Oglasno sporočilo
GDPR: General Data Protection Regulation oziroma Splošna uredba EU o varstvu podatkov
ZVOP-2: Zakon o varstvu osebnih podatkov, datum sprejetja 15. 12. 2022, datum objave v uradnem listu 27. 12. 2022, datum začetka veljavnosti 26. 1. 2023
Imamo uredbo, to je GDPR, ki velja že nekaj let, a je bila bolj brezzobi tiger kot karkoli drugega, in imamo Zakon o varstvu osebnih podatkov ZVOP-2, ki je začel veljati danes ob polnoči in šele daje pravi obraz tej uredbi. Zakaj potrebujemo poseben zakon, da bo uredba sploh lahko zaživela?
ZVOP-2 potrebujemo, ker je GDPR materialni zakon, to pomeni, da pove, kaj je dovoljeno, kaj ni dovoljeno, kako je treba določene stvari peljati, ZVOP-2 pa bo predvsem uredil procesni del, torej to, kako se obravnava kršitve, kako se vodi postopke, kdo je pristojen za določene postopke. To je v bistvu del, na katerega smo najbolj čakali, ker brez tega dela naš Informacijski pooblaščenec, ki bo tudi nadzorni organ, ni mogel peljati nobenega postopka, zato je v bistvu uredba GDPR obvisela v zraku. Ima pa ZVOP-2 tudi nekaj materialnih določb, ki dopolnjujejo GDPR.
Kakšen je torej od danes pravi obraz GDPR, ki je določil nova pravila glede varstva osebnih podatkov?
Globe so tiste, ki so prišle v življenje, in po GDPR-ju imamo predpisane višine glob do 20 milijonov evrov oziroma štiri odstotke letnega prometa, kar je maksimalna globa, ki je predpisana po GDPR. Je pa zanimivo, da je ZVOP-2 to še malo zaostril, ker so poleg glob po GDPR, ki se izrečejo pravnim osebam, dodali globe za odgovorne osebe pri pravnih osebah in globe za posameznike. To je sicer precej standardna praksa v Sloveniji, torej globa za pravno osebo in globa za odgovorno osebo. Je pa to dodatna zaostritev glede na GDPR, torej lahko poleg pravne osebe (podjetja), ki dobi globo, to dobi tudi odgovorna oseba, ponavadi je to direktor. So pa tudi te globe precej visoke, do 40 tisoč evrov za fizično osebo. Tudi tukaj je to kar zasoljeno.
In kaj moraš narediti, da dobiš tako visoko globo?
Zelo odvisno, recimo že za nepravilno obravnavo kršitev varstva osebnih podatkov oziroma za nepravilno obravnavo pravic posameznika je predpisana globa do 8000 evrov, potem imamo pa recimo predpisano globo do 36 tisoč evrov za nepravilno hrambo osebnih podatkov, kadar gre za posebno vrsto osebnih podatkov ali pa za veliko količino, če imamo torej zelo veliko bazo osebnih podatkov. Tudi zelo visoke kazni, nad 30 tisoč evrov, so predvidene za neustrezne prenose zbirk osebnih podatkov v tretje države.
Tu seveda govorimo zgolj o kaznih, ki jih predpisuje ZVOP-2, in ne o razponu, ki ga določa GDPR.
Poznava se dolgo in vem, da ste se kot pravnica, specializirana za varstvo osebnih podatkov, že dolgo veselili današnjega dne, ko bodo tigru zrasli prvi zobki, ki verjetno ne bodo mlečni. Zakaj ste se veselili s pravnega in zakaj z osebnega vidika kot potrošnica.
S pravnega vidika zato, ker živimo v dobi digitalizacije in so informacije, vključno z osebnimi podatki, ekstremno pomembne, to pa pomeni odgovornost, da to zakonodajno in pravno ustrezno opredelimo ter da s podatki podjetniki ustrezno ravnamo. Kot potrošniki pa smo v bistvu s tem do neke mere dobili nove pravice, novo opolnomočenje, da lahko kontroliramo svoje osebne podatke. In če nismo bili pozorni, kam so odhajali naši osebni podatki do zdaj, imamo po novem z GDPR-jem možnost, da od podjetij zahtevamo informacije, katere osebne podatke zbirajo, koliko časa, zakaj. Zanimiva je recimo tudi pravica o prenosljivosti osebnih podatkov, kjer lahko od določenega ponudnika zahtevamo, da naše osebne podatke prenese neposredno k drugemu ponudniku, tipičen primer bi bil recimo, da od enega trgovca zahtevamo, da prenese vse podatke o naših nakupih na drugega trgovca, ki smo ga sami izbrali, in tako naprej. Podobni primeri so telekomunikacije, to pomeni od enega ponudnika k drugemu. Zelo zanimiva, po drugi strani pa tudi občutljiva tema za podjetja, ker so ti podatki vredni zlata.
