Slovenija
(4)
Tudi ameriška podjetja, kot sta Google ali Facebook, bodo na evropskih tleh morala upoštevati nova pravila. Foto: Reuters

Dodaj v

GDPR: Svetovalci rastejo kot gobe po dežju

Tisti, ki so že doslej skrbno ravnali z osebnimi podatki, nimajo razloga za skrb.
15. maj 2018 ob 10:08
Ljubljana - MMC RTV SLO

25. maja bo v veljavo stopila evropska uredba o varovanju osebnih podatkov (GDPR), ki določa nova pravila s področja varstva osebnih podatkov in podjetjem nalaga nove obveznosti. Predvsem potrošniki z uredbo dobivajo več pravic, saj bodo za obdelavo svojih osebnih podatkov morali dati jasno privoljenje, prav tako bodo morali biti nedvoumno seznanjeni z nameni, za katere bodo podjetja te podatke uporabljala.

Uredba je neposreden odziv Bruslja na kopičenje nepregledne količine podatkov v času informacijske tehnologije, množično uporabo družbenih omrežij in spletni marketing. Ker številna podjetja zbranih podatkov nimajo shranjenih na enem mestu, kar ne omogoča pregleda nad vrstami zbirk podatkov, jim nova uredba med drugim nalaga vzpostavitev natančnih evidenc. Uredba velja za vsa velika podjetja, spoštovati pa jo bodo morala tudi srednja in mala podjetja, če zbrane podatke redno obdelujejo.

Kaj bo drugače po 25. maju?
Tisti, ki so doslej dosledno upoštevali zakonodajo s področja varovanja osebnih podatkov, nimajo razloga za strah pred globami, ki so v skladu z novo evropsko uredbo astronomske, pravi informacijska pooblaščenka Mojca Prelesnik. "Evropska uredba, ki je neposredno uporabljiva, predvideva enormno visoke kazni, do 20 milijonov evrov ali do štiri odstotke skupnega svetovnega letnega prometa pri podjetjih." Vendar teh glob pooblaščenec do sprejetja nove zakonodaje ne bo mogel izrekati, kar pa ne pomeni, da je "informacijski pooblaščenec brezzobi tiger. Inšpektorji bodo namreč lahko vodili inšpekcijske postopke, odrejali popravljalne ukrepe, globe pa izrekali v skladu z obstoječo zakonodajo, kjer ni kolizije z novo uredbo", pravi Prelesnikova. A pozor: če vam denimo trgovec (še) ni poslal novega obrazca, s katerim se strinjate, da vas obvešča o ugodni ponudbi, po besedah odvetnice dr. Nataše Pirc Musar to ne pomeni, da s tem krši novo evropsko uredbo. "Če zgolj klasično trži in je vaše podatke pridobil v okviru zakonitega opravljanja dejavnosti, potem lahko trži produkte do preklica."

Pravica do prenosljivosti in pozabe podatkov
Ena od ključnih pravic, ki jih nova uredba prinaša evropskim potrošnikom, je pravica do prenosljivosti podatkov. Po besedah informacijske pooblaščenke bomo zdaj lahko od veletrgovca "zahtevali izpis vseh naših podatkov, vseh naših nakupov, če tako rečem, in to bomo lahko dobili v strojno berljivi strukturirani obliki". Če bodo za to vzpostavljeni pogoji, bo v prihodnosti od trgovca mogoče zahtevati celo, da zbrane podatke prenese k drugemu izbranemu trgovcu. "Predstavljajte si zadrege bank, zavarovalnic ali velikih trgovcev, ko bo nekdo prišel in rekel: vse podatke, ki jih imate o meni, zapecite v strojno berljiv format in mi jih dajte, da jih nesem v novo banko, ker z vami nisem več zadovoljen," pravi Pirc Musarjeva. Ali pa zadrego upravljavca osebnih podatkov, od katerega boste zahtevali, naj vas preprosto – pozabi. V resnici ne bo tako preprosto, pravi Mojca Prelesnik: "To je bila želja evropskega zakonodajalca: tu gre za situacije, ko smo nekoč v mladosti objavljali podatke in fotografije, ki nam kasneje v življenju lahko škodijo." Ta pravica se bo sicer nanašala tudi na objave v medijih, pravi dr. Nataša Pirc Musar: "Posameznik bo imel pravico do pozabe tudi za podatke, ki so v nekem časovnem obdobju lahko bili resnični in relevantni. Danes, po preteku 10 ali 15 let, pa bo posameznik lahko rekel, da podatki niso več relevantni, da mi povzročajo škodo in zato uveljavljam pravico do pozabe." Omeniti velja, da od finančne uprave in drugih javnih ustanov ne morete zahtevati, naj pozabijo vaše morebitne grehe iz preteklosti.

