Se že pripravljate na novo uredbo o varstvu osebnih podatkov?

Do leta 2020 bo na svetovnih omrežjih med seboj komuniciralo že 30 milijard naprav. Te bodo izmenjavale tudi osebne podatke, ki so postali nafta 21. stoletja. Podatki so postali tako pomembni, da so za uredbo, ki bo začela veljati 25. maja 2018, lobirali najbolj v vsej zgodovini. »Vloženih je bilo 7000 amandmajev, predvsem zaradi pritiska ameriških korporacij,« je že pred časom povedala Nataša Pirc Musar iz Info Hiše. Podjetja, ki bi jih nova uredba lahko prizadela, so že zdaj z njo dobro seznanjena, predvsem trgovci s podatki; uredba, kot smo že poročali, prinaša enotno in posodobljeno zakonodajo o varstvu (osebnih) podatkov.

Oseba, ki bo bedela nad vsem

Podjetja bodo po novi uredbi morala imeti pooblaščeno osebo za varstvo osebnih podatkov (po angleško Data Protection Officer – DPO). Njena glavna naloga bo svetovanje in nadzorovanje procesov obdelave osebnih podatkov v podjetju, za kar bo morala imeti izbrana oseba »predvsem ustrezna znanja in izkušnje o zakonodaji in praksi s področja varstva osebnih podatkov«, je za Svet kapitala pojasnila Pirc Musarjeva.

Nataša Pirc Musar: Predstavljajte si, da greste na banko, kjer vas pred odobritvijo kredita ne le 'poguglajo' in preverijo na facebooku, ampak obdržijo tudi vaš odpadli las in ga pošljejo na testiranje.

»Podjetje bo moralo DPO zagotoviti neodvisen položaj, podobno kot na primer notranjemu revizorju – DPO pri svojem delu ne bo smel prejemati navodil, biti kaznovan ali razrešen zaradi svojega dela.« Podjetja bodo morala biti pozorna, da DPO ne bo v konfliktu interesov, če bo opravljal še druge naloge v podjetju. »Ker bo DPO svetoval in nadzoroval pravno službo, IT-službo, oddelek za marketing in podobno, za DPO ne bo mogoče imenovati kar vodij ali zaposlenih v teh oddelkih,« poudarja sogovornica. Za DPO bo sicer lahko imenovan zaposleni, skupina posameznikov (skupina zaposlenih) ali zunanji pogodbeni izvajalec.

Poznavalci ocenjujejo, da bodo pri implementaciji uredbe največ težav imela srednja in manjša podjetja, ki bodo morala najti način, kako uvesti mehanizme, ki bodo zagotavljali skladnost z uredbo. In podjetja, ki v varovanje osebnih podatkov še niso vložila veliko prizadevanj. V nasprotju z njimi velika podjetja večinoma že imajo ljudi, ki skrbijo za skladnost. Sicer pa dobre prakse na področju DPO po Evropi obstajajo, zato se podjetja lahko zgledujejo po njih.

Pexels

Vključeni tudi genetski podatki

Množično zbiranje podatkov, ki jih posamezniki večinoma nekritično prostovoljno delimo po spletu, je svet obrnilo na glavo. In mnogi to obilico podatkov z veseljem obdelujejo in prodajajo. Pri tem pa pozabljamo, da so nekateri podatki, ki jih delimo, morda tudi občutljivi. GDPR v nasprotju s še veljavnim zakonom o varstvu osebnih podatkov (ZVOP-1) ne pozna kategorije občutljivih osebnih podatkov, ampak govori o »posebnih vrstah osebnih podatkov«, med katere sodijo rasni ali etnični izvor, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, biometrični in genetski podatki ter podatki v zvezi s posameznikovim zdravjem, spolnim življenjem ali spolno usmerjenostjo. »Definiranje genetskih podatkov kot posebne (občutljivejše) vrste osebnega podatka pomeni korak naprej in poskus lovljenja hitrega razvoja biotehnologije,« pravi Pirc Musarjeva. Genetski podatki izvirajo iz analize bioloških vzorcev posameznika, te pa puščamo povsod naokrog – lasje, slina, odmrla koža, kri, semenska tekočina. Iz bioloških vzorcev je mogoče določiti tveganje za nastanek bolezni, to velja celo za zarodke. Enostavnejši testerji za domačo uporabo so naprodaj po spletu, laboratoriji ponujajo različne pakete testov, razvoj na tem področju je nepredvidljiv. »Predstavljajte si, da greste na banko, kjer vas pred odobritvijo kredita ne le 'poguglajo' in preverijo na facebooku, ampak obdržijo tudi vaš odpadli las in ga pošljejo na testiranje,« razmišlja Pirc Musarjeva. Dobro je, da so tudi ti podatki vključeni v uredbo.

