Danes na spletu delimo ogromno osebnih podatkov. Pri tem slovenska podjetja niso ravno velik igralec, prej Google in Facebook, a vseeno morajo igrati po pravilih prava. Foto: Reuters
Danes na spletu delimo ogromno osebnih podatkov. Pri tem slovenska podjetja niso ravno velik igralec, prej Google in Facebook, a vseeno morajo igrati po pravilih prava. Foto: Reuters
Po trditvah prisotnih se veliko podjetij še ne preveč ukvarja z zakonodajo, ki je tik pred vrati. Foto: MMC RTV SLO

Uredba zgolj določa nekaj več zahtev, kar mora biti v pogodbi. In to je potrebno, saj podatke zaupaš tujemu podjetju. Lahko jih zlorabi, lahko jih izgubi. Če sem bolnišnica in dam podatke podjetu IT Žalec, d. o. o., pa jih izgubi, kdo bo končal v medijih. Bolnišnica ali IT Žalec?

Andrej Tomšič. namestnik varuhinje informacijske pooblaščenke
Evropska direktiva o varovanju osebnih podatkov GDPR bo začela veljati 25. maja. Kako pripravljeno je slovensko gospodarstvo? Foto: Reuters

Uredba zahteva, da nas skrbi, kako je poskrbljeno za osebne podatke naših strank.

Matija Jamnik, podjetje za pravno in davčno svetovanje JK Group
Z novo uredbo bomo uporabniki o piškotkih odločali le enkrat. Foto: Televizija Slovenija

Ne zahteva se enaka varnost od frizerke, ki ima črno knjižico s sto strankami, in od kliničnega centra,

Tomšič
Tomšič je poudaril, da veliko od "novosti" uredbe v resnici določa že obstoječa zakonodaja, le marsikdo se obveznosti ni zavedal. Foto: MMC RTV SLO

Pri nas je marsikomu lahko hramba v oblaku za pet evrov predraga, direktor pa da na mizo dva tisoč evrov vreden telefon. Podatki so mu očitno ničvredni.

Igor Zorko, ZZI
Facebook
Ključno je vprašanje, kako bo uredba vplivala na prakse Facebooka in drugih velikanov, ki peljejo v družbo nadzora. Slovenska podjetja bolj ko ne upravljajo z drobižem, pogosto nujnim za osnovno delovanje. Foto: Reuters


25. maja letos bo začela veljati splošna uredba o varstvu podatkov (GDPR). Slovenska podjetja bodo morala - očitno - biti nanjo takoj v polnosti pripravljena, dober ducat inšpektorjev bo takoj na terenu in preverjalo skladnost, čeprav zagotavljajo, da ne bo šlo za lov na čarovnice. Slovenska novela zakona o varstvu osebnih podatkov, ki bi lahko zagotovila prehodno obdobje, je namreč pred poslance prispela prepozno in na prihodnjo izredno sejo ne bo uvrščena. Tako bomo dobili težavno obdobje, v katerem bo še vedno veljaven obstoječi stari zakon, ki pa bo ponekod v nasprotju z uredbo, in od primera do primera bo treba presojati, kaj je zakonito in kaj ni.

Kazni za kršitve so različne, najvišja zagrožena pa je ali 20 milijonov evrov ali 4 odstotke letnega prometa, kar je pač višje.

Uredba je dolgo in zahtevno branje, saj obsega kar 47.000 besed, zato so na uradu informacijske pooblaščenke ponudili številna gradiva, kako naj se podjetja nanjo pripravijo. Seznam ključnih novosti za podjetja je objavljen tudi na dnu članka.
Gospodarska zbornica Slovenije (GZS) pa je pripravila okroglo mizo, da bi za mikro-, mala in srednja podjetja našli nekaj praktičnih pojasnil, kako in kaj. Če kratko povzamemo bistvena sporočila: za uporabo osebnih podatkov bo še naprej potrebno izrecno strinjanje posameznika, ki bo moral biti vnaprej seznanjen z namenom uporabe. Ravno namen je "sveti gral" presoje skoraj vseh povezanih praks. Zagotoviti bo treba višjo stopnjo sledljivosti, kdo lahko v podjetju dostopa do baz osebnih podatkov, in če se baze hranijo pri zunanjih izvajalcih, bo pri tem treba izpolniti številne pogoje.

