Številni ponudniki te dni pošiljajo naokrog pisna sporočila in organizirajo predavanja, da je koncem leta skrajni rok za izvedbo ukrepov s področja uveljavitve uredbe in direktive EU s področja varstva osebnih podatkov.
Omenjeno le delno drži. Koncem leta namreč ni nobenega roka – ta je vezan na drugo polovico maja 2018. Je pa res, da že obstoječa zakonodaja (torej tista, ki še velja in še ni spremenjena zaradi te uredbe) od vas zahteva izvedbo določenih ukrepov, pravilnikov.
Uredba EU sicer velja neposredno, vendar v več točkah omogoča državam članicam, da jo implementirajo – to celo zahteva od države. V tistih delih, kjer je jasna, pa zakon ne bo urejal. Drugače je z direktivo – v tej je načeloma potreben zakon za izvedbo, razen v delih, kjer je direktiva jasna in zahteva določeno ravnanje.
Drakonske ogromne kazni
Nekateri ponudniki poskušajo vzpostaviti okoliščino stiske in to podkrepijo z večmiljonskimi kaznimi. Uredba sicer res določa okvir kaznovanja, vendar kaznovalno politiko prepušča državam članicam (torej noveli Zakona o varstvo osebnih podatkov – ZVOP-2, ki v času pisanja prispevka še ni sprejet). Razlog je preprost – nekatere države EU ne poznajo upravnih kazni.
Kazni žal ne bodo nizke. Se pa pri njihovem izrekanju upošteva načelo sorazmernosti. To pa vas nikakor ne odrešuje, da v primeru obiska inšpektorja upate, da četudi nimate nič urejeno, ne boste dobili kazni. Inšpektor bo prizanesljiv, če boste kaj pozabili, in bo napaka manjša in boste takrat verjetno odnesli z opozorilom/opominom oziroma napotkom za odpravo, s poročilom o izvedbi.
Popolna sprememba sistema varovanja osebnih podatkov
Sistem nikakor ni postavljen na glavo in nanovo. Je pa kar nekaj novosti. Če imate po obstoječi zakonodaji vse urejeno, bodo spremembe dobrodošle in manjše. Če imate sistem šepav ali pa ga nimate, pa padete v skupino, kjer je več zahtev, je lahko to za podjetje šok. Najbolje je torej začeti počasi, a takoj – ugotovite ali spadate med tiste, ki so zavezani za malo obveznosti, veliko obveznosti ali pa spadate med obdelovalce občutljivih podatkov (oziroma drugače, ali ste v beli, sivi ali črni coni). Za nekatere bo šele zakon določil, kakšna je stopnja obveznosti, vendar se pričakuje, da bo zakonodajalec enako strog kot uredba in direktiva, torej da generalnih odpustkov za manjša podjetja ne bo.
Manjše podjetje – malo zaposlenih – malo obveznosti
Uredba in direktiva izjem za mala podjetja neposredno ne poznata. Tako je lahko tudi malo podjetje, ki se ukvarja z profiliranjem kupcev in ima zgolj dva zaposlena podvrženo visokim zahtevam. Obenem pa je lahko veliko podjetje, ki prodaja zgolj pravnim osebam, podvrženo nizkim zahtevam. Bistvo je v obsegu poslovanja z osebnimi podatki in glavni (primarni) dejavnosti podjetja.
Kaj narediti še letos? Opomnik!
Konec leta je čas za razmislek o tem, kaj, kako in kje zbirate osebne podatke. Če tega ne veste, boste primorani plačati, da vam to analizo naredi nekdo zunanji.
Druga točka je določitev načela omejitve tveganj in sorazmernosti – vsi zaposleni verjetno ne potrebujejo dostopa do osebnih podatkov vseh.
Tretja točka je priprava pravilnikov, shem, protokolov in izobraževanj.
Četrta točka je čakanje na nov zakon in polletne revizije sistema.
Potrebujete pooblaščenca za varstvo osebnih podatkov?
DA in NE - Odvisno.
Da, v primeru:
- V kolikor postopkom, pravilom niste kos;
-Da je vaša glavna dejavnost obdelava osebnih podatkov (klasični primer obračun plač, računovodenje, obdelava baz podatkov z osebnimi imeni, naslovi, ipd)
-V kolikor nimate še ničesar – vsekakor vsaj za začetek;
NE, v primeru:
-Da osebnih podatkov sploh ne obdelujete (to je sicer pogosto zmotna trditev – vse kar ima ime in priimek je lahko že osebni podatek in nosilec osebnih podatkov);
-Da je za vas v uredbi izrecno navedena izjema (redko in še te se tolmačijo ozko) in zakon ne bo drugače uredil;
Verjetno Ne, v primeru (predlagamo previdnost in spremljanje sprememb politike varovanja s strani Informacijskega pooblaščenca in sprejem zakonodaje s strani Državnega zbora)
-Da ne vaša dejanska dejavnost, ne registrirana dejavnost ne vsebuje obdelave podatkov, število hranjenih podatkov je malo in še te potrebujete le za zadovolitev zakonskih zahtev;
-Da podatke, ki jih hranite ne hranite ne pretirano dolgo, jih ne obdelujete posebej kompleksno in imate za hrambo zakonsko podlago ali izrecno pisno soglasje posameznika, sistem varstva osebnih podatkov pa imate že urejen;
Preveč zmede?
V primeru, da se iz vsega ne znajdete, se oglasite na sestanku, kjer se bomo pogovorili o tem, kaj počnete in na kakšen način. To bo izhodišče za presojo, kaj sploh potrebujete. To bo za vas minimalen strošek in vložek časa, denarja in stresa. Bolje to, kot da kupite ogromen drag produkt varovanja osebnih podatkov, ki bo potlej še problematičen v primeru nadzora inšpektorja, ker ga ne boste znali niti razložiti, še manj pa uporabljati.
Glej tudi - Blog članki o ustavnih pravicah, temeljnih svoboščinah in državni ureditvi
Opozorilo:
Prispevki so namenjeni kritičnemu razmisleku in ne predstavljajo uradnih stališč, nasvetov ali priporočil pisarne. Prispevki niso nadomestilo za strokovno pomoč v živo in ne predstavljajo pravnih nasvetov ali vstopa v mandatno razmerje. Pred ukrepanjem se vedno posvetujte z odvetnikom. Pisarna ne prevzema odgovornosti za ukrepanja, dejanja in aktivnosti, ki bi jih izvedli na podlagi te objave ali vaše interpretacije objave. Vsakršno odgovornost izključujemo in zavračamo.