Zaradi napredka tehnologije in s tem povezanimi osebnimi podatki je bilo potrebno dopolniti oz. spremeniti Uredbo za varstvo osebnih podatkov. Nova Uredba 2016/679 začne veljati 25.05.2018 in se mora neposredno uporabljati v vseh državah članicah.

Uporablja se izključno za obdelovanje podatkov fizičnih oseb v posameznih podjetij. To pomeni, da Uredba ne velja za obdelavo podatkov pravnih oseb, samostojnih podjetnikov,… Uredba prav tako ne velja za obdelavo osebnih podatkov fizičnih oseb za ‘domačo uporabo’ ( npr. e-poštni naslovi, videonadzor hiše,…)

Kaj je osebni podatek?

Osebni podatek je katerakoli informacija v zvezi z določenim ali določljivim posameznikom. To pomeni, da če na primer podatek sam po sebi še ne identificira določene osebe, vendar pa bi lahko z nekaj truda ( na podlagi drugih podatkov ) ugotovili komu pripada, je ta oseba določljiva.

Na primer samo ime in priimek fizične osebe načeloma ne bi smel biti osebni podatek saj lahko pripada več osebam hkrati in s tem ni določljiv. Ali je temu tako, bo pokazala praksa.

Podatki fizičnih oseb, ki nastopajo kot predstavniki pravnih oseb ( direktor, prokurist ) se lahko zbirajo in obdelujejo brez omejitev, saj se štejejo, da so javno dostopni, zato niso predmet tega Zakona.

Kaj pomeni obdelava osebnih podatkov?

Dejanja kot so zbiranje, beleženje, urejanje, shranjevanje, prilagajanje, spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, omejevanje, izbris ali uničenje – vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki.

Osebni podatki se lahko obdelujejo, le če imate ustrezno pravno podlago. To je lahko:

  • Prostovoljna privolitev
  • Za izpolnjevanje ali sklenitev pogodbe ( npr. zavarovanja )
  • Za obveznosti, ki jih nalaga Zakon ( npr. pogodba o zaposlitvi, izplačilne liste,…)
  • Za zaščito življenjskih interesov ( npr. dajanje podatkov o stanju ponesrečenca,…)
  • Za zakonite interese upravljalca

Primer: podjetje ne potrebuje privolitve fizične osebe za vodenje evidenc o zaposlenih delavcih, saj ga za to zavezuje Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV).

Privolitev posameznika mora biti:

  • Prostovoljna in ne sme imeti negativne posledice v primeru odklonitve
  • Specifična, kar pomeni, da mora biti povsem jasna za kateri name obdelave je bila dana ( v kolikor je namenov obdelave več, mora posameznik podati soglasje za vsako izmed njih )
  • Informirana, kar pomeni, da ima posameznik dovolj podatkov za odločitev ( kdo je upravljalec, namen zbiranja, katere podatke bo zbiral, pravica do preklica,…)
  • Nedvoumna – niso več dovoljeni pred označeni okenci, da se posameznik strinja

Preklic soglasja mora biti enako enostaven, kot je bilo dano soglasje!

Vodenje evidenc

V kolikor obdeluješ osebne podatke je obvezna vzpostavitev evidence. V kolikor upravljalec ( tisti, ki določa kako in zakaj se podatki obdelujejo ), daje podatke fizičnih oseb tretji osebi ( npr. računovodskemu servisu – obdelovalcu ), potrebuje soglasje fizične osebe! Obstajajo nekatere izjeme za vodenje evidence in sicer za organizacijo, ki zaposluje manj kot 250 oseb v kolikor ne obdeluje občutljivih podatkov ( rasa, vera, zdravstveno stanje, spolna usmeritev ) ali v kolikor obdeluje osebne podatke samo občasno ( vodenje evidenc o zaposlenih ne sodi med občasno obdelavo ) ali v kolikor obdelovanje osebnih podatkov ne pomeni povečane nevarnosti posameznika.

Določene so obvezne sestavine evidence in sicer:

  • Podatki upravljalca in kadar obstaja pooblaščena oseba za varstvo podatkov
  • Namen obdelave
  • Opis kategorij posameznikov na katere se nanašajo osebni podatki in vrst osebnih podatkov
  • Kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah
  • Pod določenimi pogoji tudi informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo
  • Predvidene roke za izbris podatkov
  • Splošni opis tehničnih in organizacijskih varnostnih ukrepov

Imenovanje pooblaščene osebe za varstvo podatkov?

