Kaj GDPR prinaša obrtnikom in podjetnikom?
Avtor: Mag. Nina Scortegagna Kavčnik
Brez zakona o varstvu osebnih podatkov (ZVOP-2) se bo evropska uredba o varstvu osebnih podatkov (GDPR) od 25. maja 2018 dalje uporabljala neposredno.
V nadaljevanju bomo na preprost način prikazali, kaj pravzaprav GDPR za obrtnike in podjetnike prinaša. Pri tem pa gre opozoriti, da imamo v Sloveniji zakonodajo na področju varstva osebnih podatkov že od leta 2005. V splošni javnosti se je v zadnje pol leta ustvarilo zmotno prepričanje, da bo od 25. maja vse drugače zaradi GDPR, vendar to povsem ne drži. Trenutno veljavni ZVOP-1 že sedaj obrtnikom in podjetnikom nalaga številne obveznosti, GDPR pa nekatere izmed njih le dopolnjuje, predvsem pa prinaša več pravic fizičnim osebam.
- Katero podjetje/organizacija mora imenovati pooblaščeno osebo za varstvo podatkov (DPO)?
DPO morajo imenovati:
- Javni organi in telesa (trenutno so po ZVOP-1 to državni organi, organi samoupravnih lokalnih skupnosti, nosilci javnih pooblastil, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi in samoupravne narodne skupnosti).
- Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati.
Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe, kadrovske agencije, spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.), upravljanje telekomunikacijskega omrežja, zagotavljanje telekomunikacijskih storitev, ponovno ciljanje prek e-pošte, dejavnosti trženja, ki temeljijo na podatkih, oblikovanje profilov in točkovanje za namene ocene tveganja (npr. zaradi kreditnega točkovanja, določitve zavarovalnih premij, preprečevanja goljufij, odkrivanja pranja denarja), sledenje geografskemu položaju, na primer z mobilnimi napravami, programi zvestobe, oglaševanje na podlagi vedenjskih vzorcev, spremljanje podatkov o dobrem počutju, telesni pripravljenosti in zdravju prek nosljivih naprav, sistem televizije zaprtega kroga, povezane naprave, npr. pametni števci, pametni avtomobili, avtomatizacija doma itd.
Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati DPO.
Primeri obsežne obdelave vključujejo:
- obdelavo podatkov o bolnikih s strani bolnišnice v okviru običajnega poslovanja;
- obdelavo potovalnih podatkov posameznikov, ki uporabljajo sistem javnega mestnega prevoza (npr. sledenje prek vozovnic);
- obdelavo podatkov o zemljepisnem položaju strank mednarodne verige hitre prehrane v realnem času za statistične namene s strani obdelovalca, specializiranega za zagotavljanje teh storitev;
- obdelavo podatkov o strankah s strani zavarovalnice ali banke v okviru običajnega poslovanja;
- obdelavo osebnih podatkov za oglaševanje na podlagi vedenjskih vzorcev prek iskalnika in
- obdelavo podatkov (vsebine, prometa, položaja) s strani ponudnikov telefonskih ali internetnih storitev.
DPO ne more biti zastopnik podjetja/organizacije.
- Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi.
Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.
Kadar podjetje prostovoljno imenuje DPO, bodo za njeno imenovanje, položaj in naloge veljale enake zahteve, kot če bi bilo imenovanje obvezno.
2. Bomo še vedno morali prijavljati zbirke osebnih podatkov v register Informacijskega pooblaščenca?
Dobra novica – prijava od 25. maja dalje ne bo več obvezna!
3. Kako pa je s katalogi – moramo še vedno voditi opis zbirk osebnih podatkov, ki jih imamo?
Tako je, voditi morate evidence dejavnosti obdelave, kar pomeni popis zbirk osebnih podatkov, v katerem vsako zbirk opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost bo po GDPR veljala ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). OZS je pripravila vzorec popisov zbirk osebnih podatkov, ki ga naročite na www.svetovanje.si.
4.Moramo z zunanjimi ponudniki še vedno imeti pisne pogodbe?
