{"id":4629,"date":"2018-03-25T10:08:18","date_gmt":"2018-03-25T09:08:18","guid":{"rendered":"http:\/\/tehnokrat.si\/?p=4629"},"modified":"2018-04-13T10:12:03","modified_gmt":"2018-04-13T09:12:03","slug":"vse-kar-morate-vedeti-o-gdrp-se-preden-stopi-v-veljavo","status":"publish","type":"post","link":"https:\/\/tehnokrat.si\/?p=4629","title":{"rendered":"Vse, kar morate vedeti o GDRP \u2013 \u0161e preden stopi v veljavo"},"content":{"rendered":"

Od 25. maja 2018 bo v Evropski uniji strogo urejeno sodobno poslovanje, ki vklju\u010duje shranjevanje in obdelavo osebnih podatkov. Stara ureditev na evropski ravni velja od leta 1995, a je intenziven tehnolo\u0161ki razvoj prinesel velike spremembe tudi na podro\u010dju varovanja podatkov, z njimi pa prihajajo tudi novi predpisi.<\/strong><\/p>\n

Pojav dru\u017ebenih omre\u017eij in globalna \u0161iritev komunikacijskih kanalov sta povzro\u010dila splo\u0161no digitalizacijo poslovnih tokov, ki so korporacijske sisteme spremenile v virtualni svet brez meja. To pomeni, da so na\u0161i osebni podatki prakti\u010dno povsod na internetu (samo Facebook ima ve\u010d kot milijardo uporabnikov, ki mu pu\u0161\u010dajo najrazli\u010dnej\u0161e informacije), nahajajo se v \u0161tevilnih podatkovnih bazah, ne le tisti od dru\u017ebenih omre\u017eij, ampak v razli\u010dnih rezervacijskih sistemih, e-bankah, pri telekomunikacijskih operaterjih, kot tudi pri podjetjih, katerim smo tako ali druga\u010de zaupali shranjevanje in obdelavo uporabni\u0161kih podatkov. Posledi\u010dno so na\u0161i podatki izredno dostopni, a tudi ranljivi. Evropska unija re\u0161itev vidi v obliki uredbe \u2013 splo\u0161ne uredbe o varstvu osebnih podatkov, ki jo bodo morala upo\u0161tevati vsa podjetja v Evropski uniji pri svojem B2B-poslovanju in transakcijah B2C.<\/p>\n

\"\"<\/a><\/p>\n

Kaj je GDPR in zakaj prihaja prav zdaj?<\/strong><\/p>\n

Razlogi za uvedbo GDPR (splo\u0161ne uredbe o varstvu podatkov) so ve\u010dplastni. Ob upo\u0161tevanju potenciala, ki ga prina\u0161a razvoj digitalnega gospodarstva, \u017eeli Evropska unija uporabnikom omogo\u010diti, da natan\u010dneje nadzorujejo namen, za katerega se uporabljajo njihovi podatki, saj bi s tem okrepili njihovo zaupanje v digitalne ekosisteme.<\/p>\n

Drugi cilj pa je zagotoviti pregledno pravno okolje z enim samim zakonom o varstvu podatkov za vse dr\u017eave \u010dlanice Evropske unije. Po ocenah EK bi tako podjetja v EU skupaj prihranila kar 2,3 milijarde evrov letno.<\/p>\n

Zakaj je GDPR pomemben? \u010ce bi vas vpra\u0161ali, ali \u017eelite, da ima nekdo na voljo va\u0161e osebne podatke, ki jih lahko shrani in nato prodaja, bi bil va\u0161 odgovor verjetno negativen. Vendar so ravno ti podatki pogosto predpogoj za uporabo storitev, ki jih nudijo podjetja prek dru\u017ebenih omre\u017eij, spletnih rezervacijskih sistemov ali storitev ra\u010dunalni\u0161tva v oblaku. Seveda nobena od na\u0161tetih tehnologij ni obstajala leta 1995, ko je bilo podro\u010dje varnosti podatkov nazadnje urejeno, je potreba po sprejetju novega zakona o varstvu podatkov ve\u010d kot o\u010ditna.<\/p>\n

