V sredo, 22.2.2023, smo imeli delavnico na temo varstva osebnih podatkov in kaj le-ta prinaša sobodajalcem.

Gost delavnice je bil Mag. Matjaž Drev, nekdanji državni nadzornik za varstvo osebnih podatkov pri Informacijskem pooblaščencu RS in izvaja inšpekcijske in prekrškovne postopke s področja varstva osebnih podatkov. Svoje strokovne izkušnje je več let pridobival kot sistemski in omrežni administrator, zato k izzivom pravice do zasebnosti pristopa izrazito interdisciplinarno. Strokovno pozornost namenja presečišču prava in informacijske tehnologije, področju ki že določa sedanjost in prihodnost varstva osebnih podatkov. 

V tem povzetku delavnice, bomo izpostavili poglavitne točke, ki so bile izpostavljene na delavnici in so pomembne za sobodajalce.

Uredba GDPR govori o varovanju osebnih podatkov in ne vseh podatkov in informacij, ki jih imamo in zbiramo. Zavedati se moramo, da lahko s pomočjo modernih tehnologij namen obdelave zbranih osebnih podatkov povzroči tveganje za pravice in svoboščine posameznika.

Pomembno se je zavedati, da so kreditna kartica, kartice ugodnosti, IP naslov, e naslov, socialna omrežja, podatki, s katerimi bi lahko ugotovili za koga gre. In name tega zakona je ravno to, da se ozavesti in zaščiti posameznika, da so bo zavedal, komu, kaj in zakaj posreduje svoje osebne podatke.

Zakon in predpisi veljajo za zbiranjem hrambo in uporabo osebnih podatkov.
Sem spadajo:

  • Ime in priimek
  • Naslov
  • Lokacija
  • IP računalnika
  • Podatki o zdravju
  • Prihodki
  • Profili na socialnem omrežju

Za zbiranje in obdelovanje osebnih podatkov potrebujete privolitev posameznika.

Kaj dejansko pomeni privolitev?

Večini obdelovalcev podatkov največji izziv predstavlja pridobitev privolitev za obdelovanje osebnih podatkov. Vsak posameznik mora biti pripravljen prebrati splošne pogoje, v katerih mora biti izražen namen, za kaj se bodo ti podatki uporabljali.

Zakon pravi: Privolitev mora biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov.

Na to temo so se takoj pojavila vprašanja:
Če mi gost pošlje povpraševanje na e-naslov, ali ga lahko shranim in jo kontaktiram tudi kasneje?

Seveda, vendar je ta e-naslov namenjen le za komunikacijo glede informacij, ki jih je želela stranka. Tega naslova ne smete posredovati za namene pošiljanja e-novic (newsletter). Lahko pa si ga zabeležite v CRM ali drugi sistem, v katerem shranjujete podatke.

Ali moram pridobiti privoljenje tudi v primeru, da ji pošljem tiskano pošto?

Pošiljanje tiskane pošte ureja drugi zakon, kar pomeni, da ji lahko pošljete pismo na dom. Posamezniki, ki ne želijo prejemati reklamnih sporočil v svoj nabiralnik, to lahko preprečijo z nalepko.

Ali lahko svoji obstoječi stranki pošljem e-sporočilo, v kateri ji ponudim nove storitve?

V tem primeru gre, glede na zakon, za neposredno trženje. Stranki lahko pošljete e-sporočilo, vendar mora imeti možnost, da enostavno zavrne prejemanje takih sporočil v prihodnosti. Pozorni pa morate biti, da vaš kupec ni zavrnil take uporabe svojega e-naslova že na začetku.

Pojavilo se je tudi vprašanje zakaj sploh zbirati podatke, kdaj je potreben GDPR in kdaj ne.

Zakonska podlaga

V teh primerih ni potrebno dodatno privoljenje posameznika:

• kadar se obdelava izvaja v skladu s pravno obveznostjo, ki velja za upravljavca,

• kadar je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti

• ali ko je potrebna za zaščito interesa, ki je bistven za življenje posameznika.

S posebno privolitvijo

V teh primerih mora posameznik dati soglasje in se strinjati z obdelavo njegovih osebnih podatkov.

• za potrebe trženja,

• za potrebe izvajanja dejavnosti,

• za potrebe analiziranja, • pri uporabi kartic ugodnosti,

• za druge namene, ki nimajo zakonske podlage.

Matjaž je opozoril na tem mestu, da ne glede na namen in način pridobitve bodite pozorni, da pravilno varujete podatke in jih tudi pravilno arhivirate oziroma pravočasno uničite.

Kje in kako začeti?

  1. PREVERITE VELJAVNOST OBSTOJEČIH PRIVOLITEV. Glejte člena 6 in 7, uvodne določbe: 32, 42, 43, 171.
  2. PREVERITE NAČIN PRIDOBIVANJA PRIVOLITEV V BODOČE. Glejte člene 12, 13 in 14.
  3. PRILAGODITE POGODBE S POGODBENIMI OBDELOVALCI. Glejte člen 28.
  4. PREVERITE IN PRILAGODITE POPIS ZBIRK OSEBNIH PODATKOV – EVIDENCE DEJAVNOSTI OBDELAVE. Glejte člen 30.
  5. PREGLEJTE POSTOPKE ZA ZAGOTAVLJANJE PRAVIC POSAMEZNIKA. Glejte člene 12–22.
  6. PREGLEJTE IN PRILAGODITE VAŠE VARNOSTNE POLITIKE IN NJIHOVO IZVAJANJE. Glejte člen 24.
  7. DOLOČITE, KDO BO POROČAL V PRIMERU VARNOSTNEGA INCIDENTA. Glejte člen 33.
  8. PRIPRAVITE SE NA IZVAJANJE NAČELA ODGOVORNOSTI. Če so osebni podatki temelj vašega poslovanja, ne čakajte na obisk inšpekcije in pravočasno preverite: a) Ali boste morali izvajati ocene učinka? Glejte člen 35. b) Ali boste morali imenovati odgovorno osebo za varstvo osebnih podatkov (»DPO«)? Glejte člen 37. c) Vaše postopke za minimizacijo (načelo vgrajenega in privzetega varstva podatkov). Glejte člen 25.

Minimizirajte:

1. količino zbranih podatkov,

2. obseg njihove obdelave,

3. obdobje njihove hrambe in

4. kdo jih obdeluje.

Za sobodajalce je ena pomembnejših nalog in tudi najbolj obsežna je ta, da popišete zbirke (evidence) osebnih podatkov, ki nastajajo v pri vašem delu.

Zaključili smo tako, da smo se dogovorili za nadaljevanje na to temo, saj je precej vrzeli na to temo in precej vprašanj. Člani združenja, bodo tudi prejeli obrazce, ki jih bodo lahko uporabljali pri dejavnosti in so prilagojeni na obstoječo zakonodajo o Varstvu osebnih podatkov.