Skip to content Skip to footer

“Kaj moram nujno imeti, da bom skladen z GDPR?”

ODGOVOR: “Dobrega DPO, ki bo opravljal svoje delo.”

Naslovno vprašanje je vprašanje, ki mi ga zastavljajo najpogosteje. Odgovoriti nanj pa je zelo nehvaležna naloga iz več razlogov.

Eden od razlogov, ki mene najbolj spravijo v zagato, ko želim iskreno odgovoriti na to vprašanje je, da, iskreno povedano, zelo verjetno nikoli ne boste dosegli trenutka, ko boste imeli “vse”. Predvsem zato, ker je vaše poslovanje kot živ organizem, ki se nenehno spreminja – v enem trenutku imate vse urejeno, v naslednjem se odločite za nov pilotni projekt, za izvedbo katerega boste najeli študente. Ali pa morda povabili srednješolce na prakso v vaše podjetje. Zato nikoli ne boste dosegli trenutka, ko boste fascikel z dokumenti, ki urejajo področje vašega varovanja osebnih podatkov, lahko odložili na polico, se v svojem stolu naslonili nazaj, dvignili noge na mizo, dali roke za vrat in se sprostili.

Lahko pa boste stanje podobne brezskrbnosti dosegli, če boste imenovali pooblaščeno osebo za varstvo osebnih podatkov (DPO), ki vam bo pomagala in svetovala, da bo vaše poslovanje ažurno.

No, ampak, če naj na hitro naštejem bistvene obveznosti, ki jim praktično noben upravljavec ali obdelovalec osebnih podatkov ne uide, so to:

  1. Ureditev Evidenc obdelave osebnih podatkov (oziroma posodobitev prejšnjih Katalogov zbirk osebnih podatkov) – to je osnova. Vsi nadaljnji koraki, ki jih opisujem spodaj, so le logična izvedenka tega.
    • V praksi to pomeni, da najprej pregledate vse faze svojega poslovanja in si pribeležite, kje vse zbirate osebne podatke, katere, od koga in za kaj. Odgovor na “za kaj” vam bo povedal, katera pravna podlaga je najprimernejša za vas. Ko boste imeli to, morate samo še razmisliti, kako vse skupaj oblikovati tako, da boste imeli nad področjem pregled.
  2. Sestava t.im Politike zasebnosti (to so informacije, ki jih morate zagotoviti vsem, o katerih zbirate osebne podatke – to so npr. vsaj vaši zaposleni in vaše stranke).
    • Pri tem bodite pozorni, ali pridobivate podatke o posamezniku od tega posameznika, ali morda iz drugih virov?
  3. Sprejetje (oziroma posodobitev obstoječega) Pravilnika o zavarovanju osebnih podatkov.
    • Najverjetneje ga že imate. Kakšnega starega. Preberite ga in razmislite, ali vam v njem opisani ukrepi ustrezajo. Če nimate ognjevarnih omar, jih, lepo prosim, ne omenjajte v pravilniku! Če jih boste, boste morali takšne omare kupiti.
  4. V kolikor posamezne podatke zbirate na podlagi osebnih privolitev, morate posodobiti tudi besedilo privolitve. 
    • Zdi se mi, da o privolitvah čivkajo že ubogi vrabčki, a povsem nepotrebno. Privolitev je zgolj ena od šestih podlag in za upravljavca izredno nehvaležna in običajno sploh nepotrebna. Zato se vrnite na korak ena in razmislite, za kaj potrebujete določen osebni podatek. Če ga potrebujete za poročanje FURSU, privolitev ne bo primerna podlaga in se zato z urejanjem privolitve v tem primeru sploh ne ukvarjajte.
  5. Sklenitev pogodb z vašimi zunanjimi sodelavci, ki za vas obdelujejo osebne podatke (npr. računovodstvo).
    • Biti morajo pisne in uredba predpisuje minimalno vsebino.
  6. Veliko vas bo moralo imenovati pooblaščeno osebo za varstvo osebnih podatkov (DPO).
    • DPO je vaš svetovalec. Za njegovo izbiro ste odgovorni, zato poskrbite, da bo izbrana oseba imela ustrezno znanje s področja varstva osebnih podatkov. Biti mora neodvisen, zato vaša tajnica po vsej verjetnosti ne bo primerna oseba. Lahko imenujete zunanjega in lahko se vas zmeni več skupaj, da imenujete skupnega. To bo bistveno znižalo vaše stroške.
  7. Presenetljivo pogosto pa so tudi manjši upravljavci in obdelovalci vsaj za posamezne obdelave osebnih podatkov dolžni izvesti oceno učinka.
    • To je po domače ocena tveganja, ki jo napišete v obliki poročila (oblika je lahko povsem ne-sofisticirana, glavno je, da je pisna), v njem pa najprej opišete predvideno obdelavo osebnih podatkov, tveganja, ki zaradi vaše obdelave prežijo na posameznike, katerih osebne podatke obdelujete, ter katere ukrepe varovanja ste sprejeli, da zmanjšate ta tveganja.
    • IP je na svoji spletni strani objavil seznam obdelav, za katere se predvideva obvezna izvedba ocene učinka in če katerakoli vaša obdelava osebnih podatkov sodi med naštete, ste zavezani sprejeti oceno učinka. Primer takšne obdelave je npr. nadzor nad obiskom vaše spletne strani, če pri tem zbirate IP naslove. Ali pa, če nudite svetovanje osebam, ki bi zaradi svoje osebne okoliščine (npr. etnične, verske ali filozofske pripadnosti), v javnosti lahko vzbudile čustva nestrpnosti ali sovraštva.

Kot vsi moji prispevki, tudi tale prispevek ni izčrpen in ne pomeni pravnega nasveta. Zagotovo sem na kaj pozabila, morda podala manj primeren primer. Ampak mislim, da vam lahko služi kot dobra orientacija. Za laika se zdi vsega preveč. Zato poiščite strokovno pomoč. Jaz rada urejam poslovanja svojih strank z uredbo GDPR. Dovolite, da vam svetujem: info@aljafakin.si .