Vse, kar morate vedeti o GDRP – še preden stopi v veljavo
6 min read
Od 25. maja 2018 bo v Evropski uniji strogo urejeno sodobno poslovanje, ki vključuje shranjevanje in obdelavo osebnih podatkov. Stara ureditev na evropski ravni velja od leta 1995, a je intenziven tehnološki razvoj prinesel velike spremembe tudi na področju varovanja podatkov, z njimi pa prihajajo tudi novi predpisi.
Pojav družbenih omrežij in globalna širitev komunikacijskih kanalov sta povzročila splošno digitalizacijo poslovnih tokov, ki so korporacijske sisteme spremenile v virtualni svet brez meja. To pomeni, da so naši osebni podatki praktično povsod na internetu (samo Facebook ima več kot milijardo uporabnikov, ki mu puščajo najrazličnejše informacije), nahajajo se v številnih podatkovnih bazah, ne le tisti od družbenih omrežij, ampak v različnih rezervacijskih sistemih, e-bankah, pri telekomunikacijskih operaterjih, kot tudi pri podjetjih, katerim smo tako ali drugače zaupali shranjevanje in obdelavo uporabniških podatkov. Posledično so naši podatki izredno dostopni, a tudi ranljivi. Evropska unija rešitev vidi v obliki uredbe – splošne uredbe o varstvu osebnih podatkov, ki jo bodo morala upoštevati vsa podjetja v Evropski uniji pri svojem B2B-poslovanju in transakcijah B2C.
Kaj je GDPR in zakaj prihaja prav zdaj?
Razlogi za uvedbo GDPR (splošne uredbe o varstvu podatkov) so večplastni. Ob upoštevanju potenciala, ki ga prinaša razvoj digitalnega gospodarstva, želi Evropska unija uporabnikom omogočiti, da natančneje nadzorujejo namen, za katerega se uporabljajo njihovi podatki, saj bi s tem okrepili njihovo zaupanje v digitalne ekosisteme.
Drugi cilj pa je zagotoviti pregledno pravno okolje z enim samim zakonom o varstvu podatkov za vse države članice Evropske unije. Po ocenah EK bi tako podjetja v EU skupaj prihranila kar 2,3 milijarde evrov letno.
Zakaj je GDPR pomemben? Če bi vas vprašali, ali želite, da ima nekdo na voljo vaše osebne podatke, ki jih lahko shrani in nato prodaja, bi bil vaš odgovor verjetno negativen. Vendar so ravno ti podatki pogosto predpogoj za uporabo storitev, ki jih nudijo podjetja prek družbenih omrežij, spletnih rezervacijskih sistemov ali storitev računalništva v oblaku. Seveda nobena od naštetih tehnologij ni obstajala leta 1995, ko je bilo področje varnosti podatkov nazadnje urejeno, je potreba po sprejetju novega zakona o varstvu podatkov več kot očitna.
Kakšne spremembe prinaša GDPR?
Namen GDPR je nadgraditi sedanje postopke za upravljanje osebnih podatkov z vrsto novih in strožjih zahtev. Podjetja se morajo zavedati, da prehod iz starega sistema v novega prinaša bolj celovit sistem pravil, da so kazni za neizpolnjevanje bodoče ureditve zelo visoke (tudi več milijonov evrov), zato je nujno, da uskladijo svoje poslovanje z zgoraj navedenimi predpisi.
Tisti, ki upravljajo s podatki, kot tudi tisti, ki jih obdelujejo, morajo biti temeljito seznanjeni z uredbo GDPR. Vloga upravljavca pripada katerikoli organizaciji (podjetju, dobrodelni ustanovi ali vladnemu organu) in vključuje smernice glede tega, kako in zakaj se osebni podatki obdelujejo, obdelovalec pa je lahko katerokoli tehnološko podjetje, specializirano za obdelavo podatkov. Naloga upravljavca je zagotovitev skladnosti z obdelovalcem, saj bo v primeru vdora v bazo podatkov (kršitev varovanja osebnih podatkov) v prihodnje veljala veliko večja odgovornost kot je do sedaj.
Tudi če se upravljavci in obdelovalci podatkov nahajajo zunaj ozemlja Evropske unije, so dolžni spoštovati uredbo GDPR, vse dokler imajo opravka z osebnimi podatki, ki pripadajo državljanom EU.
Kdaj in kako se obdelujejo podatki po GDPR?
Ko bo uredba začela veljati, morajo upravljavci podatkov zagotoviti pregledno in zakonito obdelavo podatkov, jasno pokazati namen obdelave in jih, ko jih več ne potrebujejo, tudi izbrisati. Kaj pravzaprav pomeni “zakonsko skladna” obdelava podatkov?
Za začetek naj povem, da je obdelava podatkov lahko zakonita le v primeru soglasja osebe, ki ji podatki pripadajo. Za razliko od pretekle “pasivne” prakse, ki temelji na uporabi “vnaprej označenih polj”, mora privolitev zdaj obstajati v obliki aktivnega, pozitivnega dejanja subjekta, z zmožnostjo, da ta svojo privolitev kadarkoli umakne. Če vaš trenutni model zbiranja in obdelave podatkov ne ustreza zahtevam GDPR, ga boste morali prilagoditi novim pravilom oziroma z dejavnostjo prekiniti.
V drugih primerih je priložnost za obdelavo podatkov spoštovanje pogodbenih ali pravnih obveznosti, zaščita interesov, ki so bistvenega pomena za preživetje podjetja, pa tudi doseganje javnega interesa ali preprečevanje goljufij. Za dostop do obdelave podatkov je treba izpolniti najmanj eno od zgoraj navedenih zahtev.
