Koronavirus
Slovenija 30 let
Mobilnost 2020
Zdravje 2020
Izvozniki 2020
Podjetniške zvezde 2020
Učitelj sem!
  • Gospodarstvo
  • Podjetja
  • V težavah bodo tista podjetja, ki osebne podatke zbirajo po domače
varstvo osebnih podatkov | GDPR | TZS | privolitev | kodeks

V težavah bodo tista podjetja, ki osebne podatke zbirajo po domače

Splošna evropska uredba o varstvu osebnih podatkov (GDPR) bo precej posegla v poslovanje trgovskih podjetij.

Objavljeno
05. februar 2018 19.38
V težavah bodo tista podjetja, ki osebne podatke zbirajo po domače
Božena Križnik
Božena Križnik

Ljubljana – Spremembe, kot jih prinaša splošna uredba o varovanju osebnih podatkov (GDPR), bodo precej posegle v sedanje poslovanje trgovskih podjetij. Po informacijah iz Trgovinske zbornice Slovenije (TZS) se ta na nove zahteve že pripravljajo, a spremembe niso preproste. Zahtevale bodo obširne in strokovno zahtevne organizacijske, informacijske in kadrovske prilagoditve.

Privolitev posameznika bo drugačna

Tudi v trgovskih podjetjih še ne vedo natančno, katere določbe direktive in na kakšen način bodo veljale za posamezno podjetje glede na njegovo velikost in vsebino ter organizacijo poslovanja. Novosti je veliko, ena pomembnejših za to dejavnost zadeva privolitev posameznika za zbiranje podatkov. Trgovci, ki so doslej na različne načine zbirali podatke o svojih strankah, so to utemeljevali z različnimi jasnimi nameni (za analizo, profiliranje, segmentiranje, ciljno trženje), pa tudi z bolj ohlapnimi argumenti (zagotavljanje višje kakovosti storitev). Take privolitvene izjave po novem ne bodo več veljavne, treba jih bo pridobiti na novo, pod pogoji iz GDPR: biti bodo morale nedvoumne in pritrdilne, postopek za preklic bo moral biti vsaj enako enostaven kot za pridobitev, stranki bo treba utreti lažji dostop do informacij o obdelavi podatkov ipd.

Zbornica bo pripravila kodeks

V TZS pričakujejo, da bo novo pridobivanje izjav podrobneje opredelil slovenski zakon o varstvu osebnih podatkov (do konca prejšnjega tedna je bil v javni razpravi, sprejet mora biti najkasneje do 25. maja). Tudi o tem, katera podjetja bodo morala imenovati posebno odgovorno osebo za varstvo osebnih podatkov, naj bi se izkristaliziralo šele v praksi, pri čemer naj bi upoštevali vsebinsko povezanost s kadrovskimi službami, IT-oddelki, marketingom.

Evropska uredba je po mnenju ceha nejasno opredelila pravni okvir za obdelavo osebnih podatkov, načine njihovega zavarovanja in preventivne ukrepe (konkretne IT-rešitve). Zato se zbornica zavzema za enoletno prehodno obdobje za uveljavitev nacionalnega predpisa. Vztraja tudi, naj ta natančno sledi uredbi in naj ne bo bolj restriktiven, saj je že uredba sama izjemno zahtevna.

Posebej za mala in srednja podjetja bo uveljavitev novih pravil o varstvu osebnih podatkov trd oreh, zato bo trgovinska zbornica na njihovo pobudo pripravila poseben kodeks ravnanja na tem področju. To bo praktičen in uporaben delovni pripomoček za pripravo in pravilno izvajanje zahtev nove zakonodaje v praksi. Sprejeli naj bi ga najkasneje do konca marca 2018. Če bo slovenski predpis sprejet pravočasno, bo v kodeks seveda vključena tudi njegova vsebina. Sicer pa bo zbornica za svoje člane organizirala tudi strokovna usposabljanja.

Vsi preverjajo privolitve

V nekaj podjetij smo vprašali, kako se pripravljajo na nova pravila igre.