Pexels

Ko te brskalnik več ne izbrska

Z novo uredbo bo posameznik dobil več pravic. Pogoji za obdelovanje osebnih podatkov bodo strožji, posameznik bo moral jasno privoliti v uporabo osebnih podatkov. Poleg tega bo podatke lahko prenesel h konkurenčnemu ponudniku, lahko bo uveljavil pravico do pozabe. A kdo bo to reguliral? Za nadzor nad izvajanjem GDPR in skladnostjo z GDPR bo v Sloveniji pristojen Informacijski pooblaščenec, pravi Pirc Musarjeva. V primerih čezmejne obdelave osebnih podatkov bodo morali nadzorni organi vpletenih držav članic EU sodelovati, en nadzorni organ pa bo vodilen. V primeru nestrinjanja med nadzornimi organi držav članic bo zavezujoče odločitve izdajal Evropski odbor za varstvo osebnih podatkov, razlaga.

Nataša Pirc Musar: Po naših izkušnjah bodo imela podjetja veliko težav in stroškov s pridobitvijo ustreznih privolitev posameznikov, ki so že vključeni v zbirke podatkov, ter s prilagoditvijo IT-sistemov, da bodo lahko uresničevali pravice, ki jih posameznikom na novo daje GDPR.

Dodaja, da je že po zdaj veljavni zakonodaji s soglasjem posameznika, na katerega se podatki nanašajo, podatke mogoče posredovati tretjim osebam – tudi proti plačilu: »Privolitev je veljavna, če je posameznik predhodno seznanjen z vsemi bistvenimi okoliščinami – predvsem komu se prodajajo podatki ter s kakšnimi sredstvi, kako in za kakšne namene se bodo podatki obdelovali pri kupcu.«

Pravica do pozabe pa je nova pravica posameznika, ki jo je Sodišče EU pripoznalo že v primeru Google proti Španiji. V predlogu GDPR je bila ta pravica zastavljena precej širše, vendar je bila z amandmaji v sprejeti različici GDPR zreducirana na »pravico, da spletni brskalnik ne prikazuje zadetkov«.

Pričakujte težave

Novi uredbi se bodo morala prilagoditi vsa podjetja – banke, mobilni operaterji, trgovine, oglaševalci in drugi – ki so do zdaj zbirala podatke in že imajo baze podatkov. Na vprašanje, kako naj se prilagodijo, Pirc Musarjeva odgovarja, da je prvi korak, ki ga morajo narediti za implementacijo GDPR, analiza odstopanja (angl. gap analysis). »Ugotoviti morajo, ali in v katerih segmentih obdelava osebnih podatkov v podjetju ni skladna z GDPR. V praksi to pomeni, da morajo popisati dejansko stanje zbirk podatkov, popisati procese obdelav ter na tej podlagi ugotoviti, katere nove obveznosti iz GDPR za njihovo podjetje sploh pridejo v poštev.« To pa bo prineslo tudi stroške. Po nekaterih ocenah bo samo v ZDA 200 podjetij z več kot 5000 zaposlenimi v nove varnostne usmeritve v sistemih investiralo več kot milijardo dolarjev. »Manj ko je podjetje v preteklosti namenjalo pozornosti varstvu osebnih podatkov, večje težave in stroške bo imelo pri prilagoditvi,« morebitnim visokim stroškom pritrjuje sogovornica. »Po naših izkušnjah bodo imela podjetja veliko težav in stroškov s pridobitvijo ustreznih privolitev posameznikov, ki so že vključeni v zbirke podatkov, ter s prilagoditvijo IT-sistemov, da bodo lahko uresničevali pravice, ki jih posameznikom na novo daje GDPR.« Tako večji kot manjši upravljavci bodo imeli na začetku uporabe GDPR težave tudi z izvedbo ocene učinka v zvezi z varstvom osebnih podatkov (tako imenovanih Data Protection Impact Assessment – DPIA), ko bodo uvajali nove procese obdelave osebnih podatkov. »Najtežje pa bo v slovenskem pravnem sistemu in poslovnem okolju spremeniti odnos do varstva osebnih podatkov, kar bo nujno, saj GDPR ne temelji na prepovedih, ampak predvsem na principih odgovornosti upravljavca, samonadzora (DPO) in preventive (privzeta in vgrajena zasebnost),« pojasnjuje Pirc Musarjeva.

Pexels

Ne nasedajte, preverite!

Vsaka novost je tudi tržna niša. Že zdaj se zaradi prihodnje uredbe na trgu iz dneva v dan pojavlja več ponudnikov, ki podjetjem obljubljajo uskladitev z GDPR. »Žal večina teh ponudnikov GDPR obravnava enostransko in ponuja le delne rešitve,« svari Pirc Musarjeva. Poudarja, da je GDPR predvsem pravni izziv, ki pa mu tesno sledi IT. Zato svetuje, naj podjetje za ponudnika izbere pravne strokovnjake varstva osebnih podatkov, z odličnimi referencami, ki hkrati razumejo, katere ukrepe na vseh področjih poslovanja mora podjetje izvesti, da bi doseglo dejansko skladnost. Pri tem je treba upoštevati tudi, da »vsak pravnik ne bo tudi strokovnjak GDPR, prav tako tudi vsaka IT-hiša ne bo specialist za prilagoditev obstoječih IT-sistemov«. Zavedati se je treba tudi, da nespoštovanje uredbe predvideva precej višje kazni za kršitve, kot smo jih poznali do zdaj. Tudi do 20 milijonov evrov ali štiri odstotke skupnega svetovnega letnega prometa v preteklem proračunskem letu, pri čemer velja večji znesek.