Mercator meni, da jim ni treba storiti ničesar
Trije trgovci: Mercator, Spar in Tuš imajo skupaj okoli dva milijona 400 tisoč kartic ugodnosti uporabnikov. Veliko kartic, veliko osebnih podatkov. Uporabljajo jih za različne namene: nalaganje popustov, izstavljanje računov, oblikovanje prilagojenih ponudb. Bojana Pleterski iz Mercatorja pojasnjuje, da na ta način iščejo nakupne vzorce, navade podobnih potrošnikov. "Recimo, če so to mlečni izdelki, iščemo prodajne podatke o teh izdelkih in na podlagi tega oblikujemo ponudbo za te kupce." Poleg tega podatke obdelujejo tudi za sprejemanje lastnih poslovnih odločitev o oblikovanju prodajnega prostora ali marketinških aktivnosti. Anja Marjetič iz Tuša podobno pravi, da lahko njihovi kupci s pomočjo kartice zvestobe "sestavijo svojo akcijo, svojih 10 najljubših izdelkov in jih tri mesece kupujejo ugodneje, poleg tega pa lahko uporabijo posebne ugodnosti kluba". V skladu z novo evropsko uredbo o varovanju osebnih podatkov morajo podjetja potrošnike še enkrat prositi za dovoljenje, da uporabljajo njihove podatke. V Tušu so v ta namen najeli svetovalca, ki jim pomaga v procesu implementacije, Spar od aprila svoje stranke o novostih pri varovanju osebnih podatkov obvešča prek letakov, zloženk, mobilne aplikacije in spletne strani, v Mercatorju, kjer na implementacijo nove uredbe gledajo kot na nekakšno inventuro strank, pa pravijo, da jim tega ni treba storiti. "Naša obstoječa privolitev, ki jo zbiramo že kar nekaj časa, to je privolitev za prilagojeno ponudbo, ustreza vsem zahtevam nove uredbe, tako da nam ni treba obnavljati te privolitve," pravi Bojana Pleterski.

Veliko dela za podjetja, manjša društva zmedena
Za marsikatero podjetje nova uredba pomeni veliko dodatnega dela. Kot nam je pojasnil Rok Koželj, direktor marketinga in poslovnega razvoja na GEA College, v zvezi s tem ostaja tudi nekaj odprtih vprašanj: "Ali lahko nekoga, ki je opravil neki nakup v našem podjetju in s tem izrazil voljo, da ga torej ta storitev zanima, brez dodatne privolitve, ki je povsem skladna z novim GDPR-jem, obveščamo o podobnih ali enakih storitvah, vezanih na njegovo že opravljeno nakupno odločitev." Njihove stranke so študentje, udeleženci seminarjev in izobraževanj, potencialne stranke pa ostajajo tudi diplomanti, ki so končali šolanje in torej niso več v pogodbenem razmerju s podjetjem, bi si pa na Gea Collegeu želeli, da ostanejo z njimi v stiku. "Če govorim v imenu podjetij, si želim, da bodo potrošniki zaznali, da podjetja potrebujemo njihova soglasja in pomoč. Vemo pa, kako je s ponovnimi privoljenji in pričakujemo precejšen osip." Kako pa je s klubi in društvi, ki podatke hranijo z namenom obveščanja o delavnicah, seminarjih in drugih aktivnostih, ki bi lahko bile zanimive za člane? Martina Štampar iz Mikrobiološkega alumni kluba, ki obstaja leto dni in šteje okoli 80 članov, pravi, da je GDPR zanje nepotrebna sitnost. "Mi smo majhno društvo, imamo nekaj podatkov zbranih, imena, priimki, elektronski naslovi, nimamo niti telefonskih številk, uporabljamo pa jih izključno v društvene namene, torej obveščanje o kakšnih društvenih dogodkih ali srečanjih. Zavedamo se, da so podatki občutljiva in osebna stvar, a se nam zdi rahlo nepotrebno za tako majhno društvo, da mora vsa ta soglasja znova pridobivati, saj so nas člani, ki jih je zanimal vstop v klub, našli sami, sami kontaktirali in sami dali podatke." Na vprašanje, ali morajo na novo pridobiti privoljenja, nimajo jasnega odgovora.

Šolniki: vprašanj je več kot odgovorov
Šole bodo morale uvesti register zbirk podatkov, ki jih hranijo in obdelujejo, imenovati pooblaščence za ravnanje s temi podatki in pridobiti nekaj novih soglasjih. Po besedah predsednika Združenja ravnateljev osnovnih šol Gregorja Pečana, je vprašanj ogromno. "Kaj bo s tem pooblaščencem? Šole načrtujemo plan dela že za prihodnje leto in te stvari bi zdaj morali že imeti v kadrovskem načrtu." Pečan pravi, da ni jasno, ali bo morala vsaka šola imeti svojega pooblaščenca, ga bodo lahko delili z več javnimi ustanovami v občini ali bodo to lahko uredili stanovsko. Sprašujejo se tudi, kaj nova uredba pomeni za podatke, ki jih šole objavljajo na spletu ali posredujejo drugim organizacijam. "Na primer športno-vzgojni kartoni, ki jih šole delamo. Mi te podatke zbiramo, ravnajo pa z njimi na fakulteti za šport. Imamo podobne podatke z njihovimi starši, imamo osebne mape učencev, kjer hranimo dogajanja v zvezi z njimi, tudi vzgojne ukrepe in podobno, določene stvari se hranijo še vedno v fizični obliki, nekatere pa tudi v elektronski obliki." Odpira se tudi vprašanje posredovanja podatkov: "Šole na primer osebnih podatkov ne zbiramo z namenom, da bi z njimi oskrbovali zdravstvene domove, pa se to od nas pričakuje." Ob tem Pečan opozarja še na številne svetovalce vprašljive kakovosti, ki se ponujajo kot poznavalci področja varovanja osebnih podatkov. "Ponudniki, ki nudijo izobraževanja s tega področja, rastejo kot gobe po dežju, kompetentnih pa je baje zelo malo," dodaja Pečan.

