlike in strokovna znanja naj ima?

Funkcija pooblaščene osebe terja interdisciplinarna znanja in se imenuje na podlagi poklicnih odlik in strokovnega poznavanja zakonodaje in prakse na področju varstva osebnih podatkov.

Kdo ne more biti pooblaščena oseba?

Ključno vodilo pri izvajanju nalog pooblaščene osebe naj bo neodvisnost. Institut pooblaščene osebe zahteva celovitejši pristop in neodvisnega posameznika ali neodvisni kolegijski organ z vodjo (več posameznikov), ki mora(jo) izvrševati naloge in imeti ustrezno pozicijo, da pri tem ne pride do konflikta interesov. Kot poudarjajo Smernice, to predvsem pomeni, da pooblaščena oseba v organizaciji ne sme imeti položaja, ki bi omogočala opredelitev namenov ali storitev obdelave osebnih podatkov.
Več>>

Vir: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/; 25.5.2018.





4. OCENA UČINKOV V ZVEZI Z VARSTVOM OSEBNIH PODATKOV

Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije.

V katerih primerih je izvedba ocene učinkov obvezna?

Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Uredba GDPR v 35. členu določa v katerih primerih he potrebna izvedba ocene učinkov.

Ocene učinkov so posebej relevantne pri uvajanju novih tehnologij.

Več>>

Vir: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/; 25.5.2018.





5. VPLIV NOVE SPLOŠNE UREDBE O VARSTVU OSEBNIH PODATKOV NA DELOVNA RAZMERJA

Ali mora delodajalec pridobiti soglasje delavca za zbiranje in obdelavo njegovih osebnih podatkov?

Privolitev posameznika ni edina legitimna podlaga za zbiranje in obdelavo osebnih podatkov. Splošna uredba o varstvu podatkov (EU) 2016/679 v 6. členu opredeljujejo več zakonitih podlag za obdelavo osebnih podatkov, med drugimi sta zakoniti podlagi tudi, če je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali če je obdelava potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

Zakonsko podlago za obdelavo osebnih podatkov na delovnopravnem področju ureja kar nekaj specialnih zakonov v razmerju do Zakona o varstvo osebnih podatkov (v nadaljevanju ZVOP-1), npr. Zakon o delovnih razmerjih, Zakon o evidencah na področju dela in socialne varnosti ter Zakon o varstvu in zdravju pri delu.

Zakon o delovnih razmerjih (v nadaljevanju ZDR-1) v 48. členu pravi, da se osebni podatki delavca lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je obdelava osebnih podatkov potrebna za uresničevanje pravic in obveznosti iz delovnega razmerja in v zvezi z delovnim razmerjem. Osebne podatke delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, se morajo takoj izbrisati in prenehati uporabljati.

Pravice iz 48. člena ZDR-1 veljajo tudi za osebne podatke kandidatov. Kandidat lahko na primer zahteva vpogled v rezultate testiranja. Kandidat, ki ni bil izbran, ima pravico od delodajalca zahtevati vračilo vse posredovanih dokumentov. Če tega ne stori, jih mora delodajalec takoj uničit (izbrisati). Na podlagi kandidatovega (priporočeno pisnega) soglasja, pa lahko delodajalec kandidatove podatke hrani z namenom morebitne kasnejše zaposlitve.

Zakonska podlaga za obdelavo osebnih podatkov za delodajalca je tudi Zakon o evidencah na področju dela in socialne varnosti (v nadaljevanju: ZEPDSV). Ta določa, da morajo delodajalci voditi evidenco o zaposlenih delavcih, evidenco o stroških dela, evidenco o izrabi delovnega časa in evidenco o oblikah razreševanja kolektivnih delovnih sporov pri delodajalcu,

ZEPDSV natančno opredeljuje, katere podatke delodajalci vpisujejo v posamezno evidenco. V evidenco o zaposlenih delavcih se na primer za vsakega delavca, ki je v delovnem razmerju, vpišejo: osebno ime, datum rojstva (če oseba nima EMŠO), kraj rojstva, enotna matična številka občana, davčna številka, državljanstvo, naslov stalnega in začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), izobrazba, ali je delavec invalid, kategorija invalidnosti, ali je delavec delno upokojen, ali delavec opravlja dopolnilno delo pri drugem delodajalcu… Za obdelavo navedenih osebnih podatkov ima delodajalec podlago v ZEPDSV, zato delavčeve privolitve ne potrebuje. Enako velja za druge osebne podatke, ki jih je delodajalec dolžan voditi na podlagi 13. – 20. člena ZEPDSV.

Poleg teh v ZDPDSV naštetih osebnih podatkov, sme delodajalec osebne podatke delavcev obdelovati samo, če je njihova obdelava potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. To možnost je potrebo razlagati v tesni povezavi z načelom sorazmernosti iz 3. člena ZVOP-1 in ob upoštevanju dejstva, da je delavec šibkejša stranka v delovnem razmerju.

Če za obdelavo osebnih podatkov ni izrecnega zakonskega pooblastila in če tudi ni potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja (ali v zvezi z delovnim razmerjem), lahko delodajalec osebne podatke zbira in obdelujejo samo na podlagi privolitve vsakega delavca. Delavec more soglašati s konkretnim posegom, zato splošna klavzula v pogodbi o zaposlitvi ne bo zadoščala. Osebna privolitev delavca je dopustna le izjemoma pod pogojem, da zavrnitev nima posledic na delovno razmerje oziroma na delavčev delovnopravni položaj.

Delodajalec mora torej za vsak podatek, ki zahteva od delavca izkazati, da njegovo obdelavo določa zakon ali da ga potrebuje za izvrševanje pravic in obveznosti iz delovnega razmerja.

Fotogalerija



Kažem 1 komentarjev
Avatar  [Trackback] 6 let nazajOdgovor

Trackback from Domain: gzs.si


Vzorec Pravilnika o varovanju osebnih podatkov z Izjavo o varovanju zaupnih podatkovhttps://www.gzs.si/zbornica_racunovodskih_servisov/Novice/ArticleID/66739/vzorec-pravilnika-o-varovanju-osebnih-podatkov-z-izjavo-o-varovanju-zaupnih-podatkov