Se lahko kaj podobnega zgodi pri nas? Da!

Za kaj je šlo? AZOP (hrvaški informacijski pooblaščenec) je agenciji za izterjavo terjatev EOS Matrix d.o.o. naložil upravno globo zaradi obdelave osebnih podatkov brez pravne podlage, neustreznega informiranja posameznikov in nezadostnih tehničnih ukrepov za zavarovanje osebnih podatkov.

Skoraj pet let zamude, a vendarle – Državni zbor je sprejel ZVOP-2, ki je bil 27. decembra 2022 tudi objavljen v Uradnem listu Republike Slovenije. Veljati začne 30. dan po objavi.

Kaj nam v praksi prinaša novi zakon o varstvu osebnih podatkov? Predvsem ureja nekatera področja, ki jih Splošna uredba o varstvu podatkov sploh ne ureja oziroma jih ne ureja dovolj podrobno. Gre za videonadzor, biometrijo, povezovanje zbirk, javne knjige, raziskovalne namene, kontaktne podatke, osebne dokumente in podobno. Skratka, gre za področja, ki jih je urejal že ZVOP-1, pri čemer nam novi zakon prinaša kar nekaj novosti.

V letu 2006 je Google ukinil »brezplačno« storitev G-Suite (Google Workspace) za poslovne uporabnike, katere bistvena prednost je bila predvsem uporaba lastne domene za prejemanje e-pošte, npr. podjetjexy.si.

Bruselj in Washington sta sklenila načelni dogovor o prenovljenem sporazumu o prenosu podatkov v ZDA. Konkreten dogovor s tehničnimi podrobnostmi lahko pričakujemo do konca leta 2022.

V zadnjem obdobju lahko opazimo pomembne odločitve evropskih nadzornih organov za varstvo podatkov, ki veliko upravljavcev postavlja v nemogoč položaj. Večina namreč (vsaj v ožjem obsegu) osebne podatke obdeluje pri obdelovalcih ali skupnih upravljavcih s sedežem v ZDA.

Uradni list skupaj z Info hišo, d. o. o., organizira konferenco, ki ima že pravo tradicijo. Znate izkoristiti priložnosti digitalnosti in ne pozabiti na zasebnost? Poznate obdelavo osebnih podatkov v digitalnem oglaševanju? Svoje izkušnje in priložnosti tako na tem področju kot tudi v »off line« marketingu bo z vami podelili vrhunski strokovnjaki. 

Spoofing je hekrska metoda, pri kateri heker tarči (denimo enemu od vaših zaposlenih) pošlje e-pošto, za katero se zdi, da je bila poslana iz zaupanja vrednega vira oz. domene. To naredi tako, da ponaredi glavo e-naslova, prejemnik pa e-pošto vidi enako, kot da bi mu jo poslal znan pošiljatelj. Ker je takšna prevara lahko zelo prefinjena, je pomembno, da spoofing prepoznamo in ga skušamo tudi preprečiti. V času epidemije so se namreč tovrstni napadi močno povečali – na globalni ravni naj bi bilo takšnih napadov v prejšnjem letu za skoraj 70 % več kot v letu 2019.

Epidemija COVID-19 je večino organizacij ujela na levi nogi. Predvsem tiste, ki že v obdobju pred epidemijo niso bile naklonjene delu na domu ali pa si tega zaradi samega dela enostavno niso mogle privoščiti. Pa vendarle se je čez noč ena pisarna spremenila v toliko pisarn, kot je zaposlenih, ki so delali na svojem domu. 

Zadnji dan januarja je Velika Britanija le izpeljala dolgo napovedani brexit. Za področje varstva osebnih podatkov je seveda zato glavno vprašanje, kako ravnati z osebnimi podatki ob prenosu v Veliko Britanijo.

Koliko časa hraniti osebne podatke? Kako zavarovati dokumentacijo in e-arhive, da bodo ti ustrezali zahtevam GDPR? Kakšne so posledice, če osebne podatke izgubimo? To je le nekaj vprašanj, ki se vsak dan porajajo vsaki organizaciji.