Da, še vedno. Novost pa je ta, da vas morajo vaši pogodbeniki obvestiti, ali in katere podizvajalce uporabljajo, čemur pa lahko kot naročnik storitev vedno ugovarjate. Pogodbe morajo vsebovati več varovalk, ki jih prinaša GDPR. Pogodbo potrebujete v primeru, da zunanjemu obdelovalcu pošiljate kakršne koli osebne podatke (od zaposlenih in drugih fizičnih oseb, kot so na primer izžrebani nagrajenci ipd.). Taki zunanji ponudniki so računovodski servisi, IT podjetja, ....
OZS je pripravila vzorec pogodbe o obdelavi osebnih podatkov po GDPR, ki ga naročite na www.svetovanje.si.
5.Kaj pa pravilnik o zavarovanju oz. varnostnih postopkih – bo obvezen?
GDPR izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe. Če pravilnik že imate, predvsem preverite, ali se njegove določbe res izvajajo v praksi. Nikakor ne kopirajte kar tako vzorcev pravilnikov, če nekaterih varnostnih ukrepov sploh ne uporabljate.
6. Privolitev
Glede privolitve je največ vprašanj. Privolitve za pošiljanje tržnih vsebin ne potrebujete od strank oziroma naročnikov, ki so pravne osebe ali s.p.ji. Privolitev morate imeti le od fizičnih oseb!
Navajamo nekaj primerov, kdaj privolitev fizične osebe ni potreba:
- Če imate za zbiranje osebnih podatkov zakonsko podlago. To na primer na področju delovnih razmerij določa Zakon o evidencah na področju dela in socialne varnosti, po katerem morate zbirati podatke o delavcih (ime, priimek, osebni račun, davčna številka, EMŠO, število otrok do 15 let za določanje letnega dopusta, pretekla delovna doba ipd.). Za pridobivanje teh podatkov ne potrebujete posebnega pisnega privoljenja delavca, saj vam zakonodaja nalaga, da te podatke morate zbrati.
Nikakor pa ni dovoljeno zbirati osebnih podatkov, ki niso potrebni za opravljanje dela na določenem delovnem mestu. Za pisarniškega delavca ne smete zahtevati višine in teže ter krvne skupine. V kolikor zaposlujete manekenko za delo fotomodela, pa lahko zahtevate tudi njene fotografije, ker jih morate pokazati svojim strankam, saj je videz ključnega pomena za to delovno mesto.
- Klicala vas je stranka in se v torek ob 17 uri naročila na barvanje in striženje las. Ker imate v torek čas že ob 15 uri, bi jo radi povprašali, ali ji mogoče ta termin bolj ustreza. Za klica na mobilno številko za namen oprave posla (naročilo ali prenaročilo) ne potrebujete privolitve stranke! Potrebujete jo, če ji boste na mobilno številko pošiljali pošto s tržno vsebino (na primer akcijo nakupa šamponov ali vaših storitev).
- Elektronsko pošto s tržno vsebino lahko pošiljate na splošne maile (info@podjetje.si) in za to ne potrebujete pisne privolitve.
V vseh primerih, pri katerih pa privolitev potrebujete in ste jo dobili v preteklosti, pa mora izpolnjevati zahteve po GDPR. Če na katerokoli vprašanje odgovorite z NE pomeni, da četudi privolitve že imate od prej, nimate ustreznih privolitev:
- Ali so bile privolitve pridobljene prostovoljno?
- Ali imate dokaz o tem, kdaj in kje je bila privolitev podana?
- Ali so bila potrditvena okenca vnaprej prazna (neobkljukana)? Na primer ___(okence) DA
- Ali je privolitev informirana, kar pomeni, ali je bil posameznik ustrezno seznanjen, komu zaupa osebne podatke, katere osebne podatke in za katere namene (pošiljanje mesečnih obvestil o novih izdelkih, za izvedbo določenega dogodka, za obveščanje o popustih in ugodnostih ipd.)?
- Ali je bila privolitev podana aktivno, kar pomeni s klikom na gumb, podpisom ipd.?
- Ali je bil posameznik ustrezno obveščen o svojih pravicah glede osebnih podatkov?
Bistveno je, da je privolitev dana prostovoljno, sicer ne gre za privolitev. Če uporabljate privolitve s potrditvenimi okenci, le-ta ne smejo biti vnaprej izpolnjena (obkljukana).
