Varstvo osebnih podatkov

Varstvo osebnih podatkov je – sploh z uvedbo Uredbe GDPR – vse bolj pereča tema v Slovenski javnosti, pa tudi v stroki. Varstvo osebnih podatkov je pravzaprav ena izmed človekovih temeljnih pravic, ki jo nekatere države Evropske Unije zagotavljajo tudi z ustavo. V Sloveniji poleg Ustave varstvo osebnih podatkov ureja tudi poseben zakon, Zakon o varstvu osebnih podatkov (ZVOP-1), ki podrobneje določa pravice, načela in ukrepe, s katerimi se preprečujejo nezakoniti in neupravičeni posegi v zasebnost posameznika, ki bi lahko nastali kot posledica uporabe in obdelave osebnih podatkov. Poleg omenjenega zakona pa področje varstva osebnih podatkov ureja tudi Uredba GDPR, ki je pričela veljati maja lani. Omeniti je potrebno tudi, da Kazenski zakonik (KZ-1), ki v 154. členu opredeljuje zlorabo osebnih podatkov kot kaznivo dejanje, ki se preganja po uradni dolžnosti. Dikcija zakona določa, da se z denarno kaznijo ali zaporom do enega leta kaznuje, kdor v nasprotju z zakonom uporabi osebne podatke, ki se smejo voditi samo na podlagi zakona ali na podlagi osebne privolitve posameznika, na katerega se podatki nanašajo ali kdor vdre v računalniško bazo podatkov, da bi zase ali za koga drugega pridobil kakšen osebni podatek. Če navedeno dejanje izvrši uradna oseba z zlorabo uradnega položaja ali uradnih pravic, se kaznuje z zaporom do dveh let.

Kaj Uredba GDPR pravzaprav določa in kdo jo mora upoštevati?

Uredba GDPR postavlja enotna pravila za varstvo podatkov v EU, vseeno pa uredba pušča prostor, da države članice nekatera vprašanja – tako materialna kot procesna – uredijo same. Slednje bo v Republiki Sloveniji urejal Zakon o varstvu osebnih podatkov (ZVOP-2).

Z vse več vprašanji o varstvu podatkov se soočajo predvsem manjša podjetja. Že pri zasnovi podjetja je potrebno biti pozoren na to, da obdelujemo toliko podatkov, kolikor je zares nujno. Poleg tega moramo pridobiti tudi ustrezno soglasje oseb, katerih osebni podatki se obdelujejo, nenazadnje pa jih moramo obvestiti tudi o tem, kaj se bo z njihovimi osebnimi podatki dogajalo in v primeru posredovanja, komu jih bomo posredovali.

Kdo mora imenovati pooblaščeno osebo za varstvo osebnih podatkov?

Veliko vprašanj se postavlja tudi glede imenovanja pooblaščene osebe za varstvo osebnih podatkov v različnih podjetjih in družbah. Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščena oseba. Imenovati jih bodo morali javni organi in telesa, podjetja oz. subjekti, ki se ukvarjajo z obdelavo osebnih podatkov ter tista podjetja, ki izvajajo obdelavo zdravstvenih in drugih občutljivih podatkih. Pooblaščenec za varstvo osebnih podatkov bo opravljal lastne naloge in ne bo odgovarjal neposredno vodstvu družbe, tako ga le to ne bo moglo premestiti ali zamenjati. Njegova glavna naloga bo upravljanje z osebnimi podatki ter komuniciranje s strankami, katerih osebni podatki se v družbi upravljajo.

Ker zbiranje podatkov v zasebnem sektorju v veliki meri temelji na privolitvi strank, moramo biti pozorni predvsem na slednje:

• privolitve o obdelavi podatkov morajo biti prostovoljne;
• privolitev mora temeljiti na resnični in ne le navidezni izbiri;
• posameznik mora imeti v vsakem trenutku možnost, da svojo privolitev na enostaven način umakne (o tem morate posameznika tudi sami obvestiti);
• privolitve moramo zbirati za vsak namen oz. za vsako dejanje obdelave ločeno;
• izvajanja pogodbe ne smemo pogojevati s privolitvijo v obdelavo;
• privolitve morajo biti izrecne in nedvoumne: privolitev mora biti dana z nedvoumnim pritrdilnim dejanjem ali izjavo (molk ali vnaprej potrjeno okence ne štejejo kot ustrezna privolitev);
• privolitve morajo biti ločene od splošnih pogojev poslovanja informirane: privolitev mora biti v podpis predložena v razumljivi obliki, v jasnem in preprostem jeziku, pri čemer morate posameznika seznaniti s svojo identiteto in z nameni obdelave dokazljive: v kateremkoli trenutku morate biti zmožni dokazati privolitev v konkretno dejanje obdelave

Konferenca o varstvu osebnih podatkov bo dala odgovore na številna vprašanja

Ker se v podjetju Uradni list Republike Slovenije d.o.o. zavedamo, kako pomembno je področje varovanja podatkov, smo skupaj s podjetjem Info hiša d.o.o. pripravili 5. mednarodno konferenco z naslovom Dnevi prava zasebnosti in svobode izražanja, ki bo potekala 18. in 19. aprila na Bledu.

Najbolj pričakovane teme konference so varnost podatkov v mednarodnih organizacijah, kripto svetu, varnost obdelave podatkov in pravica do pozabe. Poseben poudarek bo v okviru GDPR namenjen tudi marketingu in regulatorjem. Poleg tega bomo podrobno razložili tudi, kdaj je podjetje oz. pravna oseba zavezana imenovati pooblaščenca za varstvo osebnih podatkov ter natančno opredelili njegove naloge. Konference se bodo udeležili številni ugledni predavatelji, ki bodo natančno razložili, na kaj moramo biti pri varstvu osebnih podatkov pozorni.

Konferenca je namenjena predvsem vodilnim predstavnikom podjetij iz regije, javne uprave, medijev, pa tudi informatike, vodilne pravnike v večjih družbah, vodje marketinga, podjetja iz kripto sveta ter seveda pooblaščene osebe za varstvo podatkov po GDPR.