Splošna uredba o varstvu podatkov

Splošna uredba o varstvu podatkov^[1] (Regulation (EU) 2016/679, angleško General Data Protection Regulation, GDPR) je uredba Evropske unije, na podlagi katere so Evropski parlament, Evropski svet in Evropska komisija okrepili in poenotili zaščito podatkov o vseh osebah znotraj Evropske unije.

Namen Uredbe je, da se v vseh državah članicah EU poenoti pravice posameznikov in zagotovi usklajeno ukrepanje na področju varstva osebnih podatkov. Nova uredba velja tudi za vsa tuja podjetja, ki spremljajo in obdelujejo osebne podatke državljanov EU.

Splošna uredba o varstvu podatkov je začela veljati 25. 5. 2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah v dveh letih po sprejetju. Rok za prenos določb direktive v nacionalno zakonodajo je bil prav tako dve leti.

V Sloveniji bo skladnost z Uredbo zagotovljena skozi prenovljeni Zakon o varstvu osebnih podatkov (ZVOP-2^[2]). Nova pravila o varstvu osebnih podatkov v Evropski uniji podrobneje predstavlja tudi informacijski pooblaščenec na uradni spletni strani.^[3]

Cilji

Zaradi vse večje digitalizacije poslovanja in hitrega razvoja informacijsko-komunikacijske tehnologije je obseg zbiranja osebnih podatkov in pretok informacij o uporabnikih vedno večji. To ustvarja vse več možnosti za zlorabe in kršitve pravice do zasebnosti. Namen Uredbe je zagotoviti varstvo podatkov in omogočiti prebivalcem nadzor nad njihovimi osebnimi podatki, ki se nahajajo pri obdelovalcih in upravljavcih. Prav tako je namen Uredbe poenotiti in dvigniti raven varstva osebnih podatkov v EU. Z Uredbo se zagotavlja poenoteno in usklajeno ukrepanje v vseh državah članicah. To ima za posledico enostavnejšo in enako varstvo pravic vseh ljudi v EU.

Vsebina Uredbe

Vsebina Splošne uredbe o varstvu podatkov zajema naslednja poglavja:^[1]

• Poglavje I: Splošne določbe.

• Poglavje II: Načela.

• Poglavje III: Pravice posameznika, na katerega se nanašajo osebni podatki.
  • Oddelek 1: Preglednost in načini.
  • Oddelek 2: Informacije in dostop do osebnih podatkov.
  • Oddelek 3: Popravek in izbris.
  • Oddelek 4: Pravica do ugovora in avtomatizirano sprejemanje posameznikovih odločitev.
  • Oddelek 5: Omejitve.

• Poglavje IV: Upravljavec in obdelovalec.
  • Oddelek 1: Splošne obveznosti.
  • Oddelek 2: Varnost osebnih podatkov.
  • Oddelek 3: Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje.
  • Oddelek 4: Pooblaščena oseba za varstvo podatkov.
  • Oddelek 5: Kodeksi ravnanja in potrjevanja.

• Poglavje V: Prenos osebnih podatkov v tretje države ali mednarodne organizacije.

• Poglavje VI: Neodvisni nadzorni organi.
  • Oddelek 1: Status neodvisnosti.
  • Oddelek 2: Pristojnost, naloge in pooblastila.

• Poglavje VII: Sodelovanje in skladnost.
  • Oddelek 1: Sodelovanje.
  • Oddelek 2: Skladnost.
  • Oddelek 3: Evropski odbor za varstvo podatkov.

• Poglavje VIII: Pravna sredstva, odgovornost in kazni.

• Poglavje IX: Določbe o posebnih primerih obdelave.

• Poglavje X: Delegirani akti in izvedbeni akti.

• Poglavje XI: Končne določbe.

Ključne novosti za upravljavce in obdelovalce

Uredba uvaja nekaj ključnih novosti in sprememb, glede na trenutno evropsko ureditev varstva osebnih podatkov. Določene izmed teh so bile v Sloveniji sicer opredeljene in urejene že v ZVOP-1.

Med ključne novosti Uredbe sodijo^[4]:

