Če spoštujete obstoječo zakonodajo, vam GDPR ne bi smel predstavljati (pre)obsežnega poslovno-procesnega zalogaja, a nekatere nove obveznosti boste vseeno morali izpolnjevati.
Zloglasna Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation oziroma na kratko GDPR)* je v strokovni javnosti in medijih sprožila val razprav o obsežnih spremembah ter zagroženih kaznih, ki naj bi jih ta prinesla v našo zakonodajo ter posledično podjetjem in organizacijam vseh vrst ter velikosti otežila vsakdanje poslovanje. A če boste uredbo GDPR čisto zares prebrali, boste ugotovili, da ves pomp okoli »nove uredbe« ni povsem utemeljen.
Nobena juha se ne poje tako vroča, kot se skuha
GDPR za družbe, ki že danes poslujejo skladno z Zakonom o varstvu osebnih podatkov (ZVOP-1), ne bo predstavljal zahteve po večjih spremembah obstoječega poslovanja in procesov. Dodatno lahko družbe utemeljujejo skladnost poslovanja z GDPR tudi s certifikatom ISO 27001, ki je eden prepoznanih načinov certificiranja tudi po GDPR. Vseeno pa GDPR prinaša določene spremembe v primerjavi z obstoječo zakonodajo. Ureditev, ki je stopila v veljavo 25. maja 2016, se bo začela neposredno uporabljati 25. maja 2018, kar pomeni da imajo upravljalci in obdelovalci osebnih podatkov še dovolj časa, da se na prihajajoče obveznosti ustrezno pripravijo.
Toda, kako zares obsežne so spremembe, o katerih slišimo, ko nanese beseda na GDPR? Pred kratkim sem se udeležila enega izmed mnogih seminarjev na temo nove zakonodaje, na katerem sem imela priložnost prisluhniti velikim družbam, katerih poslovanje je prepleteno z obdelavo osebnih podatkov, kot tudi ostalim strokovnjakom na tem področju. Skozi predstavitve dobrih praks so družbe prikazale, da se s polno paro pripravljajo na prihajajoče spremembe. Enako kot mediji so tudi one ocenile, da bo nova ureditev prinesla veliko sprememb, zaradi česar so se projektno lotili spreminjanja svojih procesov in poslovanja v širokem obsegu. Bivša informacijska pooblaščenka ga. Pirc Musar, namestnik informacijske pooblaščenke g. Tomšič in g. Štiglic iz družbe KPMG so njihove aktivnosti označili za dobrodošle (sploh ker so se usklajevanja lotili tako zgodaj), hkrati pa so izrazili dvom o skladnosti njihovega poslovanja z veljavno zakonodajo do sedaj. Nova uredba po njihovih besedah namreč poleg posamičnih sprememb ne predstavlja obsežnejše spremembe ZVOP-1. Ga. Pirc Musar je poudarila: »Če poznamo ZVOP-1, njegova osnovna načela in temelje vsebovane v ZVOP-1, se ta z uredbo ne spreminjajo«. Le-te pa predstavljajo osnovo zakonodaje.
Poslovanje in it-procese boste morali prilagoditi
Vseeno pa sprememb, ki jih prinaša GDPR, ne gre zanemariti. V določeni meri bo moral vsak upravljalec in obdelovalec osebnih podatkov (GDPR za razliko od ZVOP-1 med njima ne dela več večjih razlik) prilagoditi svoje poslovanje. Nova uredba poudarja predvsem zaupanje in možnost izbire posameznika, katerega privolitev v hranjenje in obdelavo njegovih podatkov mora biti po novem informirana. Podjetja bodo morala zato bistveno več napora vlagati v gradnjo zaupanja strank ter transparentnost komunikacije in rabe osebnih podatkov. To lahko naredijo prek vpeljave preventivnih ukrepov in proaktivnega spremljanja njihovega izvajanja. Še posebej je pomembno, da je zagotovljena sledljivost dostopa do osebnih podatkov. V ta namen lahko podjetja vzpostavijo (oziroma po potrebi dopolnijo) procese in politike, v katerih jasno zapišejo, katere tehnične in organizacijske ukrepe izvajajo za doseganje zahtevanega varstva osebnih podatkov ter na ta način izkažejo skladnost svojega poslovanja z GDPR. Kot že omenjeno, pa lahko skladnost poslovanja na tem področju izkažejo tudi z vpeljavo standarda ISO 27001.
GDPR temelji na zavedanju o nevarnostih, ki jih prinaša hiter tehnološki napredek in z njim povezana vse bolj razširjena obdelava osebnih podatkov z avtomatiziranimi sredstvi. V skladu s tem vpeljuje obveznost izvedbe ocene tveganja, kadar bi vpeljava nove tehnologije, ob upoštevanju narave, namena, obsega in okoliščin obdelave osebnih podatkov, lahko pomenila veliko tveganje za pravice posameznika.
Nenazadnje pa je ena izmed pomembnejših novosti tudi dolžnost upravljalca, da v primeru kršitve varstva osebnih podatkov najpozneje v 72 urah po seznanitvi s kršitvijo, o incidentu obvesti nadzorni organ in v določenih primerih tudi posameznika, na katerega se osebni podatki nanašajo.
*Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
Avtor: Maja Pepelnjak