Seveda so to na neki način že poslovne skrivnosti.
Potem pa je še nekaj, kar je v bistvu zelo banalna zadeva in lahko mogoče pozovemo bralce tega intervjuja, naj to počnejo: izbiranje piškotkov. Torej z GDPR so se pojavile nove možnosti nastavitve piškotkov v obliki »sprejmi vse«, »zavrni vse«, »nastavi piškotke«. In po navadi nam gre ta »cookie banner« na živce in klikamo na »sprejmi vse«, zato da bomo čim prej dobili informacije, ki smo jih želeli, ampak po drugi strani pa naj bralci mogoče testirajo in poskusijo nastaviti piškotke ali pa zavrniti določene piškotke na spletnih straneh, ki jim ne ustrezajo, potem pa naj opazujejo, kako se njihov brskalnik spreminja. Učinek je lahko kar velik in s tem si lahko malo olajšamo brskanje po spletnih straneh.
Kot potrošniki v želji po nakupu in zaradi tempa življenja resnično nemalokrat prehitro zaupamo svoje podatke tretjim osebam; kako se nam to lahko maščuje in kako nas pred neželenimi posledicami varuje novi zakon?
Tu bi dodala, da je dobro, da se ljudje pozanimajo. Politika zasebnosti je precej uporaben dokument, ki bo potrošnikom povedal, kako odgovorna je ta spletna trgovina, kjer kupujejo. Če je tisti dokument neki lari fari ali pa sploh ne obstaja, potem se lahko zamislimo, ali so naši podatki res na varnem ali pa se bodo valjali v neki google docs tabeli, potem se bomo pa čudili, zakaj nam je nekdo kartico zlorabil. V bistvu vse te zlorabe, ki so zdaj v velikem porastu, so v veliki meri posledica neustreznega varovanja osebnih podatkov. GDPR prelaga odgovornost tako na podjetje kot na posameznike. Naša je odločitev, ali se bomo izobrazili in cenili svoje podatke, da bomo to upoštevali. Sicer bomo prišli v roke prvemu hekerju, ki bo na razpolago. Morali bomo spremeniti prioritete, bolj kot ne je mogoče vsak izdelek kupiti pri več ponudnikih, praktično nemogoče je, da bi imel samo en ponudnik neki izdelek. Pretehtati bomo morali svoje prioritete. Trajalo bo več let, so pa mlajše generacije bolj naklonjene temu, da bodo preverile, komu zaupati – in odločile se bodo za nekoga, ki ima te stvari urejene, ker jim je to pomembno.
Na kaj pa morajo biti po drugi strani zlasti pozorni podjetniki, ki obdelujejo osebne podatke, saj jih bodo določene poteze, ki so se pred tem marsikateremu zdele samoumevne, drago stale.
Prva stvar, ki bi jo bilo treba pri tem narediti, je, da se pregleda, kaj je bilo že narejeno za skladnost GDPR. GDPR je veljaven od leta 2018, imeli smo praktično dobra štiri leta premora. Tisti, ki še niso naredili nekih korakov, naj se tega nemudoma lotijo. Tisti, ki pa so naredili določene korake, pa morajo pogledati, kaj je bilo narejenega, saj jih čaka nadgradnja; to so pa te materialne spremembe, ki jih je uvedel ZVOP-2. So zelo specifične, recimo ena izmed njih je videonadzor, ki je bil popolnoma spremenjen z ZVOP-2 glede na ZVOP-1. Nekaj sprememb je recimo tudi pri biometriji, zelo zanimivo pa je, da je ZVOP-2 precej reguliral postopek uveljavljanja pravic posameznikov. Torej ko upravljalec prejme neko zahtevo posameznika, imamo posebej predpisano, kako mora biti ta odločitev upravljalca podana, kako ga bodo seznanili z razlogi, seveda mora biti tudi vključena informacija o možnosti pritožbe pri informacijskem pooblaščencu.
Poglejmo primer, ko je nekdo pošiljal prek aplikacije MailChimp in zbiral podatke, pa se zdaj zaradi ZVOP-2 odloči, da tega ne bo več počel. Ali je dovolj, da samo zbriše te elektronske naslove iz aplikacije MailChimp in morda tudi iz svoje baze ali mora še kaj druga narediti?
Če se bo odločil, da ne bo več pošiljal e-novic, potem enostavno izbriše baze, lahko obvesti posameznike, da e-novic ne bo več, tukaj ni nobenih zadržkov. To ni obvezno, je pa za odnos s kupci smiselno. Izbriše baze, preneha obdelovati za ta namen, treba je pobrisati celotno bazo in to je v bistvu to. Tega ni treba specifično definirati.