Podjetja bodo lahko osebne podatke (torej tiste informacije, ki so v zvezi z določenim ali določljivim posameznikom) še naprej lahko zbirala samo na podlagi privolitve. Pri tem bo moral biti posameznik seznanjen z nameni zbiranja in obdelave teh podatkov, in izključno za ta namen bodo lahko tudi naprej uporabljeni. Še ostreje bo pri t. i. posebnih vrstah osebnih podatkov, torej pri občutljivih podatkih (rasa, veroizpoved, spolna usmeritev, članstvo v sindikatu). Hranjenje in obdelava teh podatkov bosta mogoča le na podlagi izrecne, osebne, pisne privolitve.


'Ne' pretiranemu najemanju zunanjih svetovalcev

Direktor informacijskega podjetja ZZI Igor Zorko je na okrogli mizi povedal, da v pripravah na GDPR izvajajo veliko "inventuro" vseh svojih baz podatkov in jih razvrščajo v kategorije, kaj lahko zavržejo in česa ne, kaj lahko pretaknejo v novo informacijsko okolje za lažjo obdelavo, predvsem pa, kateri izmed hranjenih podatkov so posebej občutljivi in kateri ne. "Z internimi postopki se pripravljamo že dolgo in sistematično. Kje imamo zbirke, kaj z njimi delamo, kdo ima dostop. Pa ne samo zaradi GDPR-ja, to je koristna čistilna akcija, s katero preverimo in prevetrimo procese, pa to, koliko ljudje poznajo zahteve."

Pozval je proti najemanju zunanjih svetovalcev za ta proces. Delovanje svojega podjetja najbolje poznajo zaposleni, in ne neki zunanji pravnik, je poudaril, zato je plačevanje drugih lahko slabo - ali po nepotrebnem - vložen denar. "Vsak sam izvaja neki proces. Če si blagajničarka v trgovini, veš, katere artikle imaš na prodaj in kako blagajna dela."

Pripravljeni računovodski servisi
Podjetje bo lahko zbrane osebne podatke izročilo v hrambo in obdelavo nekomu drugemu, denimo računovodskemu servisu. Svojo izkušnjo je predstavila Branka Drnovšek Adamlje iz računovodskega podjetja Konto+. Poudarila je, da so morali že do zdaj izkazati visoko stopnjo skrbnosti, saj nihče noče, da njegovi podatki o zadolženosti, poslovanju, plačilni disciplini ... pridejo v javnost. Že zdaj zadostijo 85 odstotkom zahtev iz uredbe in drugih 15 bodo dopolnili do roka, je zagotovila.

Obvezne pogodbe z upravljavci
"GDPR zahteva, da nas takšno početje skrbi," je povedal Matija Jamnik, odvetnik iz prave pisarne JK Group. V trenutku, ko osebne podatke položimo v roke (oz. diske) nekomu tretjemu, prevzamemo določena tveganja. Zato bo treba z zunanjimi upravljavci podpisati pogodbo, kjer se zavežejo k varovanju, zaupnosti, pa pregledom in revizijam. Podjetje bo imelo pravico, da bo šlo do "računovodskega servisa" ali pa izvajalca hrambe v računalniškem oblaku in se na lastne oči prepričalo, da je vse, kot mora biti. Zorko je ob tem spomnil, da hramba v oblaku resnično prinaša tveganja. Pred slabim desetletjem je, denimo, iznenada ugasnila brezplačna elektronska pošta email.si z vso vsebino vred.

