Tiskane izdaje
Ljubljana – Splošna evropska uredba o varstvu osebnih podatkov (GDPR), ki bo začela veljati 25. maja, je mnogim trn v peti. EU je sprejela uredbo, ki bo v nekaterih delih precej direktivno naravnana, pričakovanja pa niso v celoti jasna.
Urad informacijske pooblaščenke na leto dobi od 1400 do 1500 pisnih zaprosil in več deset klicev na dan, ki se nanašajo na posamezne vidike uredbe, je na včerajšnjem AmChamovem Fokusu na temo GDPR povedala Alenka Jerše, namestnica informacijske pooblaščenke. Gospodarstvo skrbi poslovna škoda, tržnike, kako bo vplivala na neposredno trženje, podjetja, kaj to pomeni za klube zvestobe in podobno.
Eno pomembnejših področij je tudi privolitev posameznika v zbiranje podatkov. Tudi trgovci, ki so do zdaj na različne načine zbirali podatke o svojih strankah, bodo potrebovali jasno in nedvoumno privolitev. Kaj to pomeni za klube zvestobe? »Lahko se zgodi, da bodo morali številni spet pridobiti privolitve strank,« nam je povedala Jeršetova. Posledično bodo morda kakšnega člana izgubili ali dobili novega. »Morda bodo morali zožiti ali novi uredbi prilagoditi tudi obseg obdelave podatkov.«
Kaj pa podjetja, ki imajo zbirko podatkov, ki so bili pridobljeni s privolitvijo in skladno z zakonom o varstvu osebnih podatkov (ZVOP 1). Ali bosta GDPR in ZVOP 2, ko bo sprejet, retroaktivno veljala za vse podatke, pridobljene po ZVOP 1? »Po uredbi morajo biti vse obdelave osebnih podatkov z uredbo skladne od 25. maja. Nihče ne bo gledal nazaj, ali ste podatke zbirali zakonito,« na vprašanje odgovarja Jeršetova. Podatke, ki niso bili pridobljeni skladno z uredbo, bo treba ponovno pridobiti.
Številna podjetja so se sicer že leta 2016 spraševala o tem, a takrat še ni bilo smernic, kako napisati privolitve. Kaj naj torej stori podjetje, ki je pridobivalo podatke s privolitvijo, tudi z obrazložitvijo, kdo bo obdeloval podatke in s kakšnim namenom, le da te niso vsebovale vseh pravic, ki jih določa GDPR? Če je bila privolitev konkretna (če ni šlo za opt-out) – če ni šlo le za zadostitev osnovnih pogojev, in je skladna z osnovnimi načeli – in gre le za nadgradnjo dodatnih informacij, bi podjetje soglasje lahko osvežilo ali nadgradilo z informacijami o dodatnih pravicah. Pogoj za to je, da privolitev zadošča osrednjemu delu uredbe, je dejala Jeršetova.
A kot je opomnil odvetnik Jaka Simončič: »V Sloveniji naj glede GDPR ne bi začeli z dnevom nič.« O uredbi se govori že nekaj časa, a žal ni zasnovana tako, da bi jo lahko izpolnili v dnevu ali dveh. »Je sistem, ki se mu je treba prilagajati,« je dejal. Jeršetova pa je dodala, da bodo tisti, ki so svoje poslovanje uskladili z ZVOP 1, imeli manj težav. Težave bodo imela podjetja, ki ne vedo, da obdelujejo osebne podatke, predvsem take, ki niso izrecno osebni kot so IP-naslovi, statistika, katere spletne strani smo gledali. Jeršetova pravi tudi, da lova na čarovnice 25. maja ne bo in da ne bodo začeli izrekati milijonskih glob: »Že v sedanjih postopkih smo iskali skladnost s predpisi. Mislim, da se upravljavec osebnih podatkov in podjetje, ki deluje skladno z ZVOP 1 in si prizadeva za skladnost z uredbo, nima česa bati.«