Kak\u0161ne spremembe prina\u0161a GDPR?<\/strong><\/p>\n

Namen GDPR je nadgraditi sedanje postopke za upravljanje osebnih podatkov z vrsto novih in stro\u017ejih zahtev. Podjetja se morajo zavedati, da prehod iz starega sistema v novega prina\u0161a bolj celovit sistem pravil, da so kazni za neizpolnjevanje bodo\u010de ureditve zelo visoke (tudi ve\u010d milijonov evrov), zato je nujno, da uskladijo svoje poslovanje z zgoraj navedenimi predpisi.<\/p>\n

Tisti, ki upravljajo s podatki, kot tudi tisti, ki jih obdelujejo, morajo biti temeljito seznanjeni z uredbo GDPR. Vloga upravljavca pripada katerikoli organizaciji (podjetju, dobrodelni ustanovi ali vladnemu organu) in vklju\u010duje smernice glede tega, kako in zakaj se osebni podatki obdelujejo, obdelovalec pa je lahko katerokoli tehnolo\u0161ko podjetje, specializirano za obdelavo podatkov. Naloga upravljavca je zagotovitev skladnosti z obdelovalcem, saj bo v primeru vdora v bazo podatkov (kr\u0161itev varovanja osebnih podatkov) v prihodnje veljala veliko ve\u010dja odgovornost kot je do sedaj.<\/p>\n

\"\"<\/a><\/p>\n

Tudi \u010de se upravljavci in obdelovalci podatkov nahajajo zunaj ozemlja Evropske unije, so dol\u017eni spo\u0161tovati uredbo GDPR, vse dokler imajo opravka z osebnimi podatki, ki pripadajo dr\u017eavljanom EU.<\/p>\n

Kdaj in kako se obdelujejo podatki po GDPR?<\/strong><\/p>\n

Ko bo uredba za\u010dela veljati, morajo upravljavci podatkov zagotoviti pregledno in zakonito obdelavo podatkov, jasno pokazati namen obdelave in jih, ko jih ve\u010d ne potrebujejo, tudi izbrisati. Kaj pravzaprav pomeni “zakonsko skladna” obdelava podatkov?<\/p>\n

Za za\u010detek naj povem, da je obdelava podatkov lahko zakonita le v primeru soglasja osebe, ki ji podatki pripadajo. Za razliko od pretekle “pasivne” prakse, ki temelji na uporabi “vnaprej ozna\u010denih polj”, mora privolitev zdaj obstajati v obliki aktivnega, pozitivnega dejanja subjekta, z zmo\u017enostjo, da ta svojo privolitev kadarkoli umakne. \u010ce va\u0161 trenutni model zbiranja in obdelave podatkov ne ustreza zahtevam GDPR, ga boste morali prilagoditi novim pravilom oziroma z dejavnostjo prekiniti.<\/p>\n

V drugih primerih je prilo\u017enost za obdelavo podatkov spo\u0161tovanje pogodbenih ali pravnih obveznosti, za\u0161\u010dita interesov, ki so bistvenega pomena za pre\u017eivetje podjetja, pa tudi doseganje javnega interesa ali prepre\u010devanje goljufij. Za dostop do obdelave podatkov je treba izpolniti najmanj eno od zgoraj navedenih zahtev.<\/p>\n

Kaj GDPR razume kot osebne podatke?<\/strong><\/p>\n

Odlo\u010ditev o uvedbi GDPR je znatno raz\u0161irila opredelitev osebnih podatkov, ki zdaj vklju\u010duje identifikatorje, kot so naslovi IP. Drugi podatki, ki se nana\u0161ajo na gospodarske, kulturne in zdravstvene podatke, bodo prav tako obravnavani kot osebni podatki, torej podatke, na podlagi katerih se lahko ugotovi identiteta osebe.<\/p>\n

