Varstvo podatkov za podjetja po GDPR

08. 06. 2023

Splošna uredba o varstvu osebnih podatkov oziroma General Data Protection Regulation - GDPR je začela veljati 24. maja 2016, uporabljati pa se je začela 25. maja 2018. Pri njej gre za izjemno pomemben uredbeni projekt EU, katerega namen je bil zagotoviti obširno in poglobljeno varstvo osebnih podatkov širom EU.

Objavljeno: Portal FinD-INFO, 2. 6. 2023, www.findinfo.si, Avtor: mag. Boštjan J. Turk, univerzitetni diplomirani pravnik, direktor inštituta za civilno in gospodarsko pravo

Splošna uredba o varstvu osebnih podatkov oziroma General Data Protection Regulation - GDPR (v nadaljnjem besedilu: Uredba) je začela veljati 24. maja 2016, uporabljati pa se je začela 25. maja 2018. Pri njej gre za izjemno pomemben uredbeni projekt EU, katerega namen je bil zagotoviti obširno in poglobljeno varstvo osebnih podatkov širom EU. Na osnovi Uredbe je bil sprejet Zakon o varstvu osebnih podatkov (ZVOP-2)[1], ki je začel veljati v začetku letošnjega leta. Zakon Uredbo izpeljuje in konkretizira.

Uredba velja za vsa podjetja, tako za tista velika, kot tudi za srednja in za mala podjetja, pa tudi za samostojne podjetnike, zavode, organizacije, klube, društva, ipd.

Kar se tiče njene veljavnosti se Uredba uporablja tako tedaj, kadar podjetje s sedežem v EU obdeluje osebne podatke, ne glede na to, kje poteka dejanska obdelava podatkov, kot tudi tedaj, ko podjetje s sedežem zunaj EU obdeluje osebne podatke posameznikov v EU, ki jim ponuja blago ali storitve, ali spremlja vedenjske navade posameznikov v EU. Podjetja s sedežem zunaj EU, ki obdelujejo podatke državljanov EU, pa morajo obvezno imenovati zastopnika v EU.

Uredba se sicer ne uporablja, kadar oseba, ki obdeluje podatke, tega ne opravlja za svoje gospodarske, poslovne ali poklicne namene

Zahteve Uredbe glede dolžnosti varovanja osebnih podatkov s strani podjetij so precej obsežne, za kršitve pa so predpisane visoke kazni.

V tokratnem prispevku nekaj več o tem, kakšne so najpomembnejše zahteve za varstvo osebnih podatkov, ki jih morajo podjetja spoštovati.  

Kaj sploh so osebni podatki?

Za začetek morda nekaj besed o tem, kaj sploh štejemo med osebne podatke, katere so podjetja dolžna varovati. Osebni podatki so vse informacije o določeni identificirani osebi ali osebi, ki jo je mogoče identificirati. To so ime in priimek, naslov, številka osebne izkaznice/potnega lista, osebni dohodek, kulturni profil, naslov internetnega protokola (IP) in podatki, ki jih hranijo bolnišnice in zdravniki (in ki osebo identificirajo zgolj za zdravstvene namene). 

Kdo obdeluje osebne podatke

Osebni podatki lahko med obdelavo prehajajo med različnimi podjetji in organizacijami, ki sodijo v dva različna osnovna profila, pri čemer upravljavec podatkov odloča o namenu in načinu obdelave osebnih podatkov, medtem, ko obdelovalec podatkov hrani in obdeluje podatke v imenu upravljavca.

Podjetja morajo imenovati uradno osebo za varstvo podatkov v sledečih primerih:

• 1.) kadar podjetje redno in sistematično spremlja vedenje posameznikov ali obdeluje posebne kategorije podatkov
• 2.) kadar je obdelava osebnih podatkov osnovna poslovna dejavnost podjetja in
• 3.) kadar gre za obsežno obdelavo osebnih podatkov.

