Letos mineva 13 let, odkar se v Sloveniji izvaja zakon o varstvu osebnih podatkov. Z majem 2018 prihaja nova splošna uredba o varstvu osebnih podatkov, ki velja za vsako podjetje, ki uporablja in kakorkoli obdeluje osebne podatke državljanov EU. Področje, ki ga ureja uredba, bo v Sloveniji urejal novi zakon o varstvu osebnih podatkov (ZVOP- 2).
Ne le Facebook, tudi vi morate v boj s spremembami
Nova evropska regulativa je nastala v času družabnih omrežij, digitalnega marketinga ter množične uporabe CMS- in CRM-pogramov podjetij. Posledično mnogo podjetij nima ustreznega pregleda nad svojimi zbirkami na enem mestu, niti nima pregleda nad vrstami sistemov hrambe baz, saj ima povprečno srednje veliko podjetje nekaj baz v Excelovih tabelah, nekaj še papirno vodenih, nekaj pa povsem avtomatiziranih v sodobnih informatiziranih zbirkah.
Takšna podjetja bodo po novem morala voditi ustrezne evidence. Evidence morajo voditi vsa velika podjetja in tudi mikro, mala in srednja podjetja, če te podatke redno obdelujejo. Evidence obdelav bodo nadomestile kataloge zbirk osebnih podatkov.
Novosti: profiliranje in pooblaščenec za varstvo podatkov
Novost je tudi "profiliranje", ki pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika. Torej za namene trženja.
Profiliranja pa ne smete izvajati brez privolitve oziroma soglasja posameznika. Če se izkaže, da profilirate, morate imeti pooblaščeno osebo za varstvo podatkov in obveznost izvajanja presoje učinkov na varstvo osebnih podatkov. Ta mora biti strokovnjak na področju varstva podatkov in neodvisen od vodstva.
6 vprašanj, na katera morate znati odgovoriti
Nataša Pirc Musar vam ponuja nekaj vprašanj, ki si jih postavite še pred majem 2018:
1. Ali imamo v našem podjetju vse pripravljeno za izvrševanje pravice posameznika do vpogleda v njegove osebne podatke?
2. Ali sploh vemo, katere vse podatke o konkretnem posamezniku hranimo?
3. Za kakšne namene smo jih zbrali in koliko časa jih lahko hranimo?
4. Ali smo pripravljeni na tako imenovano pravico do pozabe in znamo posamezniku zagotoviti nepovratno brisanje njegovih podatkov?
5. Ali smo pripravljeni na izvrševanje pravice do prenosljivosti osebnih podatkov (Data Portability) in posamezniku znamo izročiti njegove podatke v strojno berljivi obliki (ni več dovolj, da bi mu jih natisnili na papir in poslali po pošti)?
6. Ali imamo veljavno osebno privolitev posameznika, s katero nam je izrecno dovolil, da obdelujemo njegove osebne podatke, kadar nimamo drugega pravnega temelja za obdelavo?