Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Najpogostejša vprašanja in odgovori

+ -

Imate vprašanje glede Splošne uredbe o varstvu osebnih podatkov, ki verjetno zanima tudi druge? Če odgovora na svoje vprašanje ne najdete med spodnjimi, nam pišite - vprašanje in odgovor bosta objavljena.

 

SPLOŠNO

Kaj je GDPR?

GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov (od tu naprej: Splošna uredba).

Kje dobim uradno besedilo Splošne uredbe?

TUKAJ.

Kdaj se začne uporabljati?

25.5 2018.

Zakaj je bilo treba spreminjati pravila?

Zato. Pa tudi zato. In zato.

Katere so glavne novosti, kaj pomenijo za nas kot podjetje ali ustanovo?

Povzetek ključnih novosti najdete tukaj.

Kaj pa ZVOP-2?

Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno bo urejal ZVOP-2 - Ministrstvo za pravosodje je zaenkrat objavilo njegov prvi osnutek,  čas za pripombe pa je bil do 13. novembra 2017. Upamo, da bo zakon sprejet do konca januarja 2018.

Kaj naj bi urejal ZVOP-2?

ZVOP-2 lahko uredi določena vsebinska področja, kot so uporaba zdravstvenih, biometrijskih in genetskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do javnih informacij, uporaba osebnih podatkov v znanstvene in statistične namene). ZVOP-2 pa ne sme spreminjati določb Splošne uredbe, saj se mora uredba neposredno uporabljati.

Ali še ostajajo izjeme, ki jih je ZVOP-1 predvideval za podjetja z manj kot 50 zaposlenimi?

Splošna uredba ne pozna takšnih izjem, vendar pa ne nalaga vseh obveznosti za vsa podjetja - nekatera podjetja ne bodo dolžna imeti pooblaščenih oseb (angl. Data Protection Officer, DPO) in jim ne bo treba izvajati ocen učinkov, nekaterim celo ne bo treba imeti popisanih zbirk podatkov (kar sicer odsvetujemo). Za več informacij glejte odgovore na vprašanja spodaj.

PODROBNO                                      

Ali obstajajo bolj podrobne razlage posameznih določb Splošne uredbe?

Priporočamo vam pregled smernic o ključnih temah, kot so pooblaščene osebe, ocene učinkov ali pravila glede profiliranja posameznikov, ki jih skupaj pripravljamo vsi nadzorni organi v EU. Vse nove evropske smernice objavljamo tu. Ko bodo na voljo prevodi v slovenščino, jih boste prav tako našli na tej strani.

Ali moramo ponovno dobiti privolitev naših strank?

Gre za eno najpogosteje zastavljenih vprašanj. Splošna uredba v 171. uvodni določbi določa naslednje: »Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.«. To zelo verjetno pomeni, da številne privolitve, ki so bile veljavne po ZVOP-1 ne izpolnjujejo vseh pogojev za veljavnost privolitve po Splošni uredbi. Absolutno priporočamo, da temeljito preverite vse vaše obrazce za soglasje, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Podrobno si poglejte predvsem uvodne določbe 32, 33, 42, 43 in 171 ter člene 7, 8 in 9.

Posebej priporočamo, da si preberete EU smernice o privolitvi, ki naj bi bile na voljo do konca tega leta. Ko bodo javno dostopne, bodo objavljene na naši spletni strani.

Ali moramo imenovati pooblaščeno osebo za varstvo osebnih podatkov (»DPO«)?

Splošna uredba v 37. členu določa, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo osebnih podatkov (»DPO«). Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščena oseba. Imenovati jih bodo morali:

  1. Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-2, ni pa pričakovati večjih odstopanj od definicije javnega sektorja iz ZVOP-1.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.). Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.
  3. Tista podjetja in institucije, ki izvajajo obsežno obdelavo obdelujejo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.

Nimamo ustrezne osebe, ki bi lahko bila pooblaščena oseba. Kaj lahko storimo?

Splošna uredba dopušča, da naloge pooblaščene osebe opravlja zunanja oseba, v določenih primerih lahko ena pooblaščena oseba opravlja naloge za več družb oziroma organov. Podobno si preberite člene od 37 do 39, ZVOP-2 pa bo lahko določil morebitne dodatne okoliščine ali omejitve.

Slišali smo, da naj bi posameznik lahko zahteval izbris svojih podatkov, kako je s tem?

Splošna uredba daje posameznikom pravico do izbrisa oz. pozabe, a je ta pravica precej omejena, in sicer predvsem na primere, kot so nespametne objave podatkov na družabnih omrežjih v mladosti, ki posamezniku kasneje v življenju škodijo ali pa izbrisi nezakonito zbranih podatkov. Če hrambo podatkov določa ali zahteva zakon, ali pa za objavo prevlada javni interes, potem praviloma posameznik izbrisa ne bo dosegel. Omenjeno pravico ureja 17. člen Splošne uredbe.