Kaj GDPR razume kot osebne podatke?
Odločitev o uvedbi GDPR je znatno razširila opredelitev osebnih podatkov, ki zdaj vključuje identifikatorje, kot so naslovi IP. Drugi podatki, ki se nanašajo na gospodarske, kulturne in zdravstvene podatke, bodo prav tako obravnavani kot osebni podatki, torej podatke, na podlagi katerih se lahko ugotovi identiteta osebe.
V skladu s tem lahko celo psevdonimi, odvisno od tega, kako enostavno ali težko je prepoznati identiteto nekoga, ki jih uporablja, pristanejo med osebnimi podatki. Tudi vsi podatki, ki so opredeljeni kot osebni podatki v skladu z veljavnim Zakonom o varstvu osebnih podatkov, ostajajo »nespremenjeni« tudi po začetku veljavnosti GDPR.
Pravica do dostopa do podatkov in “pravica do pozabe”
Subjekti lahko zahtevajo dostop do svojih podatkov v “razumnih” časovnih presledkih, na te zahteve morajo upravljavci odgovoriti v enem mesecu. Upravitelji in obdelovalci morajo subjektu zagotoviti čim bolj pregledno in jasno razlago, kako se zbirajo njihovi podatki, kaj počno z njimi in kako se obdelujejo. Poleg tega imajo subjekti pravico vedeti, zakaj se obdelujejo njihovi podatki, kako dolgo so (s)hranjeni in kdo jih lahko vidi, ter zahtevajo popravke, če opazijo, da so podatki nepravilni ali nepopolni.
Poleg pravice dostopa do svojih podatkov imajo subjekti pravico zahtevati, da se njihovi podatki izbrišejo, če niso več pomembni za namen, za katerega so bili zbrani – gre za t. i. “pravico do pozabe”. Zahtevek za brisanje podatkov je treba uresničiti, če je subjekt umaknil svojo privolitev za zbiranje podatkov ali če ni zadovoljen z načinom zbiranja podatkov. Po tem je upravljavec odgovoren za obveščanje drugih organizacij, na primer, Google, o potrebi po izbrisu povezav, ki vodijo do kopij danih podatkov, in morebitnih lastnih kopij.
Upravljavci morajo hraniti podatke v datotekah, kot npr. CSV, saj tako lažje omogočijo prenos entitete podatkov v drugo organizacijo, če tako subjekt zahteva.
Kaj se zgodi v primeru vdora v bazo podatkov?
Organizacije morajo obvestiti pristojni organ o vsakem vdoru in zlorabi podatkov in to storiti v 72 urah po odkritju. Dolžina roka je kratka, podjetje verjetno niti ne bo vedeli vseh podrobnosti napada, vendar pa mora pri prvem stiku s pristojnimi organi navesti naravo kompromitiranih podatkov, približno število potencialno oškodovanih uporabnikov in morebitne posledice zanje ter poročati o ukrepih, ki so bili sprejeti za sanacijo trenutnega stanja. Tukaj do izraza pridejo varnostne rešitve, organizacijam pomagajo odkrivati nezakonite aktivnosti na omrežju in upravljati odzive v kratkem času. Takšna rešitev med milijoni dogodkov v omrežju analizira tudi vedenje uporabnikov in opravlja korelacijo podatkov, s katero natančno ugotoviti kakršnekoli nepravilnosti in zagotoviti pravočasno zaščito.
Preden se podjetje obrne na pristojni organ, mora o zlorabi ali kraji podatkov obvestiti tudi uporabnike (subjekte). Kdor ne spoštuje z uredbo ali zakonom določenih rokov za obveščanje pristojnega organa o primeru ogrožanja varnosti, se lahko sooči z globo do 20 milijonov evrov oziroma 4 % letnega globalnega prometa, odvisno od tega, katera vrednost je višja.
Zavedati se velja, da bodo kazni sorazmerne varnostnim dogodkom. Če se izkaže, da je podjetje naredilo veliko za zaščito podatkov in uskladitev poslovanja z GDPR, bo to upošteval tudi informacijski pooblaščenec (oziroma Urad informacijskega pooblaščenca) in najverjetneje dodelil nižjo kazen, kot podjetjem, ki so za podatke skrbela malomarno.
GDPR in Slovenija
Slovenija pripravlja novo zakonsko podlago, ki bo skladna z uredbo GDPR. Skrb za varovanje osebnih podatkov na ravni podjetja bo zahtevalo tudi dvig kolektivne zavesti vodstva in zaposlenih o pomenu novih predpisov na poslovanje in oblikovanje ekipe zaposlenih, ki bo zadolžena za usklajevanje poslovanja z uredbo GDPR.
Matej Torkar, direktor podružnice Clico v Sloveniji, ki je eden večjih distributerjev omrežnih in varnostnih rešitev v jadranski regijo, pravi: “GDPR začne veljati že konec maja. Naša pozornost je usmerjena v izobraževanje trga in partnerstva s podjetji, ki se soočajo s posebnimi in kompleksnimi varnostnimi rešitvami, ki jih potrebujejo pri svojem neprekinjenem poslovanju. Clico je zagnal kompetenčni center, sestavljen iz vrhunskih varnostnih inženirjev, ki ljudem omogoča, da se podučijo v varovanju podatkov, aktualnih grožnjah in varnostnih rešitvah ter predpisih in obveznostih, ki jih prinaša uredba GDPR, in bodo pomenljivo vplivali na poslovanje podjetij.”
