Sreda, 21. 3. 2018, 19.14
6 let, 9 mesecev
Pirc Musar: V Sloveniji smo vajeni, da se vsega lotevamo tik pred zdajci #GDPR
"25. maja ne bo konec sveta in posameznik, če ni ravno zelo ozaveščen na področju varstva osebnih podatkov, ne bo čutil kakšnih drastičnih sprememb," o dnevu, ko v veljavo vstopa GDPR, razmišlja Nataša Pirc Musar iz odvetniške pisarne Pirc Musar, ki bo med osrednjimi govorniki na največji poslovni in networking konferenci v Sloveniji NetPRO.
Po štirih letih dolgih pogajanj je Evropski parlament določil dan 25. maj 2018 kot dan, ko v veljavo vstopa GDPR, uredba o varstvu osebnih podatkov.
Podjetja morajo ustrezno prilagoditi novi uredbi, v nasprotnem primeru pa jim grozijo visoke kazni.
"Nihče se uredbe ne bi smel bati. GDPR je predvsem priložnost, da se obdelava osebnih podatkov v organizacijah postavi na nove temelje, da odgovorni preverijo, ali osebne podatke obelujejo zakonito, da morda na novih pravilih najdejo nove poslovne priložnosti," razlaga Nataša Pirc Musar, strokovnjakinja za varstvo osebnih podatkov, nekdanja informacijska pooblaščenka in pravnica.
Pirc Musarjeva bo med osrednjimi govorniki na največji poslovni in networking konferenci v Sloveniji NetPRO, ki bo 6. aprila v Ljubljani.
Kako bo GDPR spremenil življenje ljudi? Oziroma kako bo spremenjena uredba vplivala na vsakdanjik posameznikov? Kje jo bomo opazili?
Petindvajsetega maja ne bo konec sveta in posameznik, če ni ravno zelo ozaveščen na področju varstva osebnih podatkov, ne bo čutil kakšnih drastičnih sprememb. Zagotovo pa bo opazil, da bo veliko podjetij od njega zahtevalo nove privolitve za obdelavo osebnih podatkov, saj stare, če niso skladne z GDPR (in večina jih ni), po 25. 5. ne bodo veljale več. V skladu z GDPR ima posameznik tudi več nadzora nad svojimi osebnimi podatki, saj GDPR od upravljavcev zbirk osebnih podatkov zahteva večjo preglednost predvsem pri pridobivanju privolitev.
Posameznik bo moral namreč v obdelavo podatkov privoliti aktivno, predoobljukana okenca so preteklost, po novem mora posameznik okence obkljukati sam, upravljavec pa mu mora jasno povedati, za katere namene bo obdeloval njegove osebne podatke, ko je seveda pravni temelj za obdelavo privolitev.
Privolitev bo morala biti granularna – kaj to pomeni? To pomeni, da ima posameznik pravico, da privoli (ali pa tudi ne) v vsak namen posebej, upravljavec pa dolžnost, da za privolitev zaprosi, ko presodi, da jo potrebuje, da nima drugega pravnega temelja (pogodba recimo, zakon, zakoniti interes ...). Privolitev torej ne bo veljala, če bo upravljavec več različnih namenov za obdelavo osebnih podatkov združil v eno samo možnost za tako imenovani opt-in.
GDPR bo začel veljati 25. maja 2018.
Kaj so glavne spremembe v GDPR v primerjavi s prejšnjo ureditvijo?
GDPR med obveznosti upravljavca in pravice posameznika prinaša precej novosti, med njimi pravico do pozabe, pravico do prenoslljivosti osebnih podatkov v strojno berljivem formatu, obveznost upravljavca izvesti presojo vplivov na varstvo osebnih podatkov, imenovati pooblaščeno osebo za varstvo osebnih podatkov (DPO – Data Protection Officer).
