Skip to content Skip to footer

MITI O GDPR

Ravno v teh dneh, ko pišem tale prispevek, je bila 6-mesečnica uveljavitve slavne (ali pa zloglasne) Splošne uredbe o varstvu osebnih podatkov (GDPR).

Z zavedanjem, kako »bedna« bom izpadla, priznam, da je meni ta uredba všeč. Všeč mi je drugačen duh predpisovanja, ki veje iz nje. Bolj je poljuden. Sodobnejši. Ja, seveda, vedno so možne izboljšave. In največ lahko tu naredi uveljavitev dobre prakse.

No, pri uveljavljanju dobre prakse pa klecnemo. Najprej želim pohvaliti službo Informacijskega pooblaščenca in njihovo spletno stran. Profesionalni. Ažurni. Dosegljivi (!) na telefon. Skratka, same pohvale.

Žal pa ne morem reči enako za vse »strokovnjake«, ki so predvsem zelo dobri marketingarji, strokovnjaki na področju varstva osebnih podatkov pa pač ne. Ti so glavni kreatorji najpogostejših mitov o varstvu osebnih podatkov in GDPR ter posledično zelo slabe prakse na tem področju.

Malo za šalo pa tudi zares navajam najpogostejše primere slabe prakse (in, častna beseda, vsi so »po resnični zgodbi«), pri tem pa poudarjam, da so primeri nekoliko pretirani zaradi ponazoritve neživljenjskosti izpostavljenih stališč ter napisani skrajno poljudno. Ta zapis v nobenem primeru ne pomeni pravnega nasveta.

1. Podjetnik posameznik lahko samega sebe imenuje za pooblaščeno osebo za varstvo osebnih podatkov (DPO) – ne drži. Bistvo funkcije DPO-ja je, da je neodvisen od navodil upravljavca. Podjetnik posameznik bi z imenovanjem sebe za svojega DPO v isti osebi združeval funkcijo upravljavca in DPO-ja. Nekoliko se mi tu vriva asociacija na znani rek »Kadija tuži, kadija sudi«.

2. Lista prisotnosti ne sme zaokrožiti na sestanku zaradi varstva osebnih podatkov (imena in priimka) prisotnih – kje naj začnem? Morda s prihodom na sestanek z vrečko na glavi, ker nisem dala privolitve v obdelovanje mojih osebnih podatkov na sestanku, sestanka pa se moram udeležiti (delovna obveznost). Variacij na to temo je neverjetno veliko. In večina je napačnih.

3. »GDPR tako ali tako še ne velja, ker še ni sprejet zakon«. – Morda je ta ena mojih najljubših. Dala sem ga v narekovaje, ker je to dejansko citat mnogih. Poudarjam, da GDPR velja od 25.5.2018 dalje. Za področja, ki z GDPR niso urejena, še naprej velja ZVOP-1. Nedvomno bo tudi ZVOP-2 slej kot prej sprejet in bo razveljavil ZVOP-1, ne bo pa razveljavil (ali spremenil) GDPR. Naloga ZVOP-2 bo, da podrobneje uredi področja, ki so mu bila v okviru GDPR prepuščena ter da na novo (enako ali drugače) uredi področja, ki z GDPR sploh niso urejena (in jih trenutno še vedno ureja ZVOP-1).

4. Za vse obdelave osebnih podatkov upravljavec potrebuje privolitve – ne drži. Privolitev je zgolj ena od možnih pravnih podlag in ni novost sama po sebi. To pravno podlago je predvideval že ZVOP-1. Novost je le, da je GDPR določil višje standarde za veljavnost privolitve. Svojim strankam, ki so v vlogi upravljavca ali obdelovalca osebnih podatkov, vedno svetujem, da naj bo privolitev kot pravna podlaga zadnja na njihovem seznamu možnih pravnih podlag – ali pa vsaj ne prva – ker je za upravljavca izredno zahtevna in pogosto sploh ne primerna.

5. Delavec v delovnem razmerju mora za obdelavo osebnih podatkov dati privolitev delodajalcu – ne drži povsem. Ja, za objavo fotografij s službene zabave. Kaj pa št. TRR računa? Pa naj vas vprašam takole… kaj, če vam delavec ne želi dat številke svojega TRR računa, ker je to njegov osebni podatek, vi pa ste obdelavo tega podatka (khm, za namen nakazila plače) vezali na njegovo privolitev? Boste njegovo plačo deponirali na sodišču, da boste izpolnili svojo obveznost plačila za opravljeno delo? Ne. Podlaga za obdelovanje številke TRR vaših zaposlenih je pogodba o zaposlitvi.

6. Privolitev mora biti pisna – ne drži povsem. Privolitev je lahko izražena tudi z dejanjem oziroma z aktivnim ravnanjem (npr. poziranje pred fotoaparatom pomeni privolitev; umik stran od objektiva pa pomeni, da ni privolitve). Pisna privolitev je predpisana kot izjema npr. pri obdelavi posebnih vrst osebnih podatkov. Nikakor pa molk ali ne-aktivnost ne pomeni privolitve!

7. Ker ZVOP-2 še ni sprejet, ne morem biti kaznovan zaradi neusklajenosti poslovanja z GDPR – do določene mere to drži, ne pa povsem. S tem je tudi povezan mit »Denarne kazni 20 milijonov v Sloveniji tako ali tako nimajo komu izreči«. Tudi ta drži do določene mere, ne pa povsem. Glede kaznovanja je na kratko tako: pri tem vprašanju se je res nekoliko zataknilo, vendar Informacijski pooblaščenec izvršuje nadzore kot doslej, po obstoječih pravnih podlagah, pri čemer pa nadzira tudi skladnost obdelav osebnih podatkov z določbami Splošne uredbe. Glede prekrškovnih pristojnosti Informacijskega pooblaščenca pa velja, da za kršitve določb Splošne uredbe ne bo možno izvesti kaznovanja, dokler ne bo sprejet ZVOP-2 in izrecno določil Informacijskega pooblaščenca tudi kot prekrškovni organ za zadeve kršitev določb Splošne uredbe. Ne glede na navedeno Informacijski pooblaščenec izvršuje vse te nadzore (kjer ne more izvajati prekrškovnega kaznovanja) in lahko izreče vse inšpekcijske ukrepe.

8. »Vaše osebne podatke obdelujemo skladno z ZVOP-2« – novi Zakon o varstvu osebnih podatkov (ZVOP-2) v času pisanja in objave tega zapisa še ni sprejet. Govorice krožijo, da naj bi bil sprejet v prvi polovici 2019. Do takrat pa je vsakršno sklicevanje na ta zakon nepravilno. Slaba stran takšnega nepravilnega sklicevanja je tudi ta, da izpadete izredno neprofesionalni in zelo očitno o sodobni reformi in samem varovanju osebnih podatkov nimate pojma. Če niste pravnik, to sploh ni nič hudega. Le prepustite to področje v roke primernemu strokovnjaku.

Za zaključek – uredite svoje poslovanje z zahtevami GDPR. Pri izbiri svetovalca bodite izbirčni. Ne visoka, ne nizka cena storitev ne zagotavljata strokovnosti. Kot svetuje tudi služba slovenskega Informacijskega pooblaščenca, pri izbiri uporabite »zdravo pamet« .