Manager
Oglasno sporočilo

Ali bo uredba GDPR vplivala na naše podjetje?

Se v vašem podjetju zavedate, da z začetkom veljave nove evropske Splošne uredbe o varstvu osebnih podatkov (GDPR) morda ne boste več smeli uporabljati svojih baz podatkov strank? Se zavedate, da obstaja velika verjetnost, da boste morali ustvariti novo delovno mesto? Z majem 2018 bo moralo vaše podjetje za skladnost poslovanja najverjetneje tudi prenoviti nekatere informacijske rešitve in delovne procese.
Avtor
23.10.2017 23:59
Čas branja: 3 min

Ali poslujemo skladno z GDPR?

Prvi korak k zagotovitvi skladnosti poslovanja z GDPR je analiza trenutnega stanja področja varstva osebnih podatkov v vašem podjetju. Preden se zaletite v nakup novega informacijskega sistema, prenovo privolitvenih obrazcev, splošnih pogojev poslovanja, pravil zasebnosti, pogodb s poslovnimi partnerji, obvestil o piškotkih in podobno, se prepričajte, katere in kakšne prilagoditve sploh potrebujete. Slovenija ima že zdaj bolj restriktivno ureditev varstva osebnih podatkov kot nekatere druge države EU, zato spremembe, ki jih prinaša uredba GDPR za podjetja, ki delujejo na domačem trgu, niti ne bodo tako drastične. Prva in morda celo edina storitev, ki jo potrebujete v zvezi z uredbo GDPR, je analiza odstopanj (tako imenovana GAP ANALIZA).

Prvi dve vprašanji, ki vam ju bomo postavili, ko bomo za vas izvajali analizo odstopanj, sta: katere osebne podatke obdelujete in na kakšni pravni podlagi. Če je podlaga osebna privolitev, je naslednji korak analiza kakovosti teh privolitev – drobni tisk v splošnih pogojih na primer ne bo več zadostoval, kar je ena pomembnejših sprememb. Vse privolitve, s katerimi trenutno razpolagate in jih niste pridobili po pogojih iz GDPR, bodo izgubile veljavo. Da bi aktivnosti vašega podjetja potekale brez prekinitev, morate čim prej preveriti, ali privolitve ustrezajo pogojem GDPR; če ne ustrezajo, se čim prej lotite pridobivanja ustreznih privolitev.

Naša naslednja vprašanja se bodo nanašala na oceno procesov obdelave osebnih podatkov – kako tvegane, obsežne in kompleksne operacije izvajate z osebnimi podatki. Od tega bo zlasti odvisno, ali boste morali zagotoviti mehanizme obveščanja o zaznanih kršitvah varstva osebnih podatkov, izvesti oceno učinkov v zvezi z varstvom osebnih podatkov (tako imenovani Privacy impact assessment ali skrajšano PIA) in imenovati pooblaščeno osebo za varstvo osebnih podatkov (tako imenovani Data protection officer ali skrajšano DPO).

Pooblaščena oseba za varstvo osebnih podatkov (DPO) – jo potrebujemo?

Pooblaščeno osebo za varstvo osebnih podatkov bodo morali poleg upravljavcev, ki izvajajo redno in sistematično obsežno spremljanje posameznikov, imenovati tudi vsi upravljavci in obdelovalci, ki izvajajo obsežno obdelavo posebnih vrst osebnih podatkov (to so podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genetski podatki, biometrični podatki, kadar se obdelujejo za namene edinstvene identifikacije posameznika, in podatki v zvezi z zdravjem, posameznikovim spolnim življenjem ali spolno usmerjenostjo) in podatkov v zvezi z obsodbami in prekrški, ter vsi upravljavci iz javnega sektorja. Katera podjetja bodo uvrščena v »javni sektor«, je odvisno od novega zakona o varstvu osebnih podatkov (tako iimenovani ZVOP-2).

Od novega ZVOP-2 je odvisno na primer tudi, kdo bo lahko imenovan za DPO, ali bodo delodajalci le dobili jasna navodila, kako ravnati z e-pošto zaposlenih, in ali bo PIA obvezna ob vsakem novem postopku obdelave osebnih podatkov. Predlog ZVOP-2 je trenutno v javni razpravi. Info hiša, d. o. o., je 17. oktobra letos priredila programsko konferenco, na kateri smo skupaj s člani DPO KLUBA Info hiše pripravili osnutek pripomb k predlogu ZVOP-2. Člani DPO KLUBA so pooblaščene osebe za varstvo osebnih podatkov (DPO-ji), IT-podjetja, ki razvijajo produkte za obdelavo osebnih podatkov oziroma varnostne rešitve, in drugi strokovnjaki s področja varstva osebnih podatkov in informacijske varnosti. Prva člana sta bila A1 in Ascaldera, sledili pa so jima zavarovalnice, banke, trgovske verige, klubi zvestobe, zdravstvene ustanove in mnogi drugi, ki se zavedajo, kako pomemben je enoten odziv gospodarstva na zakonodajo v sprejemanju in kako bo ob prenašanju uredbe GDPR v prakso pomembno, da bo DPO podjetja vedno na tekočem z dogajanjem. Za DPO bo namreč treba imenovati osebo, ki ima strokovno znanje o zakonodaji in praksi na področju varstva osebnih podatkov, skrbeti pa bo morala za skladnost poslovanja podjetja na tem področju ter svetovati upravi in zaposlenim.

Info hiša, d. o. o., Tina Kraigher Mišič, direktorica