Dne 04.05.2016 je bila v Uradnem listu Evropske unije objavljena Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju: »Uredba GDPR«), ki je začela veljati dne 24.05.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah od dne 25.05.2018 dalje. Uredba GDPR določa med drugim predvsem pravila o varstvu temeljenjih pravic in svoboščin posameznikov pri obdelavi njihovih osebnih podatkov. Eden izmed osnovnih ciljev Uredbe GDRP predstavlja omogočiti posameznikom boljši nadzor nad svojimi osebnimi podatki.
Uredba EDRP prinaša precej novosti glede na do sedaj veljavni Zakon o varstvu osebnih podatkov-1 (v nadaljevanju: »ZVOP-1«). V nadaljevanju vam predstavljamo nekaj bistvenih sprememb oziroma novosti za upravljalce oziroma obdelovalce zbirk osebnih podatkov, ki so predvsem na področju (i) pridobivanja osebne privolitve za obdelavo osebnih podatkov in (ii) imenovanja pooblaščene osebe za varstvo osebnih podatkov.
Privolitev posameznika za obdelavo osebnih podatkov po Uredbi GDPR
Skladno s šestim členom Uredbe GDPR predstavlja privolitev posameznika v obdelavo njegovih osebnih podatkov zakonito podlago za obdelavo njegovih osebnih podatkov. Vendar pa je privolitev posameznika po Uredbi GDPR precej omejena, saj pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje za obdelavo osebnih podatkov, ki se nanašajo nanj. Glede na novosti, ki jih prinaša Uredba GDPR je potrebno tako pregledati veljavnost oziroma skladnost obstoječih privolitev posameznikov v zbiranje in obdelavo njihovih osebnih podatkov.
Pooblaščena oseba za varstvo osebnih podatkov
Upravljalec in obdelovalec osebnih podatkov skladno s 37. členom Uredbe GDPR imenujeta pooblaščeno osebo za varstvo osebnih podatkov, kadar sta upravljalec ali obdelovalec javni organ in telo oziroma druge organizacije kadar temeljenje dejavnosti upravljalca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljalca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah. Primeri dejavnosti, ki bi lahko štele za redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki so lahko npr. ponovno ciljanje preko e-pošte, dejavnosti trženja, ki temeljijo na podatkih, sledenje geografskemu položaju, oglaševanje na podlagi vedenjskih vzorcev, itd.
Poleg navedenih sprememb pa Uredba GDPR prinaša tudi številne druge novosti kot so obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov, prilagoditev pogodb s pogodbenimi obdelovalci osebnih podatkov itd.
Glede na sprejeta določila Uredbe GDPR v Odvetniški pisarni Tadej Vodičar, d.o.o. ugotavljamo, da je zagotavljanje skladnosti poslovanja upravljalca ali obdelovalca osebnih podatkov precej kompleksen proces, zaradi česar vam v odvetniški pisarni ponujamo rešitve pri analizi stanja in izvedbe potrebnih aktivnosti za uskladitev delovanja podjetja skladno z določili Uredbe GDPR.■