Ena od težjih in stroškovno lahko bolečih zahtev GDPR je varnost obdelave osebnih podatkov, posebej vprašanje, kako strogi moramo biti pri tem. Vsekakor neki mali upravljavec osebnih podatkov nima enakih zahtev po varnosti obdelave (zavarovanju) osebnih podatkov kot, denimo, neka bolnišnica. Težava je predvsem v tem, da GDPR ne določa natančno, katere ukrepe je treba uporabiti za na primer določeno število osebnih podatkov. Tako posledično odločitev prepusti vsakemu upravljavcu posebej. Ta mora zato izdelati analizo tveganj, ki mu bo pokazala, kje mora okrepiti svoje napore, da bo zadostil ustrezni varnosti oziroma GDPR.

Sodišče EU je pred kratkim v eni od svojih sodb ugotovilo, da je lastnik spletne strani že zgolj s tem, da je namestil in omogočil vtičnik Facebook za všečkanje, postal skupni upravljavec skupaj s Facebook-om. To v zelo zanimivo situacijo postavlja vse lastnike spletnih strani, ki imajo na svoji strani omogočen Facebook-ov vtičnik, posledično pa odločitev velja tudi za vse druge oblike posredovanja osebnih podatkov (denimo IP naslov) tretjim osebam. Kot je možno sklepati iz sodbe, je za takšno obdelavo treba dobiti osebno privolitev obiskovalca spletnih strani.

»Z uporabo te spletne strani se strinjate s piškotki,« je stavek, ki ga še vedno lahko preberemo na veliki večini slovenskih spletnih strani. In je napačen. Pravzaprav je verjetno ves sistem piškotkov na spletni strani napačen, saj upravljavci spletnih strani pogosto pozabijo, da ni dovolj zgolj objaviti obvestilo, pač pa je treba temu ustrezno prilagoditi tudi kodo strani.

Napisati pravilne informacije za posameznike (bodisi za zaposlene, obiskovalce spletne strani ali stranke) predstavlja – kot to opažamo v praksi – veliko težavo za upravljavca.

GDPR je v veljavi že skoraj leto dni, težavam, ki jih je uredba s seboj prinesla, pa ni videti konca. Tako nam, denimo, še vedno ni prišlo v navado, da imamo šest pravnih podlag za obdelavo osebnih podatkov in ne več klasičnih dveh. Vse pravne podlage so si med seboj enakovredne, res pa je, da se ne smejo prekrivati. Takšen primer je še posebej pogost v marketingu, kjer lahko hitro zamešamo osebno privolitev in izvajanje pogodbe (ali pa celo kakšno zakonsko določilo specialnega zakona) za izvajanje neposrednega trženja. Posledično upravljavec tvega izbris vseh osebnih podatkov in nevarnost bizarno visoke globe.

Je vaše podjetje seznanjeno z vsemi pravnimi podlagami, ki omogočajo obdelovanje osebnih podatkov? Po uredbi GDPR je ena izmed njih tudi zakoniti interes, ki dovoljuje obdelovanje podatkov tudi v primeru, ko ta ni zakonsko nujna, vendar je za vas ali druge koristna. Med drugim jo lahko uporabljate tudi, ko posamezniku ne morete zagotoviti popolne vnaprejšnje kontrole.

V prispevku preverite, kdaj lahko zakonsko obdelujete osebne podatke.

Še zadnjič v tem letu razpisujemo izobraževanje za dodatne kvalifikacije za Strokovnjaka/strokovnjakinjo za varstvo osebnih podatkov. S pridobljenimi znanji in kompetencami boste samostojno skrbeli za skladnost poslovanja s predpisi s področja varstva osebnih podatkov, znali prepoznati tveganja v zvezi z obdelavo osebnih podatkov in predlagali sprejem ustreznih ukrepov za omejitev tveganj. Prijave zbiramo do zapolnitve mest.