Če smo v prejšnjih dneh ob opisu osnov o GDPR pritegnili vašo pozornost, potem je sedaj čas, da stvari zapišemo, predstavimo, obrazložimo podrobneje. V vsakem primeru se vas uredba dotika, če obdelujete osebne podatke, ne glede na to ali ste veliko ali malo podjetje. Dovolj je že, da zbirate elektronske naslove in pošiljate pošto svojim naročnikom, kupcem itd. Nekatere odločbe GDPR za vas ne bodo veljale le v primeru, če obdelava podatkov ni med temeljnimi dejavnostmi podjetja.
25. maj je že zelo blizu - #gdpr 1. del
Kaj pomeni GDPR? - #gdpr 2. del
In kaj vse štejemo med osebne podatke? Osebni podatek je katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Posameznik je tako lahko določljiv z:
- imenom,
- priimkom,
- naslovom,
- e-pošto,
- telefonsko številko,
- IP-naslovom,
- uporabniškim imenom in
- spletnimi identifikatorji.
Med »občutljive« podatke pa štejemo še:
- zdravstvene podatke
- podatke, ki razkrivajo rasno, etnično pripadnost, spolno usmerjenost, verska prepričanja itd.
Uredba tudi določa, da je obdelava osebnih podatkov zakonita le v primeru, da je izpolnjen eden izmed šestih pogojev:
1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo osebnih podatkov v enega ali več določenih namenov;
2. obdelava je potrebna za izvajanje pogodbe;
3. obdelava je potrebna za izpolnitev zakonske obveznosti;
4. obdelava je potrebna za zaščito življenjskih interesov posameznika;
5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
6. obdelava je potrebna zaradi legitimnih interesov.
Kot smo že omenili, je zbiranje osebnih podatkov možno le na podlagi privolitve oziroma soglasja. Tako velja podariti, da če posameznik zgolj odkljuka »DA« to ni zadostna privolitev. Skladno z novo evropsko splošno uredbo je v primeru, da je privolitev jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem, ki vsebuje informacijo o identiteti upravljalca in namenu obdelave posameznih osebnih podatkov. Iz privolitve mora jasno izhajati, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu. Kar pa je zelo pomembno izpostaviti je, da molk ni privolitev. V podjetju zaradi tega preverite, če so vaše trenutne privolitve skladne z GDPR. V primeru, da niso, jih morate pridobiti še enkrat. Pri tem pa se pri zbiranju osebnih podatkov omejite le na tiste osebne podatke, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Privolitev je lahko dana pisno, z elektronskimi sredstvi, velja tudi ustna izjava. Vendar pa morate vedeti, da morate biti sposobni dokazati, da ste privolitev zares dobili.
Viri: - Varovanje podatkov, priloga časnika Finance, 19.10.2017
- 10 vprašanj in odgovorov o GDPR, Finance, 19.4.2018