Seveda pa pošiljanje e-novic po ZVOP-2 nikakor ni prepovedano.
Česa natančno podjetniki v zvezi z osebnimi podatki ne smejo več delati, morda celo nekaterih stvari, ki so bili do zdaj del vsakdanje prakse, in zakaj? Kako morajo v takšnih primerih postopati po novem?
Največja sprememba je videonadzor. Treba bo prenoviti opozorilne table, ker zdajšnje ne ustrezajo več. Spremenjen je bil tudi maksimalni rok hrambe videoposnetkov, skrajšan je na eno leto, in treba bo počistiti naše baze z videoposnetki. Zanimivo je, da se vzpostavlja nov režim za videonadzor javnih površin, kjer je bila izrecno prepovedana uporaba biometrije in branja registrskih tablic, tako da tukaj je nekaj novih omejitev. In tu je še nova obveznost, to je dnevnik obdelave, ki je obvezen za bolj obsežne obdelave z avtomatiziranimi sredstvi, gre v bistvu za neko olajšano obliko revizijske sledi. Te dnevnike obdelave bo treba vzpostaviti, imajo pa upravljalci še dve leti časa od uveljavitve zakona, da to uredijo. Ker je to bolj tehnični poseg, je nekaj manevrskega prostora.
Ali lahko imaš stranke, ki so fizične osebe, shranjene v telefonu?
Lahko, telefonski imenik ni zbirka osebnih podatkov.
Če imaš recimo v neki preglednici seznam fizičnih ali pravnih oseb, s katerimi sodeluješ, torej imaš njihovo ime, priimek, firmo, spletno stran, telefon, mail itd., kako je s tem?
To pa je zbirka osebnih podatkov.
To je treba brisati za nazaj ali lahko imaš?
Treba je ugotoviti namen obdelave, pravno podlago. Če imamo ustrezen namen, ustrezno podlago, potem lahko osebne podatke obdelujemo, če pa tega nimamo, gre najbrž za nezakonito bazo, to je pa treba legalizirati ali izbrisati.
Torej moramo sprejeti neki dokument, s katerim opredelimo, da imamo to bazo med osebnimi podatki, da je usklajena?
V bistvu se po GDPR vedno gleda zbirka osebnih podatkov. Vsaka zbirka osebnih podatkov, to je pač seznam podatkov, ima neki namen. Recimo zbirka osebnih podatkov naročnikov na e-novice je tipična baza in tukaj imamo lahko različne pravne podlage. Recimo, da novice pošiljamo samo svojim naročnikom in smo se naslonili samo na zakon, ki nam to omogoča. Torej imamo pravno podlago, ki je zakon, imamo namen in to bazo lahko mirno uporabljamo naprej. Če tega nismo imeli urejenega, potem je to najlažje urediti s tako imenovano evidenco dejavnosti obdelave. Gre za institut, ki ga je vzpostavil že GDPR, torej načeloma bi moral biti že uveljavljen v vseh podjetjih. Če si predstavljamo, da je zbirka osebnih podatkov recimo vsebina knjige, potem je ta evidenca dejavnosti obdelave kazalo. Torej nam pove, kaj je v tej zbirki, za kaj jo lahko uporabljamo, kdo je odgovorna oseba, koliko časa jo hranimo. S temi zbirkami, evidencami potem dokazujemo, kaj počnemo z določeno zbirko osebnih podatkov.
Za konec, prosim, še vaš nasvet. Katere ukrepe naj od danes sprejme vsak podjetnik, če jih še ni?
Prvi ukrep mora biti pregled procesov, torej, kaj smo v tem času storili za skladnost z GDPR. Ali to, kar smo naredili, še velja, ali torej še ustreza dejanski praksi v podjetju ali smo samo nekaj nakopirali na spletno stran in držali pesti, da bo šlo čez? Kaj je potem treba posodobiti? Ali smo prepričani, da so te rešitve, ki jih imamo ali so na seznamu, res ustrezne? Torej pogledamo, ali ustrezajo GDPR-ju in ZVOP-2, torej oba zakona moramo nekako preučiti in slediti njunim smernicam. Predvsem je pomembno, da GDPR ne obstaja le na papirju. Če bomo samo spisali papirje, jih objavili na spletni strani in se potem čudili, da smo dobili kazen, to ne bo dobro. Te stvari je treba uporabiti v praksi, treba je popisati procese, pogledati, kje so tveganja, nasloviti ta tveganja, izobraziti svoje zaposlene, potem pa ta nivo, ki smo ga vzpostavili, držati. To so koraki v pravo smer in v tem primeru nimamo nobenih skrbi pred inšpektorjem. Je pa zagotovo bolje, da podjetniki to naredijo sami, kot da jim inšpektor da pobudo za to.
Roman Zajec