Oddaja Koda v torek, 15. maja 2018, ob 17:30 na 1. programu Televizije Slovenija.

Rok Kužel
Prijavi napako
Komentarji
zigag
# 15.05.2018 ob 13:34
Iz lastnih krogov poznam ljudi, ki svetujejo o tej tematiki. In takih, res pravnih expertov je pri nas toliko, da jih prešteješ na prste ene roke, pogojno dve. Vsi ostali so prisesani na trenuten"hype" in prodajajo prazno slamo v želji po zaslužku. GDPR ni nekaj, kar odpreš danes in se naučiš v parih dneh. Kdor se pred tem ni resno na svojem delovnem področju ukvarjal z varstvom osebnih podatkov, je po možnosti pravnik in ima za seboj več let izkušenj, vam prodaja meglo. Jih bo pa trg upam, da sam prepoznal in izločil. Skrbi me, ko slišim kakšne "pakete" ponujajo ljudem okoli nekateri in kako malo za to naredijo. To je svinjarija brez primere, ker nad njimi ne bedi noben. Naš IP je pa itak samo še samemu sebi namen od prevzema novega vodstva. Kolikor sem obveščen, sploh niso razumeli bistva GDPR-a že v štartu in kako boš izvajal nadzor, če ne razumeš nad čim sploh nadzor izvajaš in kakšno je bistvo tvoje materije. Je pa veliko strašenja, da se DPO-ja sploh rabi, (to je pooblaščeno osebo za varstvo o.p.). za vsako malo podjetje, kar je ponovno nateg par excellence. Pravi GDPR expert vam bo iz prve povedal kje tiči odgovor na vaš problem in na vprašanja. Vse ostalo je zavajanje. Žal.
jakosol
# 15.05.2018 ob 13:59
Najbolj poceni bo, da presedlamo na komunikacijo prek dimnih signalov.
Ljubiljančan
# 16.05.2018 ob 16:36
Podatki, sploh pa osebni, so lahko vir zasužka in zlorabe. Zato je prav, da se regulira njihovo zbiranje in hranjenje.
1. Tisti, ki podatke zbira (zaposlovalec, zdravnik, šola ...) ne bo smel zahtevati podatkov, za katere ne bo imel argumenta, da jih nujno potrebuje.
2. Zbiralec bo moral bol(e) hraniti podatke. Vanje omogočiti vpogled manj ljudem; njim pa s kazensko odgovornostjo. Zbiralec mora napisati navodila za ravnanje. Zbiralec jpodatkov ne bo smel tržiti in prenašati.
3. Podatkodajalec ima pravico vprašati, kaj je z njegovimi podatki, in zahtevati izbris.
4. Zbiralec podatkov mora napraviti oceno tveganja in imenovati odgovorno osebo.
5. Zbiralec mora vsak sum vdora ali zlorabe hranjenih podatkov prijaviti.

Tisti, ki se spomnimo prejšnjih časov:
a) to je nekakšen obrambno-varnostno-samozaščitnni načrt, ki smo jih delali pred 40 leti.
b) ozaveščeni že pred pol stoletja nismo vpisovali EMŠO, če ni bilo potrebno, če smo ga morali, pa smo ga skušali v nekaterih številkah potvoriti. Takrat zaradi UDBE, danes, sploh ker smo v demokraciji, je pa tudi neumno trositi svoje osebne podatke v javnost.
.
runcajz
# 16.05.2018 ob 15:55
"Trla baba lan, da joj prođe dan!" pravijo na jugu naše nekdanje skupne države.
Danes to počno birokrati v EU, za zelo dobro plačilo , pa še sami ne vedo kaj naj z vsemi temi nesmisli počno.

Kaj pa podatki, ki jih morajo letalski prevozniki sporočati ZDA o njihovih potnikih?
Kaj pa podatki, ki jih zbirajo firme, ki klicujočemu na njihov telefon povedo, da pogovore snemajo ? ( telefonska številka, naslov telefona ,posredno tudi naslov, itd so s tehnično opremo lahko določljivi )
Pa vsi podatki, ki jih zbirajo na poštah v Sloveniji pri plačevanju nekaterih položnic ?

Kmalu še na wc ne boš mogel, če ne boš izpolnjeval pogojev teh evropskih birokratov .
Kazalo