Ni vse popolna novost
Namestnik informacijske pooblaščenke Andrej Tomšič je poudaril, da lep del rešitev uredbe GDPR zahteva že obstoječa zakonodaja - in to že več 10 let, zato pretirani alarmi niso upravičeni. "Zakon o varovanju osebnih podatkov pravi, da če dam podatke zunaj delokroga svojega podjetja, moram izbrati izvajalca, ga najeti s pogodbo in z njo določiti, kako bo podatke varoval. Uredba zgolj določa nekaj več zahtev, kar mora biti v pogodbi. In to je potrebno, saj podatke zaupaš tujemu podjetju. Lahko jih zlorabi, lahko jih izgubi. Če sem bolnišnica in dam podatke podjetu IT Žalec, d. o. o., pa jih izgubi, kdo bo končal v medijih. Bolnišnica ali IT Žalec," je izjavil. "Pogodbe so koristne, saj ljudi varujejo." V njih je treba opredeliti, kaj lahko upravljavec z njimi počne, včasih pa je dobro izrecno povedati, česa ne sme početi.

Videti, kdo je videl
Upravljavci zbirk osebnih podatkov ne bodo več prijavljali uradu informacijskega pooblaščenca, kot so to počeli do zdaj. Bo pa zato okrepljena sledljivost dostopa do teh zbirk. Upravljavci bodo morali jasno opredeliti, kdo točno ima dostop do njih. Še več, bolj kot bodo obsežne in občutljive, zahtevnejša bo sledljivost. "Ne zahteva se enaka varnost od frizerke, ki ima črno knjižico s sto strankami, in od kliničnega centra," je poudaril Tomšič. Pri zdravniških diagnozah in podobnem bo moral biti zapisan čisto vsak dostop s časom, krajem, "storilcem" in pregledanimi podatki. Pri frizerki praktično nič, drugi pa so nekje vmes. Čas hrambe evidence je šest let po uredbi, pet let po predlaganem zakonu.

Uredba zahteva, da podjetje imenuje osebo, pooblaščeno za varstvo podatkov. A ne nujno. Imenovati jo mora le, če temeljne dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov ali pa obsežno obdelavo posebnih vrst podatkov. Kdor je v dvomih, ali mora opraviti imenovanje ali ne, naj najprej preveri smernice informacijskega pooblaščenca na tej povezavi.
Kazni ne bodo (takoj) drakonske
Četudi je najvišja zagrožena kazen (4 odstotke letnega prometa ali 20 milijonov evrov, kar je več) grozeča, je organi ne bodo podeljevali kar tako. Uredba našteva kar 11 meril in veliko vmesnih stopenj, vključno z opomini, je naštel namestnik informacijske pooblaščenke. Da bi prišel na vrh, moraš, denimo, prodajati zdravstvene podatke, to početi naklepno in v velikih količinah, lagati inšpekciji itd. Za vsako posamezno kazen bo treba vse te dejavnike "zmleti" in priti do sorazmerne kazni. Tomšič je obenem priznal, da točne formule za izračun ni. Toda: "Če si napačno poslal e-pošto, to seveda ni stvar 20 milijonov kazni, če pa si preprodajal diagnoze, pa morda."

Poslovna škoda, sitnosti in stroški
Katja Kraškovic iz GEA College je razkrila, da uredba v praksi prinaša tudi nekaj nepotrebnih sitnosti. Ko s študentom nimajo več pogodbe o izobraževanju, preneha tudi podlaga za sprotno obveščanje. Tako jih ne morejo vabiti na številna brezplačna izobraževanja, ki jih pripravljajo po končanem študiju, ali pa na denimo na 30. obletnico nekega letnika. Za takšna obveščanja bi morali pridobiti strinjanje nekdanjih študentov, in nemalokrat se zgodi, da jim ogorčen znanec očita, zakaj ga ne obveščajo o nekem druženju. "Naša baza z informacijami in e-poštnimi naslovi se tako vztrajno zmanjšuje. S tem se dela neka poslovna in praktična škoda." Tudi prek hipotetičnega "Alumni kluba" na Facebooku jih ne morejo obveščati. Če se namreč nekdanji študent pridruži tej skupini, s tem še vedno ni izpolnil izrecnega soglasja za predajo in obdelavo osebnih podatkov, ki vključuje namen in trajanje.