Uradna oseba za varstvo osebnih podatkov je sicer pristojna za spremljanje obdelave osebnih podatkov ter za seznanjanje osebja, ki obdeluje osebne podatke z njihovimi dolžnostmi. Uradna oseba sodeluje tudi z organom za varstvo podatkov in je kontaktna točka za organ in za posameznike.

Kdaj je obdelava osebnih podatkov dovoljena?

Osebne podatke je treba obdelati pošteno in zakonito in za opredeljen in legitimen namen in se pri tem držati načela minimalizma: obdela naj se samo tiste podatke, ki so potrebni za ta namen. Za zakonito obdelavo osebnih podatkov je sicer treba izpolnjevati vsaj enega izmed naslednjih pogojev:

• 1.) podjetje razpolaga s soglasjem posameznika, katerega podatke obdeluje
• 2.)  podjetje osebne podatke potrebuje, da izpolni pogodbeno obveznost do posameznika
• 3.) podjetje osebne podatke potrebuje, da izpolni zakonsko obveznost
• 4.) podjetje osebne podatke potrebuje, da obvaruje življenjski interes posameznika
• 5.) podjetje osebne podatke obdeluje zato, da opravi zadolžitev v javnem interese
• 6.) če podjetje deluje v legitimnem interesu svojega podjetja, vendar samo če to ne prizadene temeljnih pravic in svoboščin posameznika, čigar podatke obdeluje.

Če pravice posameznika prevladajo nad interesi podjetja, osebnih podatkov podjetje ne sme obdelovati.

Ta slednji pogoj je nekoliko »mehkejše« narave, a je treba pri presoji legitimnosti obdelave osebnih podatkov vendarle upoštevati načelo restriktivne obdelave osebnih podatkov.

Informirano soglasje

Zelo pomembno je, da je soglasje za obdelavo osebnih podatkov, ki ga pridobi podjetje jasno in nedvoumno. Soglasje mora posameznik dati prostovoljno in na podlagi ustreznih, jasnih in razumljivih  informacij, ki jih podjetje za ta namen posreduje. Soglasje mora biti dano v obliki nedvoumne pritrditve, denimo tako, da posameznik odkljuka okence na spletu. Pomembno je, da tako okence ni že vnaprej odkljukano s strani podjetja. Obdelava osebnih podatkov na podlagi soglasja mora biti samo za namene, za katere je soglasje dano. Posameznik mora imeti vedno na voljo lahko dostopen način, da dano soglasje prekliče.

Transparentnost obdelave osebnih podatkov

Podjetje mora posameznikom, katerih osebne podatke obdeluje nuditi jasne informacije glede tega, za katero podjetje gre. Posameznikom je treba omogočiti tudi informacije glede tega, zakaj podjetje obdeluje osebne podatke in pravno podlago obdelave osebnih podatkov (Uredba, ZVOP-2).

Pravica do dostopa do podatkov in njihove prenosljivosti

Podjetja so dolžna posameznikom zagotoviti brezplačen dostop do osebnih podatkov. Če posameznik tako zahteva, mu mora podjetje sporočiti, ali obdeluje njegove osebne podatke, prav tako mu mora pojasniti namen obdelave, katere podatke obdeluje in kdo so prejemniki podatkov. Prav tako lahko posameznik zahteva, da mu podjetje pošlje kopijo obdelanih osebnih podatkov.

Posameznik ima tudi pravico do prenosljivosti njegovih podatkov. Kadar obdelava podatkov temelji na soglasju ali pogodbi, ima namreč posameznik pravico zahtevati, da mu podjetje podatke pošlje osebno ali, da se jih prenese na drugo podjetje. Taki podatki morajo biti v splošno rabljeni in strojno berljivi obliki.