Magistrat International ocenjuje, da bodo morali sistem varstva osebnih podatkov praktično postaviti na novo. Največ dela bodo imeli s preverjanjem ustreznosti privolitev kupcev za obdelavo osebnih podatkov in oceno učinkov, saj gre za popolno novost. Prečesati bodo morali sedanje baze podatkov v katalogu in za vsako posebej ugotoviti, ali potrebuje prilagoditve oziroma nova soglasja. Pri tem ne gre samo za baze podatkov o kupcih – potrošnikih, ampak tudi za podatke kadrovskih evidenc o zaposlenih, nekdanjih zaposlenih, itd. »Zelo verjetno bomo za področje varstva osebnih podatkov sklenili pogodbo z zunanjim izvajalcem,« pravijo v podjetju Magistrat International.

V Creatimu Ržišnik Perc so lani pridobili standard iz urejanja procesov s področja varovanja podatkov (ISO 27001:2013), ki je mestoma še zahtevnejši od GDPR. Kljub temu bodo potrebne še nekatere dopolnitve. Dilem z izvajanjem uredbe je veliko, pravijo, saj praksa še ne obstaja, ni še jasnih pravil. Menijo, da tisti, ki so že do sedaj odgovorno ravnali z osebnimi podatki, z GDPR ne bodo imeli večjih težav. V Creatimu sicer nimajo zbirk podatkov, na katere se osredotoča GDPR, jih pa imajo njihove stranke, in te s svojimi pravnimi službami že preverjajo skladnost z uredbo. »Kdor ima to področje urejeno, mu ne bo treba vsega obračati na glavo, mogoče bo potreboval le kakšno nadgradnjo. Tisti, ki zbirke podatkov razumejo bolj po domače, pa bodo imeli precej težav. Verjetno bo najbolje, da vse brez privolitev pridobljene osebne podatke enostavno izbrišejo in začnejo na novo,« svetujejo.

V turističnem centru Golte se bodo v proučevanje skladnosti z zahtevami GDPR zatopili takoj po koncu zimske sezone. V podjetju nimajo osebe z ustreznimi znanji, zato bodo zagotovo za pomoč zaprosili zunanje izvajalce (IT, izdelovalce spletnih strani, načrtovalce spletnih in klasičnih marketinških aktivnosti). Kar bo seveda podražilo poslovanje. »Vseh dilem pri uvajanju nove zakonodaje v poslovanje raje ne omenjamo, ker na mnoga vprašanja nimajo odgovorov niti uradni organi,« pravijo v centru. Zato terjajo daljše prehodno obdobje za uveljavitev nove zakonodaje. Svoje baze podatkov bodo morali ločiti na stare in nove, prav tako tudi marketinške akcije. »Vsako že načrtovano akcijo bomo najprej preverili, ali so baza, način zbiranja in obdelava skladni z novo zakonodajo.«

Lidl je med tistimi, ki že mrzlično pregledujejo zbrane privolitve. Ugotavljajo, da so »na varni strani«, da so bile namreč dane prostovoljno, za konkreten namen ter v preprostem, razumljivem jeziku, z možnostjo preklica po enaki poti. V nasprotnem bi, kot so pojasnili, podatke ažurirali in tako zagotovili skladnost z zahtevami nove zakonodaje. O kupcih pridobivajo osebne podatke izključno na dva načina: z izvedbo nagradnih iger in z aboniranjem novičk o novostih v ponudbi. Pri zadnjem imajo že vrsto let tako imenovani OPT IN sistem privolitve, pri nagradnih igrah pa nova zakonodaja zahteva informirano privolitev posameznika. Funkcijo pooblaščenca za varstvo osebnih podatkov v družbi zagotavljajo že od leta 2009. Gre za osebo s pravno izobrazbo, ki pri svojem delu sodeluje z osebo za IT-varnost.

V podjetju MOL Slovenija kot tudi v skupini MOL so se na nove zahteve pripravili tako, da so oblikovali posebne ekipe z različnih področij, ki naj bi pregledale procese in podatkovne baze ter izdelale popise obdelave podatkov v skladu z novo zakonodajo. Nacionalna zakonodaja, poudarjajo, bi morala biti sprejeta pravočasno. Nova ureditev prinaša vrsto novosti, posebej za ponudnike, ki izvajajo programe zvestobe. V podjetju namenjajo posebno pozornost kreiranju mehanizma soglasij, ki bodo popolnoma skladna z novimi zahtevami.