Ste pripravljeni na novo uredbo EU o varstvu podatkov GDPR?

Ste pripravljeni na novo uredbo EU o varstvu podatkov GDPR?

Ste pripravljeni na novo uredbo EU o varstvu podatkov GDPR?

08. 01. 2018

10 ukrepov za pravočasno skladnost poslovanja. Kazni v primeru kršitev lahko sežejo vse do 20 milijonov evrov.

Objavljeno: Glas gospodarstva, November 2017, www.gzs.si, Avtor: Marko Djinovic, Pravna služba GZS

10 ukrepov za pravočasno skladnost poslovanja

Kazni v primeru kršitev lahko sežejo vse do 20 milijonov evrov.

25. maja 2018 se v vseh državah članicah začne neposredno uporabljati Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov – GDPR).

Uredba GDPR predstavlja popolnoma nov evropski zakonodajni okvir varstva podatkov, ki prebivalcem omogoča učinkovitejši nadzor nad njihovimi osebnimi podatki, poslovnim subjektom pa nalaga številne dodatne obveznosti na področju varstva osebnih podatkov, ki bodo pomembno vplivale na njihovo poslovanje.

Kaj je novo?

Najpomembnejše novosti, ki jih prinaša uredba GDPR so:

  • okrepljene pravice posameznikov, na katere se nanašajo osebni podatki, med drugim pravica do dostopa, popravka in izbrisa osebnih podatkov, pravica do pozabe, omejitve obdelave in prenosljivosti podatkov, pravica do pravnega sredstva in sankcije;
  • strožje obveznosti upravljavcev in obdelovalcev osebnih podatkov, kot denimo zaostritev zahtev za zbiranje osebnih podatkov na podlagi soglasja - privolitve posameznikov, posebno varstvo otrok, večji poudarek na predhodnih izvedbah analiz učinkov na varstvo osebnih podatkov, obveznost upravljavca, da najkasneje v 72 urah, odkar je podjetje izvedelo za kršitev, uradno obvesti Informacijskega pooblaščenca o kršitvah varstva osebnih podatkov;
  • posebej je predvidena tudi obveznost imenovanja pooblaščene osebe za varstvo osebnih podatkov (Data Protection O7icer – DPO) za javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov.

Do 20 milijonov evrov kazni

Uredba GDPR precej zaostruje tudi kazni, ki jih lahko nadzorni organi naložijo v primeru kršitev. Te lahko v skrajnih primerih sežejo vse do 20 milijonov evrov ali 4 odstotkov skupnega letnega prometa kršitelja. Zagotavljanje skladnosti poslovanja na področju varstva osebnih podatkov tako postaja ena od glavnih prioritet podjetij.

Za prilagoditev uredbi GDPR ostaja le še šest mesecev, zato je pomembno, da v kolikor tega še niste storili, k prilagoditvi pristopite nemudoma.

Preverite, če so obstoječe privolitve za zbiranje osebnih podatkov skladne z novimi zahtevami.

Pravočasno sprejmite ustrezne ukrepe

V nadaljevanju je predstavljenih deset ukrepov za pravočasno zagotovitev skladnosti poslovanja z uredbo GDPR:

1. Dvignite ozaveščenost o pomenu varovanja osebnih podatkov v vašem podjetju.

Namenite ustrezen čas in sredstva za podrobno seznanitev in izobraževanje vodstva ter zaposlenih z uredbo GDPR.

2. Zberite in dokumentirajte vse osebne podatke, ki jih posedujete; na kakšni podlagi ste jih pridobili in s kom jih delite.

V ta namen bo treba izvesti skrbni informacijski pregled po organizacijski strukturi vašega podjetja.

3. Preverite obstoječo raven ravnanja z osebnimi podatki v vašem podjetju.

Če je vaše poslovanje na področju varstva osebnih podatkov skladno s trenutno veljavnimi predpisi, boste z implementacijo uredbe GDPR imeli manj dela.

4. Preverite veljavnost obstoječih privolitev z uredbo GDPR.

Ni nujno, da so obstoječe privolitve za zbiranje osebnih podatkov skladne z novimi, strožjimi zahtevami uredbe GDPR.

5.  Prilagodite način pridobivanja novih privolitev uredbi GDPR.

Zagotovite ustrezno seznanitev posameznika o tem, komu daje podatke, katere podatke daje, za kakšen namen in kakšne pravice ima. Komunicirajte jasno in razumljivo.

6. Prilagodite pogodbe s pogodbenimi obdelovalci osebnih podatkov.

Na področjih, kjer storitve za vas izvajajo drugi (npr. kadrovske agencije, ponudniki storitev informacijske tehnologije, računovodski servisi) bo treba v izvajalske pogodbe dodati ustrezne klavzule za zagotovitev skladnosti poslovanja z uredbo GDPR.

7. Preverite vaše postopke za zagotavljanje pravic posameznikov po uredbi GDPR.

Testirajte procese, če delujejo. Kako učinkovito bi se odzvali na zahtevo posameznika za seznanitev, izbris, popravek, prenos osebnih podatkov. Kako bi ravnali v primeru ugovora? Ali so vaši procesi ustrezno tehnološko podprti, da lahko zadostite rokom?

8. Imenujte pooblaščeno osebo za varstvo osebnih podatkov (Data Protection O)icer - DPO), v kolikor izpolnjujete pogoje za obvezno imenovanje.

Najprej preverite, ali ste zavezani imenovati DPO. Če je odgovor pritrdilen, razmislite o tem, ali za DPO imenovati enega od zaposlenih ali pa zunanjo osebo. V vsakem primeru je treba zagotoviti neodvisni položaj DPO od vodstva družbe in visoko strokovnost.

9. Preverite, ali ustrezno varujete pravice otrok.

Ste implementirali ustrezne ukrepe in postopke za to, da boste v primerih, ko vaše storitve uporabljajo otroci, privolitev pridobili od staršev oz. zakonitih skrbnikov?

10. Ce ne zmorete sami, skrbno izberite morebitnega zunanjega izvajalca.

Nasvet za mala in srednja podjetja: GDPR je tržna niša. Svoje strokovne storitve za pomoč pri implementaciji uredbe GDPR ponujajo številni subjekti, med njimi tudi takšni, ki se nadejajo zgolj hitrega zaslužka. Njihova promocija temelji predvsem na zastraševanju podjetij z visokimi kaznimi. Zato previdnost ni odveč.

6 mesecev časa imate za prilagoditev uredbi GDPR.
Nazaj