Kako je uredba GDPR spremenila področje varstva osebnih podatkov?
Table of Contents
Pravica do zasebnosti je ena izmed osnovnih človekovih pravic, ki bi jih morali upoštevati prav vsi. Prav zato je izjemnega pomena, da skrbimo tudi za varstvo osebnih podatkov, predvsem v gospodarskih subjektih, kjer se ti osebni podatki obdelujejo. Z dobo digitalizacije pa je varstvo osebnih podatkov še nekoliko oteženo, zato je lani v veljavo vstopila uredba GDPR, ki določa nove temelje za varstvo osebnih podatkov vsem državam Evropske unije. Tako morajo imeti sedaj države članice Evropske Unije usklajeno zakonodajo, ki ureja varstvo podatkov posameznikov.
Res je, da smo za prilagoditev novim določbam, ki jih GDPR uvaja, imeli časa kar dve leti, vendar se večina subjektov, ki se ukvarja z obdelovanjem osebnih podatkov na spremembe privaja šele sedaj, ko je uredba GDPR že v veljavi. K temu ni pripomogel niti ZVOP-2, ki bo pričel veljati s precejšno zamudo.
Na konferenci, ki jo organiziramo, bomo natančno opisali varstvo podatkov
Prav zato se nam v podjetju Uradni list Republike Slovenije d.o.o. zdi izjemnega pomena, da ljudi seznanimo z določbami, ki veljajo za varstvo podatkov in jih je vpeljala uredba GDPR. Prav zato skupaj Info hišo d.o.o. organiziramo 5. mednarodno konferenco Dnevi prava zasebnosti in svobode izražanja.
Glavne teme konference bodo seveda samo varstvo osebnih podatkov v domačih in mednarodnih organizacijah, kripto svetu, varnost obdelave podatkov in pravica do pozabe. Poseben poudarek bo v okviru uredbe GDPR namenjen tudi marketingu in regulatorjem. Na konferenci se bodo zvrstila predavanja različnih priznanih strokovnjakov, ki področje varstva podatkov podrobno poznajo in bodo posameznikom znali svetovati.
Glavna novost, ki jo GDPR prinaša je uvedba pooblaščenca za varstvo podatkov
Ena izmed glavnih novosti uredbe GDPR je ta, da morajo vsi, ki na trgu urejajo oz. se ukvarjajo z zbiranjem osebnih podatkov, zaposliti pooblaščeno osebo za varstvo osebnih podatkov (krajše DPO) da imenujejo pooblaščeno osebo za varstvo osebnih podatkov (t. i. DPO). Organizacija bo morala imenovati DPO glede na tri osnovne okoliščine:
- glede na pravno naravo organizacije (javni/zasebni sektor),
- glede na naravo osebnih podatkov (občutljivi oz. po novem posebni, »navadni« osebni podatki),
- glede na načine in namene obdelave osebnih podatkov in s tem povezanega tveganja za zasebnost posameznikov.
To dejansko pomeni, da bodo morale pooblaščeno osebo za varstvo osebnih podatkov zaposliti vsi državni organi in agencije, občine, javni zavodi, izvajalci javnih služb in nosilci javnih pooblastil. Vsi, ki se ukvarjajo z obdelovanjem t. i. občutljivih osebnih podatkov oz. posebnih vrste osebnih podatkov (npr. vse zdravstvene ustanove, sindikati, politične stranke, verske skupnosti) in vsi, ki posameznike redno in sistematično obsežno spremljajo, oblikujejo profile posameznikov in jih segmentirajo na podlagi osebnih podatkov (npr. banke ali zavarovalnice). Posebnost funkcije pooblaščene osebe za varstvo osebnih podatkov je ta, da oseba ne bo neposredno odgovarjala gospodarski osebi, ki jo zaposluje, pač pa bo uživala določeno avtonomijo.
DPO bo pri upravljavcu oz. obdelovalcu osebnih podatkov skrbel za skladnosti s predpisi s področja varstva osebnih podatkov poleg tega pa bo naloga pooblaščene osebe za varstvo osebnih podatkov tudi komunikacija z osebami, katerih osebni podatki se v podjetju obdelujejo. Le-tem bo moral odgovarjati na vprašanja oz. zahteve glede pravic, ki jim jih daje uredba GDPR. Nadalje bo morala pooblaščena oseba za varstvo osebnih podatkov, ko bo organizacija deležna inšpekcijskega nadzora s strani nadzornega organa s področja varstva osebnih podatkov (npr. Informacijskega pooblaščenca RS aktivno sodelovati in odgovarjati na vprašanja nadzornika.
Kako uredba GDPR osebne podatke dejansko definira?
Seveda se bomo na konferenci posvetili tudi drugim temeljnim določbam in terminom, ki jih opredeljuje uredba GDPR. Tako bomo natančno opredelili termin osebnih podatkov, ki po GDPR predstavljajo katero koli informacijo v zvezi z določenim ali določljivim posameznikom na katerega se nanašajo osebni podatki. Osebni podatek je tako praktično vsak podatek, ki ga pridobimo, hranimo, obdelujemo od posameznika.
Kako naj ravnajo osebe, ki se z upravljanjem osebnih podatkov ukvarjajo?
Poleg tega pa bomo na omenjeni konferenci pripravili priporočila, po katerih naj bi gospodarski subjekti, ki se z obdelovanjem oz. upravljanjem osebnih podatkov ukvarjajo, ravnali. Tako je najprej potrebno ugotoviti, katere osebne podatke sploh zbiramo, razmisliti je potrebno tudi s kakšnim namenom omenjene podatke zbiramo in prenehati z zbiranjem vseh podatkov, ki jih nujno ne potrebujemo za svoje delovanje. Vedeti moramo tudi, kako dolgo osebne podatke hranimo in kam jih spravljamo. Vse omenjeno pa moramo prilagoditi določilom uredbe GDPR, ki jih bomo na konferenci podrobno predstavili.
Več o konferenci, ki jo pripravljamo v Uradnem listu, si lahko preberete na naslednjih povezavah: www.privacy-days.com, kjer lahko najdete tudi sam program konference, utrinki zadnje konference pa so na voljo na https://privacy-days.com/4-dnevi-zasebnosti-in-svobode-izrazanja/. Za vsa dodatna vprašanja smo vam na voljo tako po telefonu kot tudi po e-pošti, kjer vam bomo z veseljem pomagali pri odločitvi o tem ali je konferenca pravšnja za vas in vaše podjetje ali ne.