Opozorila je, da bo uredba kljub trditvam Evropske komisije o velikih gospodarskih koristih marsikoga obremenila. Če je podjetje majhno in ima le nekaj zaposlenih, bo urejanje podatkovnih zbirk, najemanje programerjev za lastne aplikacije ali najemanje zunanjih podjetij pač stalo, morda tudi na desettisoče evrov. Odgovoril ji je Zorko: hramba podatkov je dokaj poceni in dobro je plačati za kakovostne rešitve, ki vključujejo višjo raven kibernetske varnosti. En gigabajt na mesec stane dva evra. Ker nekdo, ki mu je odveč odšteti pet evrov na mesec za kakovosten oblak, obenem pa ima na mizi dva tisoč evrov vreden telefon, tudi podatkov svojih strank ne ceni preveč.

Kaj s podatki poslovnih vizitk
Obstajajo tudi sive cone nedorečenosti. Poslovne vizitke so tak primer. Poslovneži in drugi si jih izmenjujejo, s tem pa tudi drugim dajejo svoje osebne podatke. Je to tudi dovoljenje, da jih lahko dodamo v zbirko in jim pošiljamo reklame? "Uporabiti moramo zdrav razum. Če si nekomu dal vizitko, je najbrž namen ta, da ti pošlje ponudbo svojih storitev ali blaga. To je razumen koncept. Ne pa, da jih bo potem javno objavil ali pa razdelil 100 drugim podjetjem, o čemer se poprej nisva jasno govorila. Tako lahko res pride do dramatično nenamenske povezave," je pojasnil Tomšič.

Če so podjetja za neposredno trženje pridobila podatke ljudi in z njimi sklenila pogodbo, potem teh pogodb ni treba obnavljati. Privolitev je treba obnoviti le, če je mogoče v neskladju z uredbo.

Plačljiv dostop do e-redovalnic
Sogovornik je izpostavil problem: šola njegovega sina je storitev elektronske redovalnice prepustila zunanjemu izvajalcu. Ta ima tako v rokah zbirko ocen in drugih osebnih podatkov njegovega otroka, za goli dostop do njih mora podjetju plačevati. Tomšič je poudaril, da so najbrž starši dali za to soglasje, šola pa ima vso pravico, da ali razvije programje sama - kar tudi stane - ali pa to prepusti tretji stranki. Posameznik tu nima vpliva, razen da se s šolo "pogovori". "Tudi če sem včlanjen v klub Mercator, nimam odnosa z njihovim računovodskim servisom, ki ga najamejo," je poudaril. Je pa po njegovem smotrno, če se država odloči in sama razvije neke javne storitve e-redovalnice, ki bi jo lahko uporabljale vse šole.

Bodo morali računovodski servisi pridobivati dovoljenje za vsakega zaposlenega iz podjetja, katerega poslovanje obravnavajo? Ne, je bil jasen odvetnik Jamnik, ker je to del izpolnjevanja pogodbe o zaposlitvi. To bi lahko delodajalec počel tudi znotraj lastnega podjetja. Tako tudi ne bo svojim zaposlenim molil pod nos obrazcev.

Pravica do pozabe
Ponudnika spletne trgovine je zanimala pravica uporabnika do izbrisa podatkov oz. do "pravica do pozabe". Kupec bo naročil izdelek, že naslednji dan pa stisnil gumbek "pozabi me". Kam bo šlo naročilo? Predstavnik urada informacijskega pooblaščenca je zagotovil, da je v tem primeru pravo zelo zdravorazumsko. Pravica do izbrisa gre za podatke, ki so jih dali prostovoljno. Podatki, ki so pa potrebni za izpolnjevanje pogodb, pa niso samodejno predmet izbrisa, in tako se bo lahko nakup izvedel. "Ne morem kar zdravniku reči, naj me pozabi, in delodajalcu, da me pokojnina ne zanima." Nasploh je zbranim podjetnikom zagotovil, da do množičnih zahtevkov za izbris ne bo prišlo. Ob vprašanju, kdo od izbranih je to že kdaj storil, sta se dvignili le dve roki.