Prav ta zadnja je ena od bolj pomembnih novosti in DPO bodo imeli pomembno in odgovorno nalogo v podjetjih in organih javnega sektorja pri zagotavljanju skladnosti z GDPR. DPO pa nedvomno ne bodo potrebovala vsa podjetja, temveč le tista, ki najbolj obsežno in invazivno posegajo v zasebnost posameznika (HRM-agencije, trgovci, ki imajo klube zvestobe, banke, zavarovalnice ...), in vsi organi javnega sektorja.
Bo kršitev kršenja osebnih podatkov zaradi GDPR manj? Zakaj?
Dvomim, da jih bo kaj manj. Po izkušnjah iz svoje prakse vam lahko zatrdim, da velika večina podjetij ne bo skladna do maja in da jih veliko ni skladnih že z zdaj veljavno zakonodajo. Upam, da ne bo samo grožnja z visokimi globami tisti dejavnik, ki bo speče organizacije prebudila.
Kdo se boji uvedbe GDPR?
Nihče se uredbe ne bi smel bati. GDPR je predvsem priložnost, da se obdelava osebnih podatkov v organizacijah postavi na nove temelje, da odgovorni preverijo, ali osebne podatke obdelujejo zakonito, da morda na novih pravilih najdejo nove poslovne priložnosti, da oddelki trženja zakonito preidejo iz nekega klasičnega ciljnega trženja v sofisticirano in v digitalni dobi enostavno, a zelo invazivno vedenjsko oglaševanje, ki ga brez profiliranja posameznika ni mogoče izvajati.
Bodo po vašem mnenju slovenska podjetja dovolj hitra, da bodo uredila svoje zbirke v skladu z novo zakonodajo?
"14 dni pred začetkom veljave novih pravil so vsi lastniki spletnih strani noreli in preklinjali, čeprav so imeli za prilagoditev dve leti časa."
Ne. Nekako smo v Sloveniji navajeni, de se vsega lotevamo tik pred zdajci. Podobno je bilo pri uveljavitvi obveznega poročanja na vseh spletnih straneh o piškotkih. 14 dni pred začetkom veljave novih pravil so vsi lastniki spletnih strani noreli in preklinjali, čeprav so imeli za prilagoditev dve leti časa.
Podobno se dogaja zdaj – GDPR je bila namreč sprejet že aprila 2016, torej smo vsi znova imeli dve leti časa za prilagajanje procesov obdelav osebnih podatkov na nova pravila, velika večina pa se tega dva meseca pred dnevom D sploh še lotila ni.
No, če sem malce kritična, dve leti je imela časa tudi slovenska vlada, da pripravi izvedbeno zakonodajo, pa je novi ZVOP-2 (Zakon o varstvu osebnih podatkov) šele pred nekaj dnevi romal v vladno proceduro. Če ne bo sprejet pravočasno, bodo podjetja imela precej težav.
Kaj svetujete posameznikom (uporabnikom, potrošnikom), da naredijo maja, ko bo GDPR začel veljati?
O prilagoditvah na nova pravila bi morali začeti razmišljati že davno. A bolje pozno kot nikoli – nikakor pa ne svetujem kakega divjanja, saj v takšnem primeru prilagoditve ne bodo narejene kakovostno.
In še na eno stvar bi želela opozoriti. Na trgu je mnogo ponudnikov, ki so GDPR-strokovnjaki postali dobesedno čez noč in ponujajo rešitve in pravne nasvete, ki so popolnoma zgrešeni ter kažejo na to, da znanja preprosto nimajo.
Največja cvetka enega je na primer ta, da morajo za vsako obdelavo osebnih podatkov upravljavci pridobiti privolitev v skladu z novimi zahtevami GDPR – to je seveda povsem napačen nasvet, saj je pravnih temeljev za obdelavo več in privolitev tako še zdaleč ni edina. Spet neki drugi "strokovnjak" je stranki svetoval, da mora imeti DPO, ker ima v svojih zbirkah davčno številko, ki naj bi spadala med občutljive oziroma po novem med posebne vrste osebnih podatkov. No, tudi to ni res. Takšni "svetovalci" vam bodo naredili več škode kot koristi.
Pomislite samo na tale stavek: ali bi dovolili dermatologu, da vas operira na srcu? Verjetno ne.
3