Varstvo osebnih podatkov za mala podjetja
Če v okviru svoje dejavnosti zbirate podatke fizičnih oseb ali pa vaša storitev ali produkt celo temelji na uporabi osebnih podatkov, potem vedite, da trenutno to področje ureja Zakon o varstvu osebnih podatkov in Splošna uredba o varstvu podatkov (GDPR), ki vam v zvezi z obdelavo podatkov nalagata določene obveznosti.
Pri tem ne pozabite, da med osebne podatke ne štejemo le ime, priimek, naslov in EMŠO, ampak tudi npr. IP naslov, ID piškotka, RFID-oznake in druge identifikatorje.
Že pri zasnovi poslovnega procesa razmišljajte o tem, da obdelujte le toliko osebnih podatkov, kot je nujno, da pridobite veljavno soglasje uporabnika in ga podrobno obvestite o tem, kaj se bo s podatki dogajalo, s kom dalje delite zbrane podatke in da imate v tem primeru sklenjene primerne pogodbe s partnerji (tudi z različnimi oblačni ponudniki, ponudniki storitev hrambe ipd.).
Ker v zasebnem sektorju zbiranje in obdelava osebnih podatkov načeloma temelji na privolitvi posameznika, bodite pozorni na to, da bodo privolitve, ki jih boste zbirali od svojih strank:
- prostovoljne:
- privolitev mora temeljiti na resnični in ne le navidezni izbiri,
- posameznik mora imeti v vsakem trenutku možnost, da svojo privolitev na enostaven način umakne (o tem morate posameznika tudi sami obvestiti)
- privolitve morate zbirati za vsak namen oz. za vsako dejanje obdelave ločeno
- izvajanja pogodbe ne smete pogojevati s privolitvijo v obdelavo OP
- izrecne in nedvoumne: privolitev mora biti dana z nedvoumnim pritrdilnim dejanjem ali izjavo (molk ali vnaprej potrjeno okence ne štejejo kot ustrezna privolitev); biti morajo ločene od splošnih pogojev poslovanja
- informirane: privolitev mora biti v podpis predložena v razumljivi obliki, v jasnem in preprostem jeziku, pri čemer morate posameznika seznaniti s svojo identiteto in z nameni obdelave
- dokazljive: v kateremkoli trenutku morate biti zmožni dokazati privolitev v konkretno dejanje obdelave
Preverite obstoječe privolitve in če te niso bile pridobljene skladno z novo GDPR (ker so bila npr. pridobljena na podlagi vnaprej izpolnjenih potrditvenih okenc), ne pozabite pridobiti novih!
Če za obdelavo osebnih podatkov najemate zunanje izvajalce, se morate prepričati, da izbrano podjetje zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov, da bo obdelava podatkov skladna z GDPR. Določene klavzule v pogodbah s t.i. obdelovalcem so obvezne.
Dolžnosti glede vodenja katalogov obdelav podatkov (evidence dejavnosti obdelave) se z GDPR razširjajo še na obdelovalce.
GDPR prinaša obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov, in sicer mora upravljavec o kršitvi najpozneje v 72 urah obvestiti Informacijskega pooblaščenca. V določenih primerih mora o tem obvestiti tudi posameznike.
Zavedajte se pravic posameznikov, ki lahko zahtevajo seznanitev, omejitev, izbris, popravek, prenos podatkov, ugovor na obdelavo podatkov.
Če vaša dejavnost vključuje obsežno obdelavo osebnih podatkov (npr. računovodski servisi, ponudniki raznih IT rešitev), si na spletni strani Informacijskega pooblaščenca preberite več o vaših novih obveznostih po GDPR:
Komentarji / 0