STRNJENE KLJUČNE NOVOSTI ZA UPRAVLJAVCE IN OBDELOVALCE
Zbiranje osebnih podatkov na podlagi privolitve - soglasja mora biti jasna in razumljiva izjava, dana
z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati
privolitev v zbiranje in obdelavo svojih osebnih podatkov. Treba je podrobno preveriti veljavnost
obstoječih privolitev.
*
Način za preklic privolitve mora biti enako enostaven kot podaja privolitve. Posameznik ima pravico do
umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.
*
Upravljavci morajo upoštevati načeli vgrajenega in privzetega varstva osebnih podatkov.
*
Pravica do prenosljivosti podatkov – dolžnost upravljavca, da posamezniku zagotovi osebne podatke v
zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.
*
Upravljavci morajo posamezniku zagotoviti pregledne in enostavno dostopne informacije o obdelavi
njegovih podatkov.
*
Obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov – upravljavec mora o kršitvi
brez nepotrebnega odlašanja (najpozneje v 72 urah) obvestiti nadzorni organ. V določenih primerih mora o tem obveščati tudi posameznike.
*
Imenovanje pooblaščene osebe za varstvo podatkov – javni sektor ter podjetja, katerih temeljne
dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov, bodo morali imenovati odgovorno osebo za varstvo osebnih
podatkov.
*
Evidence obdelav (namesto dosedanjih katalogov) – upravljavcem ne bo več treba prijavljati zbirk osebnih
podatkov v centralni register zbirk osebnih podatkov, ostaja pa za določene upravljavce (in po novem v
določenem delu tudi za pogodbene obdelovalce) obveznost vodenja katalogu podobne evidence dejavnosti
obdelave.
*
Predhodne ocene učinka v zvezi z varstvom osebnih podatkov – v določenih primerih bodo tovrstne
predhodne analize o spoštovanju temeljnih načel varstva osebnih podatkov obvezne za upravljavce.
*
Nadzor vse na enem mestu - če obdelava osebnih podatkov poteka v več kot eni državi članici,
bo načeloma en sam t. i. vodilni nadzorni organ pristojen za spremljanje vseh teh dejavnosti. Pristojni vodilni
nadzorni organ bo v teh primerih organ države članice, v kateri je glavna ali edina enota upravljavca ali
obdelovalca.
*
Kodeksi ravnanja in potrjevanje (certifikacija) – večji poudarek kodeksom ravnanja in postopkom
potrjevanja kot novim preventivnim mehanizmom za zagotavljanje in izkazovanje ustreznega ravnanja z
osebnimi podatki.
*
Sankcije naj bi bile učinkovite, sorazmerne in odvračilne. Upoštevalo se bo veliko meril glede teže
kršitve, lahko pa bodo zelo visoke.
Vir: Urad informacijskega pooblaščenca

Uredba zgolj določa nekaj več zahtev, kar mora biti v pogodbi. In to je potrebno, saj podatke zaupaš tujemu podjetju. Lahko jih zlorabi, lahko jih izgubi. Če sem bolnišnica in dam podatke podjetu IT Žalec, d. o. o., pa jih izgubi, kdo bo končal v medijih. Bolnišnica ali IT Žalec?

Andrej Tomšič. namestnik varuhinje informacijske pooblaščenke

Uredba zahteva, da nas skrbi, kako je poskrbljeno za osebne podatke naših strank.

Matija Jamnik, podjetje za pravno in davčno svetovanje JK Group

Ne zahteva se enaka varnost od frizerke, ki ima črno knjižico s sto strankami, in od kliničnega centra,

Tomšič

Pri nas je marsikomu lahko hramba v oblaku za pet evrov predraga, direktor pa da na mizo dva tisoč evrov vreden telefon. Podatki so mu očitno ničvredni.

Igor Zorko, ZZI