V skladu s tem lahko celo psevdonimi, odvisno od tega, kako enostavno ali te\u017eko je prepoznati identiteto nekoga, ki jih uporablja, pristanejo med osebnimi podatki. Tudi vsi podatki, ki so opredeljeni kot osebni podatki v skladu z veljavnim Zakonom o varstvu osebnih podatkov, ostajajo \u00bbnespremenjeni\u00ab tudi po za\u010detku veljavnosti GDPR.<\/p>\n

\"\"<\/a><\/p>\n

Pravica do dostopa do podatkov in “pravica do pozabe”<\/strong><\/p>\n

Subjekti lahko zahtevajo dostop do svojih podatkov v “razumnih” \u010dasovnih presledkih, na te zahteve morajo upravljavci odgovoriti v enem mesecu. Upravitelji in obdelovalci morajo subjektu zagotoviti \u010dim bolj pregledno in jasno razlago, kako se zbirajo njihovi podatki, kaj po\u010dno z njimi in kako se obdelujejo. Poleg tega imajo subjekti pravico vedeti, zakaj se obdelujejo njihovi podatki, kako dolgo so (s)hranjeni in kdo jih lahko vidi, ter zahtevajo popravke, \u010de opazijo, da so podatki nepravilni ali nepopolni.<\/p>\n

Poleg pravice dostopa do svojih podatkov imajo subjekti pravico zahtevati, da se njihovi podatki izbri\u0161ejo, \u010de niso ve\u010d pomembni za namen, za katerega so bili zbrani \u2013 gre za t. i. “pravico do pozabe”. Zahtevek za brisanje podatkov je treba uresni\u010diti, \u010de je subjekt umaknil svojo privolitev za zbiranje podatkov ali \u010de ni zadovoljen z na\u010dinom zbiranja podatkov. Po tem je upravljavec odgovoren za obve\u0161\u010danje drugih organizacij, na primer, Google, o potrebi po izbrisu povezav, ki vodijo do kopij danih podatkov, in morebitnih lastnih kopij.<\/p>\n

Upravljavci morajo hraniti podatke v datotekah, kot npr. CSV, saj tako la\u017eje omogo\u010dijo prenos entitete podatkov v drugo organizacijo, \u010de tako subjekt zahteva.<\/p>\n

Kaj se zgodi v primeru vdora v bazo podatkov?<\/strong><\/p>\n

Organizacije morajo obvestiti pristojni organ o vsakem vdoru in zlorabi podatkov in to storiti v 72 urah po odkritju. Dol\u017eina roka je kratka, podjetje verjetno niti ne bo vedeli vseh podrobnosti napada, vendar pa mora pri prvem stiku s pristojnimi organi navesti naravo kompromitiranih podatkov, pribli\u017eno \u0161tevilo potencialno o\u0161kodovanih uporabnikov in morebitne posledice zanje ter poro\u010dati o ukrepih, ki so bili sprejeti za sanacijo trenutnega stanja. Tukaj do izraza pridejo varnostne re\u0161itve, organizacijam pomagajo odkrivati nezakonite aktivnosti na omre\u017eju in upravljati odzive v kratkem \u010dasu. Tak\u0161na re\u0161itev med milijoni dogodkov v omre\u017eju analizira tudi vedenje uporabnikov in opravlja korelacijo podatkov, s katero natan\u010dno ugotoviti kakr\u0161nekoli nepravilnosti in zagotoviti pravo\u010dasno za\u0161\u010dito.<\/p>\n

Preden se podjetje obrne na pristojni organ, mora o zlorabi ali kraji podatkov obvestiti tudi uporabnike (subjekte). Kdor ne spo\u0161tuje z uredbo ali zakonom dolo\u010denih rokov za obve\u0161\u010danje pristojnega organa o primeru ogro\u017eanja varnosti, se lahko soo\u010di z globo do 20 milijonov evrov oziroma 4 % letnega globalnega prometa, odvisno od tega, katera vrednost je vi\u0161ja.<\/p>\n