Avtomatizirano sprejemanje odločitev in oblikovanje profilov

Posameznik ima pravico zavrniti odločitev, ki temelji izključno na avtomatizirani obdelavi osebnih podatkov. Pri tem sicer veljajo določene izjeme in sicer, če je posameznik izrecno soglašal z avtomatizirano obdelavo podatkov. Če pa avtomatizirano odločanje ne temelji na soglasju, mora podjetje posameznika obvestiti o avtomatiziranem sprejemanju odločitev in spoštovati njegovo pravico, da zahteva revizijo avtomatizirane odločitve in mu tudi omogočiti izpodbijanje avtomatizirane odločitve.  

Kršitve varstva osebnih podatkov - dolžnost obveščanja

Zelo pomembne so dolžnosti podjetij v povezavi s kršitvami varstva osebnih podatkov. O takih kršitvah govorimo tedaj, ko se osebni podatki, za katere je podjetje odgovorno, razkrijejo po naključju ali nezakonito nepooblaščenim prejemnikom ali so začasno nedostopni ali spremenjeni. Takih kršitev je čedalje več, zato je pomembno, da se podjetja seznanijo z njihovimi dolžnostmi ukrepanja v takih primerih: v primeru kršitve in kadar ta ogroža posameznikove pravice in svoboščine, mora podjetje v 72 urah od seznanitve s kršitvijo o tem obvestiti organ za varstvo podatkov. Glede na to, kako veliko je tveganje zaradi kršitve varstva osebnih podatkov, morajo podjetja o kršitvah obvestiti tudi vse prizadete posameznike.

Ukrepanje ob zahtevkih posameznikov

Če podjetje prejme zahtevek posameznika, ki uveljavlja pravico do varstva svojih osebnih podatkov je pomembno, da podjetje na tak zahtevek odgovori čim prej in najpozneje v enem mesecu od njegovega prejema.

Kazni

Predpisane kazni za kršitve določil Uredbe so visoke. Za tiste najhujše kršitve pa so kazni celo izredno visoke. Za lažje kršitve znaša kazen oz. upravna globa do 2 % letnega prihodka podjetja oz. 10 milijonov evrov, odvisno od tega kateri znesek je višji, pri čemer je seveda višina kazni odvisna tudi od velikosti in finančne moči podjetja. Kazni se lahko izrečejo podjetjem iz vrste razlogov, denimo, če ne pridobijo soglasja posameznika za obdelavo osebnih podatkov, kot tudi, če zbirajo in obdelujejo osebne podatke, ki jih (več) ne potrebujejo. Za hujše kršitve znaša globa celo do 20 milijonov evrov oziroma 4 % globalnega prometa podjetja. Organ za varstvo podatkov lahko naloži še druge popravljalne ukrepe, denimo prepoved obdelovanja osebnih podatkov.

Sklep

Varstvo osebnih podatkov je z nedavnim sprejemom Zakona o varstvu osebnih podatkov (ZVOP-2), ki temelji na Uredbi dobilo še bolj “oprijemljivo” obliko. Podjetja se morajo zavedati, da so osebni podatki občutljiva tema in v EU veljajo za močno zaščiteno “dobrino”. Zato je nadvse priporočljivo, da svojo prakso obdelovanja osebnih podatkov čim prej prilagodijo zahtevam Uredbe in ZVOP-2, pri čemer med najpomembnejše ukrepe sodijo predvsem pridobitev soglasja posameznika, katerega podatki se obdelujejo, omogočenje pravice posameznika do dostopa osebnih podatkov, omogočenje njegove pravice do popravka ali do izbrisa osebnih podatkov in predvsem ažurno ukrepanje v primeru nepooblaščenega razkritja osebnih podatkov. Če bodo podjetja ravnala v skladu z zahtevami zakonodaje, bo odpadla tudi bojazen, da bi jim nadzorni organi izrekli (visoke) globe.

***

[1] Zakon o varstvu osebnih podatkov - ZVOP-2 (Uradni list RS, št. 163/22)

***

Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.