Kdaj bo na voljo certifikacija?

Certifikacija bo možna šele, ko bodo razviti akreditacijski in certifikacijski mehanizmi, kar pa je kompleksna naloga in terja svoj čas. Zaenkrat je zato težko napovedati, kdaj bo to dejansko možno.

Ali bomo morali izvajati ocene učinkov?

Ocene učinkov bodo potrebne v primerih, kjer so tveganja za varstvo osebnih podatkov velika. Taki primeri so npr.:

  • vzpostavitev novega kluba zvestobe,
  • aplikacija za zajem in zbiranje zdravstvenih podatkov,
  • programska rešitev za vodenje ocen otrok v šolah,
  • državni projekti e-uprave in centralni gradniki,
  • videonadzor javnih površin,
  • uvedba sekcijskih radarjev, brezpilotnih letal, avtomatskih prevajalcev registrskih tablic, inteligentne video-analitike in transportnih sistemi, biometrijskih ukrepov in druge napredne tehnološke rešitve za zbiranje in obdelavo osebnih podatkov …

Informacijski pooblaščenec bo izdal seznama obdelav, za katere:

  • bo treba izdelovati ocene učinka,
  • ne bo treba izdelovati ocen učinka.

Priporočamo tudi smernice na EU ravni glede ocen učinka, v pripravi so tudi praktične smernice Informacijskega pooblaščenca.

Se moramo res »samoprijaviti«, če kršimo varstvo podatkov? V katerih primerih in kako?

Drži. Če se vam npr. zgodi, da izgubite prenosnik z bazo osebnih podatkov, ali pa vam vdrejo na spletno stran in ukradejo osebne podatke strank, boste morali obvestiti IP kot nadzorni organ, in sicer v 72-ih urah. V ta namen bo razvit spletni obrazec na naši spletni strani. Obveznost poročanja podrobneje urejata 33. in 34. člen Splošne uredbe, več o tej temi pa najdete v smernicah.

Kaj se zgodi, če se ne prijavimo, čeprav bi se morali?

S tem kršite obveznosti iz 33. in 34. člen Splošne uredbe, zaradi česar se vam lahko izreče globa, predpisana v 4. odstavku 83. člena Splošne uredbe, poleg tega pa se lahko to upošteva kot oteževalna okoliščina pri izreku višine izrečene globe.

Nas res čakajo 10 in 20 milijonske kazni za kršitve?

V Splošni uredbi sta omenjena zneska (ali odstotki prometa) navedena kot najvišji možni kazni, vendar se pri izreku kazni upošteva veliko kriterijev (malomarnost ali naklep, škoda za posameznika, število prizadetih posameznikov, obnašanje in prejšnja kaznovanost storilca itd.). Kriterije določa 83. člen Splošne uredbe.

Bomo še vedno morali prijavljati zbirke osebnih podatkov v register Informacijskega pooblaščenca?

Dobra novica – prijava ne bo več obvezna! Ta obveznost velja le še do 25. 5. 2018.

Kako pa je s katalogi – moramo še vedno voditi opis zbirk osebnih podatkov, ki jih imamo?

Tako je, voditi morate evidence dejavnosti obdelave, kar pomeni neke vrste popis zbirk osebnih podatkov, v katerem vsako zbirk opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost bo po Splošni uredbi veljala ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). Več: glej 30. člen Splošne uredbe.

Moramo z zunanjimi ponudniki še vedno imeti pisne pogodbe? Obstajajo kakšni vzorci?

Da, še vedno. Novost pa je ta, da vas morajo vaši pogodbeniki obvestiti, ali in katere podizvajalce uporabljajo, čemur pa lahko kot naročnik storitev vedno ugovarjate. Pogodbe bodo morale vsebovati več varovalk, ki jih določa 28. člen uredbe. Pogodbe z zunanjimi ponudniki lahko že sedaj prilagodite novim zahtevam.  IP bo pripravil vzorce pogodb; ko bodo na voljo, bodo objavljene na podstrani o Splošni uredbi.

Kaj pa pravilnik o zavarovanju oz. varnostnih postopkih – bo obvezen?

Splošna uredba izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe, ga pa močno priporočamo. Če pravilnik že imate, predvsem preverite, ali se njegove določbe res izvajajo v praksi. Nikakor ne kopirajte kar tako vzorcev pravilnikov, če nekaterih varnostnih ukrepov sploh ne uporabljate. Raje opišite, kaj imate in zaposlene seznanite z določbami pravilnika (lahko podpišejo tudi izjavo o seznanjenosti). Če ste resno in odgovorno podjetje, potem je prav, da imate v internih aktih postavljena pravila, kako ščitite osebne podatke pred izgubo, nepooblaščenim dostopom in drugimi zlorabami. Lahko si ogledate tudi naše pravilnike in smernice o informacijski varnosti (v njih je tudi manjši kontrolni seznam za preveritev ter primeri dobrih in slabih praks).