\"\"<\/a><\/p>\n

Zavedati se velja, da bodo kazni sorazmerne varnostnim dogodkom. \u010ce se izka\u017ee, da je podjetje naredilo veliko za za\u0161\u010dito podatkov in uskladitev poslovanja z GDPR, bo to upo\u0161teval tudi informacijski poobla\u0161\u010denec (oziroma Urad informacijskega poobla\u0161\u010denca) in najverjetneje dodelil ni\u017ejo kazen, kot podjetjem, ki so za podatke skrbela malomarno.<\/p>\n

GDPR in Slovenija<\/strong><\/p>\n

Slovenija pripravlja novo zakonsko podlago, ki bo skladna z uredbo GDPR. Skrb za varovanje osebnih podatkov na ravni podjetja bo zahtevalo tudi dvig kolektivne zavesti vodstva in zaposlenih o pomenu novih predpisov na poslovanje in oblikovanje ekipe zaposlenih, ki bo zadol\u017eena za usklajevanje poslovanja z uredbo GDPR.<\/p>\n

Matej Torkar, direktor podru\u017enice Clico v Sloveniji, ki je eden ve\u010djih distributerjev omre\u017enih in varnostnih re\u0161itev v jadranski regijo, pravi: “GDPR za\u010dne veljati \u017ee konec maja. Na\u0161a pozornost je usmerjena v izobra\u017eevanje trga in partnerstva s podjetji, ki se soo\u010dajo s posebnimi in kompleksnimi varnostnimi re\u0161itvami, ki jih potrebujejo pri svojem neprekinjenem poslovanju. Clico je zagnal kompeten\u010dni center, sestavljen iz vrhunskih varnostnih in\u017eenirjev, ki ljudem omogo\u010da, da se podu\u010dijo v varovanju podatkov, aktualnih gro\u017enjah in varnostnih re\u0161itvah ter predpisih in obveznostih, ki jih prina\u0161a uredba GDPR, in bodo pomenljivo vplivali na poslovanje podjetij.”<\/p>\n","protected":false},"excerpt":{"rendered":"

Od 25. maja 2018 bo v Evropski uniji strogo urejeno sodobno poslovanje, ki vklju\u010duje shranjevanje…<\/p>\n","protected":false},"author":1,"featured_media":4631,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[1333,2791,2803,281,2792,96,2802,2613,2805,2800,2801,2804],"class_list":["post-4629","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","tag-analiza","tag-clico","tag-drzavljani","tag-eu","tag-gdpr","tag-kazen","tag-obdelava","tag-osebni-podatki","tag-pravica-do-pozabe","tag-uredba","tag-varovanje","tag-zvop"],"featured_image_urls":{"full":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",1920,1280,false],"thumbnail":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona-150x150.jpg",150,150,true],"medium":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona-300x200.jpg",300,200,true],"medium_large":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona-768x512.jpg",640,427,true],"large":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona-1024x683.jpg",640,427,true],"1536x1536":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",1536,1024,false],"2048x2048":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",1920,1280,false],"newsphere-slider-full":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",1080,720,false],"newsphere-featured":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",1024,683,false],"newsphere-medium":["https:\/\/tehnokrat.si\/wp-content\/uploads\/2018\/04\/GDPR-telefona.jpg",570,380,false]},"author_info":{"display_name":"Miran","author_link":"https:\/\/tehnokrat.si\/?author=1"},"category_info":"Informacijske tehnologije<\/a>","tag_info":"Informacijske tehnologije","comment_count":"0","_links":{"self":[{"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/posts\/4629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4629"}],"version-history":[{"count":1,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/posts\/4629\/revisions"}],"predecessor-version":[{"id":4634,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/posts\/4629\/revisions\/4634"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=\/wp\/v2\/media\/4631"}],"wp:attachment":[{"href":"https:\/\/tehnokrat.si\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tehnokrat.si\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}