Tiskane izdaje
Ljubljana – Splošna uredba o varovanju osebnih podatkov (GDPR), ki bo začela veljati 25. maja, prinaša nova, strožja pravila, ki bodo veljala za vsa podjetja in organizacije, ki obdelujejo osebne podatke državljanov EU. Podjetjem med drugim nalaga imenovanje pooblaščene osebe za varstvo podatkov, ki jo bodo morali imenovati tudi vsi organi javnega sektorja.
Uredba zapoveduje enotno varovanje osebnih podatkov, privoljenje strank za njihovo uporabo, pravico posameznika do popravka, možnost prenosa podatkov h konkurentu in pravico do pozabe podatkov. Prav to je lahko eden večjih izzivov, saj se celotna IT-industrija že 20 let trudi, da ne bi izgubila podatkov, ki so v arhivih, varnostnih kopijah in drugod. Drug velik izziv bo profiliranje potrošnikov, ki ga GDPR omejuje.
Toda novosti niso tako obsežne, kot je videti, je na četrtkovem poslovnem zajtrku inštituta za zasebnost in dostop do informacij Info hiša dejala Diana Alonso Blas, ki je v Eurojustu pooblaščena za varstvo osebnih podatkov. Pravi, da tudi vloga pooblaščene osebe za varstvo podatkov ni novost. »V Nemčiji, na Švedskem in Nizozemskem so imenovali osebe za to področje že leta pred sprejetjem uredbe. Velika mednarodna podjetja so to delovno mesto zaupala osebi, ki jo naslavljajo 'chief privacy officer'.«
Visoke kazni za kršitelje
Diana Alonso Blas, ki je že več kot deset let pooblaščena oseba za varstvo osebnih podatkov (data protection officer, DPO), se spominja, da so bili preboji težki, a predvsem zaradi novosti. Iz lastnih izkušenj priporoča, da podjetja in institucije na to delovno mesto zaposlijo osebo, ki pozna zakonodajo in uredbo ter ima že nekaj izkušenj na tem področju. »Vsaj sedem let, če podjetje ali institucija operira z velikimi količinami podatkov, ali pa tri leta, če podatki niso vezani izključno na posel, ki ga opravljajo.« Če dvomite o tem, s kakšno količino osebnih podatkov upravljate, je bolje zaposliti DPO, pravi.
To pomeni, da bodo podjetja in javni sektor morali zagotoviti dodatne kadrovske vire. Morebiti bodo morala nadgraditi tudi tehnološko opremo, saj morajo vsa imeti nameščene varnostne mehanizme, ki ščitijo podatke pred vdori. Nihče si ne želi, da bi se hekerji dokopali do občutljivih podatkov. To se je leta 2004 zgodilo eBayu, decembra 2016 pa tudi Yahooju, kjer so se hekerji dokopali do informacij 500 milijonov uporabnikov, a na srečo ne do podatkov o bančnih računih ali kreditnih karticah.
Podjetja niso takoj obvestila uporabnikov o vdorih, po novi uredbi pa bodo to morala storiti v 72 urah. Vse to je povezano z dodatnimi stroški, o katerih višini je še prehitro govoriti. Po nekaterih ocenah, opravljenih v ZDA in Veliki Britaniji, bi lahko uveljavitev uredbe stala podjetja od milijona do 10 milijonov evrov. To je lahko še vedno manj od kazni za neupoštevanje uredbe. Nadzorni organ sme naložiti kršiteljem plačilo globe, ki lahko znaša 4 odstotke skupnega letnega prometa ali do 20 milijonov evrov.
Povpraševanje po izobraževanju raste
Z uredbo se bosta povečala tudi povpraševanje po tem poklicu in vloga DPO. »DPO je cvetoč posel. Vedno več ljudi si želi pridobiti certifikat za to delovno mesto,« pravi Diana Alonso Blas. V Eurojustu, ki v Maastrichtu dvakrat letno organizira tudi izobraževanje, opažajo, da zadnja leta narašča povpraševanje po izobraževanju za certificiranega DPO. Program je namenjen predvsem javnemu sektorju, se pa čedalje pogosteje prijavijo tudi zasebna podjetja in posamezniki iz EU, Norveške, Švice, ZDA … »Posameznik pridobi certifikat po uspešno opravljenem izpitu, vendar ta ni lahek. Dobro je imeti podlago s tega področja,« je poudarila sogovornica.
Z Diano Alonso Blas, ki že več kot deset let skrbi za ozaveščanje evropske javnosti o varnosti osebnih podatkov v Eurojustu, smo se pogovarjali o uredbi, ki bo v kratkem zaživela tudi v Sloveniji.
Katera podjetja in panoge bodo najbolj občutili novo uredbo?
Vsa. A nova pravila niso revolucionarna. Če so podjetja do zdaj spoštovala in delala po veljavni zakonodaji, spremembe zanje ne bodo velike. Mnogo stvari je implementiranih, bodo pa imela podjetja več odgovornosti za transparentnost, morala bodo zaposliti pooblaščeno osebo za varstvo osebnih podatkov. Po drugi strani bodo dobili več pristojnosti uradi za varstvo osebnih podatkov, ki bodo lahko izdajali kazni. Tveganje za neupoštevanje uredbe je s tem večje, kot je bilo.
Ljudje čedalje pogosteje kupujejo po spletu. Mnoga spletna podjetja npr. nudijo ugodnosti v primeru članstva, omogočajo registracijo računa ipd. Ali tudi takšna podjetja potrebujejo osebo za varstvo osebnih podatkov?
Da, če obdelujejo podatke, ki sodijo v uredbo. To je seveda odvisno od vrste podatkov, ki jih obdelujejo: če na spletni strani jasno povedo, za kaj potrebujejo podatke in kako jih obdelujejo, vi kot stranka pa se s tem strinjate, je v redu. Če te podatke delijo s tretjimi osebami brez vašega privoljenja, so v prekršku. Pravila veljajo tudi za mala in družinska podjetja. Ampak mala spletna podjetja nujno ne potrebujejo DPO, vse je odvisno od podatkov, s katerimi operirajo, morajo pa se držati pravil uredbe.
Ali ta pravila veljajo tudi za podjetja, ki nimajo sedeža v EU, a iščejo potencialne stranke med evropskimi državljani?
Vsekakor. Namen uredbe je, da če osebni podatki potujejo po svetu, po svetu potuje tudi varstvo podatkov. Tako morajo tudi tuja podjetja pridobiti jasno privoljenje osebe za obdelavo podatkov in informirati, za kaj jih bodo uporabili.
Kako pospešeno inšpektorji opravljajo svoje delo? Za kršitelje so predvidene visoke kazni.
Vse več je sodelovanja med uradi za varstvo osebnih podatkov. V državah, kjer do zdaj niso bili aktivni, se stvari spreminjajo. Recimo v Veliki Britaniji, kjer so imeli obsežno kampanjo ozaveščanja, a niso izvajali kazni. Agencije za varstvo osebnih podatkov imajo različne pristope – v Španiji so se tega resno lotili in že leta pišejo visoke kazni za kršitelje. Na primer tudi do 30.000 evrov v primeru majhnega podjetja, ki ima spletno stran in je pozabilo jasno povedati, da potrebujejo vaše privoljenje za obdelavo podatkov. Vendar moramo biti pravični do ljudi – jih opozoriti, ozaveščati, šele potem kaznovati in določiti primerno kazen.