Ali lahko rešimo obveznosti po Splošni uredbi z nakupom programske opreme?

Nekateri ponudniki ponujajo različne programske rešitve za izzive Splošne uredbe, zavedati pa se morate, da pri Splošni uredbi večinoma ne gre za tehnološke obveznosti, temveč primarno za pravno-organizacijske, zato vsega ne morete rešiti samo s tehnologijo. Lahko pa vam določena orodja pomagajo pri nekaterih vidikih, kot je boljše vodenje dokumentacije in podobno.

Beremo Splošno uredbo in ugotavljamo, da imamo nekaj »težav« že z obstoječo zakonodajo (ZVOP-1). Kje lahko dobimo pojasnila, kaj je prav in kaj ne?

Priporočamo vam seznanitev s številnimi smernicami in mnenji IP. V smernicah lahko najdete odgovore na najpogosteje  zastavljena vprašanja s posameznega področja varstva osebnih podatkov, npr. kako urediti pogodbeno obdelavo, kako zavarovati osebne podatke, kakšne so zahteve glede uvedbe GPS naprav in videonadzora … V smernicah najdete tudi hitre vodiče, kontrolne sezname ter primere dobrih in slabih praks, v mnenjih pa odgovore na posamezna konkretna vprašanja.

Kaj moramo storiti še pred 25. 5. 2018?

Kot svetujemo v letaku:

 

  1. PREVERITE VELJAVNOST OBSTOJEČIH PRIVOLITEV. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Glej člene 6, 7 in 8, uvodne določbe: 32, 42, 43, 171.
  2. PREVERITE NAČIN PRIDOBIVANJA PRIVOLITEV V BODOČE. Je posameznik ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima? Glej člene 12, 13 in 14.
  3. PRILAGODITE POGODBE S POGODBENIMI OBDELOVALCI. Določene klavzule v pogodbah z zunanjimi izvajalci (računovodski servisi, IT ponudniki …) bodo obvezne. Glej člen 28.
  4. PREVERITE IN PRILAGODITE POPIS ZBIRK OSEBNIH PODATKOVEVIDENCE DEJAVNOSTI OBDELAVE. Če želimo podatke ustrezno varovati, moramo vedeti kje in katere imamo. Glej člen 30.
  5. PREGLEJTE VAŠE POSTOPKE ZA ZAGOTAVLJANJE PRAVIC POSAMEZNIKA. Posameznik lahko zahteva seznanitev, omejitev, izbris, popravek, prenos podatkov, poda ugovor. Glej člene 12 - 22.
  6. PRIPRAVITE SE NA IZVAJANJE NAČELA ODGOVORNOSTI. Če so osebni podatki temelj vašega poslovanja, ne čakajte na obisk inšpekcije in pravočasno preverite:

    1. ALI BOSTE MORALI IZVAJATI OCENE UČINKA? Glej člen 35.
    2. ALI BOSTE MORALI IMENOVATI ODGOVORNO OSEBO ZA VARSTO OSEBNIH PODATKOV (»DPO«)? Glej člen 37.
    3. VAŠE POSTOPKE ZA MINIMIZACIJO (NAČELO VGRAJENEGA IN PRIVZETEGA VARSTVA PODATKOV. Minimizirajte 1) količino zbranih podatkov, 2) obseg njihove obdelave, 3) obdobje njihove hrambe in 4) kdo jih obdeluje. Glej člen 25.

  7. PREGLEJTE IN PRILAGODITE VAŠE VARNOSTNE POLITIKE IN NJIHOVO IZVAJANJE. Več o varnosti za mala podjetja na varninainternetu.si. Glej člen 24.
  8. DOLOČITE, KDO BO POROČAL V PRIMERU VARNOSTNEGA INCIDENTA. Če izgubite podatke ali pridejo v roke nepooblaščenim osebam boste morali o tem poročati v 72-ih urah. Glej člen 33.
  9. RAZMISLITE, ALI BI RADI DOBILI CERTIFIKAT, DA ZA OSEBNE PODATKE USTREZNO SKRBITE? Certificiranje bo možno čez nekaj časa, bo prostovoljno, a plačljivo. Glej člen 42.
  10. NE ZMORETE SAMI? POIŠČITE ZUNANJE STROKOVNJAKE, A NE NASEDAJTE VSAKI PONUDBI IN STRAŠENJEM Z VISOKIMI KAZNIMI. Glej »zdrava pamet«.