Podjetništvo, Poslovne rešitve, Zakonodaja, Zanimivosti
GDPR je pred vrati – ste pripravljeni?
Ali poslovanje v vašem podjetju vključuje zbiranje in obdelavo osebnih podatkov? Če je vaš odgovor pritrdilen, lahko pričakujete, da se bo vaš poslovni model do 25. maja popolnoma spremenil.
S tem datumom namreč začne veljati splošna uredba o varstvu podatkov (GDPR). Ali veste, kaj se od vas pričakuje in kaj je potrebno storiti za skladnost z uredbo?
Kaj se bo spremenilo po uvedbi GDPR-ja?
Namen uredbe je povečati pravice državljanov EU do varstva osebnih podatkov in preprečiti njihovo zlorabo. Skladno s tem bo Uredba zagotovila lastnikom podatkov večji nadzor nad vsemi osebnimi podatki.
Obenem se bodo obveznosti podjetij, ki uporabljajo te osebne podatke, povečale. Podjetja, ki ne bodo ravnala v skladu z določbami Uredbe o varstvu podatkov, lahko pričakujejo kazni v višini do 20 milijonov EUR ali 4 % letnega prometa (kar je večje).
Uredba velja za vsa podjetja, ki obdelujejo osebne podatke državljanov EU, ne glede na to, ali so v Evropski uniji ali ne.
Osebni podatki so vse informacije, ki lahko identificirajo določeno osebo. Poleg imen, priimkov, naslovov, bančnih in podobnih podatkov, tu so tudi fotografije, zdravstveni zapisi in celo objave na družabnih medijih.
Veste kaj vse morate urediti?
Za zbiranje in obdelavo podatkov, od 25. maja, boste potrebovali privoljenje za vsakega posameznika. Pogoje in utemeljen namen do razpolaganja z osebnimi podatki boste morali jasno in transparentno predstaviti. Prav tako jih bo potrebno ločiti od obstoječih pogojev poslovanja.
V skladu z GDPR se nedejavnost ne šteje kot soglasje, niti niso dovoljena vnaprej označena soglasja v kontaktnih obrazcih. Zato bo potrebno jasno navesti načine, kako nameravate uporabljati osebne podatke. Oseba katere osebne podatke hranite pa bo morala označiti vsako postavko, za katero daje svoje soglasje.
Podatke, ki boste zbrali s soglasji, ne boste smeli uporabljati v noben drug namen, razen za ta, za katerega so osebe soglašale.
Dobra novica je, da če imate zakonsko osnovo, vam ne bo potrebno vedno zbirati privolitev za zbiranje podatkov. Ampak seveda, morate vedeti, v katerih primerih to velja. Prav tako boste to morali transparentno pojasniti lastnikom podatkov.
Da bi lahko omogočili zaščito zasebnosti in pristop do podatkov, morate poskrbeti za “pravico do pozabe” in “pravico do prenosa” podatkov.
Pravica do pozabe posameznikom omogoča, da na njihovo zahtevo, izbrišete popolnoma vse podatke, ki jih hranite o njih v svojih bazah. Pred brisanjem, imajo posamezniki pravico, da zahtevajo vpogled v vse podatke, ki ste jih o njih zbrali. Podjetja so tista, ki morajo omogočiti enostaven izvoz vseh podatkov v čitljivem formatu.
Uredba o zaščiti osebnih podatkov se nanaša tudi na tako imenovane “piškotke” (cookies), ki se shranjujejo na računalniku vsakega obiskovalca spletne strani. Do zdaj je bilo dovoljeno, da se na spletni stranici pojavi avtomatično obvestilo o uporabi piškotkov. Prav tako se je podrazumevalo, da se vsak obiskovalec strinja z njihovo uporabo, če nadaljuje s pregledovanjem spletne strani podjetja.
S prihodom GDPR-ja se bo to spremenilo. Vsaka spletna stran bo morala obiskovalca prositi, da ročno omogoči shranjevanje piškotkov na svojem računalniku.