Prav tako je potrebno določiti rok hrambe podatkov ter posameznike tudi ustrezno obvestiti. Posameznike je potrebno obvestiti tudi o možnostih vpogleda, izbrisa, preklica, popravka in prenosa osebnih podatkov. V sklopu privolitve je potrebno navesti tudi kontaktno osebo, na katero se posamezniki lahko obrnejo v primeru zahtevkov za izbris osebnih podatkov (na primer info@podjetje.si).
OZS je pripravila vzorec privolitve po GDPR, ki ga naročite na www.svetovanje.si.
Katere omejitve v delovnih razmerjih veljajo že sedaj po ZVOP-1, in jih ne prinaša GDPR?
- Zasebno telefonsko številko in zasebni e-naslov je dovoljeno hraniti in zbirati samo s pisno privolitvijo zaposlenega.
- Delodajalec nima splošne pravice fotografirati svojih zaposlenih (na odmoru, družabnih dogodkih ipd.) brez njihovega soglasja. Hramba fotografij zaposlenih je prepovedana. V kolikor imate zaposlene, ki jih fotografirate vi ali drugi, jim to zapišite v opis delovnega mesta (poroke, cattering, ipd.).
- Prošenj kandidatov za zaposlitev po zaključenem izbirnem postopku ne smete hraniti in jih morate uničiti. Tiste, ki so bile poslane po elektronski pošti, jih morate izbrisati. Prošnje lahko nadalje hranite le, če od kandidata pridobite ustrezno pisno privolitev.
- Neaktivne poštne predale od bivših zaposlenih morate deaktivirati.
- Kopij osebnih dokumentov ne smete hraniti v personalni mapi zaposlenega, v kolikor nimate njegovega izrecnega pisnega soglasja.
- Za preverbo ali ima zaposleni veljavno vozniško dovoljenje zadostuje vpogled vanj in kopije ne smete hraniti, razen če imate izrecno pisno privoljenje zaposlenega. Dolžnost delavca je, da vam sporoči vsakršno spremembo, ki bi lahko vplivala na izpolnjevanje njegovih delovnih obveznosti.
- Kopije rojstnih listov otrok, ki jih potrebujete za odmerjanje letnega dopusta lahko hranite toliko časa, dokler ima delavec pravico do dodatnega dneva letnega dopusta za otroka, starega do 15 let. Ko mu ta pravica več ne gre, morate kopijo uničiti.
- Dokumentacijo nekdanjih zaposlenih je potrebno uničiti, razen dokumentacije, ki jo je potrebno hraniti trajno (pogodba o zaposlitvi, M-obrazci, potrdila o zdravniških pregledih, usposabljanju za varno delo, obračuni plač, ipd.). Nekatere dokumente lahko hranite do poteka zastaralnih rokov (v zvezi s kršitvami pogodbenih in drugih obveznosti iz delovnega razmerja). Psihometrične teste morate uničiti takoj po prenehanju delovnega razmerja.
- Preverjanje diagnoze delavca pri zdravniku ni dopustno. Delodajalec je upravičen le do informacije o režimu bolniškega staleža.
- Če je delavec odsoten (bolniška, dopust) je nedopustno nastaviti avtomatsko posredovanje elektronske pošte na drugega sodelavca. Potrebno je nastaviti odzivnih za odsotnost.
Mag. Nina Scortegagna Kavčnik
Vzorci, ki jih lahko naročite na www.svetovanje.si:
Pogodba o obdelavi osebnih podatkov po GDPR: člani 60,00 EUR in nečlani 120,00 EUR
Privolitev posameznika po GDPR člani brezplačno in 30,00 EUR nečlani
Popis zbirk osebnih podatkov: 50,00 EUR člani in 100,00 EUR nečlani
Cene so brez 22% DDV.
Seznam vseh vzorcev
Vabljeni na ponovitev seminarja z mag. Andrejem Tomšičem: Nova zakonodaja o VARSTVU OSEBNIH PODATKOV – Splošna uredba o varstvu podatkov za obrtnike in podjetnike, ki bo v OZS, 3. 7. 2018. Več informacij na naslednji spletni strani