Obvezno imenovanje pooblaščene osebe je potrebno v kolikor:

  • Temeljne dejavnosti pomenijo obsežno, redno in sistematično spremljanje posameznikov ( npr. banke, spletni oglaševalci, Google,…)
  • Temeljne dejavnosti zajemajo obsežno obdelavo občutljivih podatkov ali podatkov v zvezi s kazenskimi obsodbami in prekrški ( npr. zdravstvene ustanove)

Kaj pomeni obsežna obdelava še ni povsem jasno. To bo pokazala praksa.

Pogoj kdo je lahko pooblaščena oseba je, da ima znanje o zakonodaji in prakso na področju varstva osebnih podatkov in da je povsem neodvisen ter ne sme biti kaznovan – torej ne more biti direktor, lastnik ali vodja IT.

Kakšne so obveznosti v primeru kršitve varstva osebnih podatkov?

Vsako nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov je potrebno obvestiti informacijskega pooblaščenca najkasneje v 72 urah. Izjeme veljajo za kriptirane podatke. Upravljalec mora o kršitvi obvestiti tudi posameznika, da se ta lahko ustrezno zaščiti ( npr. da spremeni geslo,…)

V kolikor ni verjetno, da bo posamezniku storjena škoda, potem obveščanje ni potrebno, mora pa ta odločitev biti dokumentirana.

Uničenje podatkov?

Ko ni več potrebe po obdelavi osebnih podatkov je potrebno podatke uničiti, vendar je tukaj potrebno zadostiti tudi drugim zakonskim določbam glede hranjenja dokumentacije.

Ne upravljalec, ne obdelovalec ne smeta hraniti osebnih podatkov, ki niso več potrebni za namen, za katerega so bili zbrani. Zato morajo biti uničeni. Enako velja, če oseba, ki je dala soglasje, to dovoljenje prekliče.

Po ZGD-1 se poslovne knjige, bilance stanja, izkaze poslovnega izida ter letna in poslovna poročila hranijo trajno. Knjigovodske listine pa se lahko hranijo samo določeno časovno obdobje. ŽV skladu z ZDAVP-2 je torej pravna oseba dolžna hraniti knjigovodske listine in drugo dokumentacijo, potrebno za določitev davčne osnove, do poteka absolutnega zastaralnega roka, kar pomeni 10 let po datumu odmere posameznega davka.

Dokumenti s podatki o delavcu se hranijo prav tako trajno, koti tudi evidenca o stroških dela, evidence o izrabi delovnega časa, M4.

Informacijski pooblaščenec ( najpomembnejši organ za varstvo osebnih podatkov ) priporoča, da delodajalec po prenehanju delovnega razmerja pregleda osebno mapa delavca in izloči dokumente, ki predstavljajo listine trajne vrednosti in jih shrani. Druge dokumente pa naj hrani glede namen njihove obdelave ( npr. dokumente za kršitev iz delovnega razmerja lahko hrani do izteka zastaralnih rokov tožbe,…)

Organizacija naj sama določi strategijo za uničenje posamezne vrste osebnih podatkov, ki je lahko:

  • Brisanje ( potrdilo o uničenju )
  • Anonimizacija
  • Psevdonimizacija
  • Kriptiranje

Globe?

Ker morajo biti globe odvračilne bodo zneski precej visoki in sicer od 10.000.000 ali v primeru družbe v znesku do 2% skupnega svetovnega letnega prometa ( odvisno od tega , kateri znesek je višji ) oz. do 20.000.000 ali v primeru družbe v znesku do 4% skupnega svetovnega letnega prometa.

Seveda pa mora višina globe biti tudi sorazmerna kršitvi.

Primeri evidenc in podatkov, ki jih morebiti zbirate:

  • Zaposleni delavci
  • Izraba delovnega časa
  • O plači, regresu, potnih nalogih,…
  • Izobraževanje, usposabljanje
  • Vzdrževani družinski člani
  • Poškodbe pri delu, poklicne bolezni,…
  • Zdravstveni pregledi delavcev
  • Opravljenem usposabljanju za varno delo, preizkus znanja
  • O iskalcih zaposlitve
  • Osebe, ki so napotene na delo
  • Osebe, ki opravljajo delo na podlagi napotnice ( študentsko delo )
  • Izvajanje prakse študentov in dijakov
  • Štipendisti
  • Uporaba službene lastnine
  • O strankah oz. naročnikih
  • Kratkotrajno delo ( delo družinskega člana ), avtorsko delo, delo po podjemni pogodbi, najemne pogodbe
  • Terjatve do fizične osebe, reklamacije, garancije
  • Imetniki digitalnih certifikatov ( npr. Halcom,…)
  • O povezanih osebah
  • Elektronske pošte, kontaktne osebe pri dobaviteljih,…
  • Vstopi v poslovne prostore, videonadzori, snemanje tel. klicev
  • Objavljanje slik na omrežjih,…