Odgovornost za varstvo podatkov
Poleg zgoraj navedenih obveznosti morajo podjetja, ki zbirajo, shranjujejo in obdelujejo osebne podatke, izbrati internega pooblaščenca za varstvo osebnih podatkov (DPO – Data Protection Officer).
Natančneje, ta obveznost velja samo za:
- javne ustanove in javna telesa,
- podjetja, ki pri poslovanju redno obdelujejo in spremljajo veliko količino osebnih podatkov
- podjetja, ki obdelujejo obsežne količine osebnih podatkov posebnih kategorij
Primarna odgovornost DPO je obveščanje in svetovanje vsem osebam, ki sodelujejo pri obdelavi osebnih podatkov. Prav tako se pričakuje, da bo DPO spremljal skladnost z Uredbo in sodeloval z nadzornim organom.
DPO je lahko eden od vaših zaposlenih, ali pa zunanji svetovalec. Pri izbiri DPO-ja morate upoštevati, da ne sme biti v navzkrižju interesov. To pomeni, da odgovorna oseba ne more biti iz IT oddelka ali oddelka marketinga.
Ne glede na to, za koga ste se odločili, bi morala odgovorna osebo seveda poznati GDPR, pa tudi pravne in varnostne vidike informacijske tehnologije.
Kako se izogniti visokim denarnim kaznim?
Odgovor je zelo enostaven: s spoštovanjem uredbe GDPR o varovanju osebnih podatkov.
Naslednji nasveti vam bodo v pomoč pri zaščiti osebnih podatkov svojih uporabnikov, da boste preprečili njihovo zlorabo in, da se izognete denarnim kaznim.
- Zbirajte le tiste osebne podatke, ki jih nujno potrebujete.
- Zagotovite si jasno privolitev ali zakonsko osnovo za zbiranje osebnih podatkov.
- Zagotovite pravico do pozabe, pravico do prenosa in pravico do vpogleda v osebne podatke in načine uporabe le teh.
- Imenujte pooblaščeno osebo za varstvo osebnih podatkov.
- Za pridobivanje podatkov mladoletnih oseb, mlajših od 16 let, zagotovite privoljenje staršev.
- Poučite vse svoje zaposlene o obvezah vezanih na uredbo.
- Kontinuirano se informirajte o zaščiti osebnih podatkov.
- Poskrbite, da je vaš poslovni program usklajen z GDPR-jem.
Uskladite se s GDPR-jem
Čeprav uredba o varstvu podatkov najpogosteje ščiti posameznike in njihove osebne podatke, podjetjem pa pretijo kazni ob neupoštevanju pravil, to še ne pomeni, da je treba na GDPR gledati negativno. Če je vaše poslovanje v celoti usklajeno z uredbo o varstvu osebnih podatkov, lahko to priložnost odlično izkoristite. Zagotovo boste bolje razpolagali s podatki. Vedeli boste točno za kaj se uporabljajo in kje so. To vam bo omogočilo, da jih bolje zaščitite in z njimi ravnali ustrezno. V končni fazi, se boste izognili finančni škodi in ohranili zaupanje svojih uporabnikov.
Ste pripravljeni na GDPR? Vas zanima kako je lahko poslovni program usklajen z GDPR?
Pridružite nam se na spletnem seminarju in spoznajte kaj smete in kaj morate urediti v zvezi z GDPR.
Izvori
SPlošna uredba o zaščiti osebnih podatkov
Key Changes with the General Data Protection Regulation
Frequently Asked Questions about the incoming GDPR.
Posao službenika za zaštitu osobnih podataka prestaje biti „usputno zanimanje“
GDPR na jednostavan način – II dio
Prepare Your Business for Changes to the ePrivacy Rules – or Face Hefty Fines
Velika škola GDPR-a ICTbusiness portala – Lekcija prva: Utjecaj na društvo i poslovanje
Velika škola GDPR-a lekcija 5: Usklađivanje organizacijske strukture i poslovnih procesa, izvještavanje
Velika škola GDPR-a Lekcija 10: Pravni aspekti – Kako izbjeći kaznu?
Jeste li spremni za GDPR? Nepridržavanje ove uredbe moglo bi vas koštati i do 20 milijuna eura!
GDPR i što on znači za online poslovanje