• Zbiranje osebnih podatkov na podlagi privolitve: Zbiranje osebnih podatkov bo še naprej možno le na podlagi privolitve. Po novem bodo morali biti natančno določeni tudi vsi nameni obdelave osebnih podatkov, vrste osebnih podatkov, ki naj bi se obdelovali ter rok hrambe, arhiviranja ali izbrisa osebnih podatkov. Osebni podatki se bodo namreč lahko uporabljali izključno za namen, zaradi katerega so bili izbrani.
• Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.
• Upoštevanje načel vgrajenega in privzetega varstva osebnih podatkov: Upravljavec mora izvajati ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja tistega, na katerega se nanašajo podatki.
• Pravica do prenosljivosti podatkov: Posamezniku, na katerega se osebni podatki nanašajo, ta pravica omogoča, da pridobi osebne podatke, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in razumljivi obliki. Na podlagi te pravice lahko posameznik podatke posreduje drugemu upravljavcu, ne da bi ga prvi upravljavec pri tem oviral.
• Obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov: Upravljavec mora o kršitvah varstva osebnih podatkov brez neposrednega odlašanja (najpozneje v 72 urah) obvestiti nadzorni organ. V določenih primerih mora o tem obveščati tudi posameznike.
• Imenovanje pooblaščene osebe za varstvo podatkov: Javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave osebnih podatkov (t. j.redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov) bodo morali imenovati odgovorno osebo za varstvo osebnih podatkov – DPO (Data Protection Officer).
• Evidence obdelav: Upravljavci niso več dolžni prijavljati zbirk osebnih podatkov v centralni register zbirk osebnih podatkov, ostaja pa za določene upravljavce obveznost vodenja katalogu podobne evidence dejavnosti obdelave.
• Predhodne ocene učinka v zvezi z varstvom osebnih podatkov: Upravljavci so zavezani, ki izvajanju ocen učinka. To je proces, ki je namenjen opisovanju obdelave, oceni nujnosti in sorazmernosti obdelave ter pomaga pri obvladovanju tveganj za pravice in svoboščine fizičnih oseb, ki izhajajo iz obdelave osebnih podatkov.
• Nadzor »vse na enem mestu.«: Pristojni organ za nadzor nad upoštevanjem pravil  bo moral biti v primeru,  ko obdelava osebnih podatkov poteka v več kot eni državi članici, določiti en sam nadzorni organ, pristojen za spremljanje vseh teh dejavnosti.
• Kodeksi ravnanja in potrjevanje (certifikacija): Sprejem kodeksov ravnanja in izvajanje postopkov potrjevanja so mehanizmi za zagotavljanje in izkazovanje ustreznega ravnanja z osebnimi podatki
• Sankcije za kršitve pri upravljavcih naj bi bile učinkovite, sorazmerne in odvračilne. Upoštevano bo več kriterijev glede teže kršitve, lahko pa bodo zelo visoke.

Priporočila organizacijam

Preden Uredba stopi v veljavo, se podjetjem priporoča, da:^[5]

• preverijo veljavnost obstoječih privolitev,
• preverijo način pridobivanja privolitve v bodoče,
• prilagodijo pogodbe s pogodbenimi obdelovalci,
• preverijo in prilagodijo popis zbirk osebnih podatkov,
• pregledajo lastne postopke za zagotavljanje pravic posameznika,
• se pripravijo na izvajanje načela odgovornosti,
• pregledajo in prilagodijo lastne varnostne politike in njihovo izvajanje,
• določijo, kdo bo poročal v primeru varnostnega incidenta,
• razmislijo, ali bi želeli dobiti certifikat, da se za osebne podatke ustrezno poskrbi,
• poiščejo zunanje strokovnjake za pomoč pri pripravi na začetek veljave uredbe.

V primeru neupoštevanja določb so za organizacije, ki jih zavezuje Uredba in zakonodaja, tako kot do sedaj, predvidene sankcije. Višina kazni bo odvisna od narave kršitev, vendar pa bo možno izreči kazen vse do 20 milijonov evrov ali do 4 odstotke skupnega letnega prometa kršitelja. Ob tako visokih kaznih, bo skladnost z zakonodajo o varstvu podatkov postala pomemben del politike podjetij. Manjše denarne kazni znašajo do 10 milijonov evrov ali za podjetnike do 2 % skupnega letnega prometa na svetovni ravni za preteklo finančno leto, odvisno od tega, kateri znesek je višji.

Sklici

1. »Splošna uredba o varstvu podatkov«. eur-lex.europa.eu. Pridobljeno 31. januarja 2018.
2. »Osnutek Predloga Zakona o varstvu osebnih podatkov (ZVOP-2)« (PDF). iusinfo.si. Pridobljeno 27. januarja 2018.
3. »Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov«. www.ip-rs.si. Pridobljeno 31. januarja 2018.
4. »Kaj prinaša nova Splošna uredba (EU) o varstvu podatkov?« (PDF). www.ip-rs.si/. Informacijski pooblaščenec.
5. »Kako delovati v skladu z GDPR« (PDF). ip-rs.si/. Informacijski pooblaščenec. Pridobljeno 27. januarja 2018.

Zunanje povezave

• Zavarovanje zbirk osebnih podatkov Arhivirano 2011-06-12 na Wayback Machine.
• Kako se lahko pripravimo na sprejem Uredbe
• Reforma Evropskega zakonodajnega okvira za varstvo osebnih podatkov
• POGOVORI O PRAVU: Matija Jamnik Vsebina: IT, IKT, GDPR 12. 8. 2020
• Po mnenju slovenskega nadzornega organa za varstvo podatkov je ponudnik oblačnih storitev (skupni) upravljavec osebnih podatkov, 23 december 2022, Matija Jamnik
• Slovenija krepi svoje stališče glede varovanja osebnih podatkov, 31 julij 2017, Matija Jamnik