Varstvo osebnih podatkov je izjemno pomembno področje, ki ga zadnjih nekaj let ureja tudi zakon. Verjetno je že vsak izmed nas slišal za kratici GDPR in ZVOP, kako poskrbeti za varstvo osebnih podatkov pa se sprašujejo tudi številni podjetniki in lastniki različnih podjetij, ki poslujejo s strankami in posledično tudi njihovimi osebnimi podatki. Omenjeno področje mora biti namreč zelo natančno in pravilno urejeno, saj lahko v nasprotnem primeru organizacija ali podjetje tvega izjemno visoke kazni, lahko tudi tožbe. Vendar pa urejanje varstva osebnih podatkov, kot to zahteva GDPR, še zdaleč ni enostavno. To namreč zahteva izjemno veliko znanja, časa, predvsem pa celostnega pristopa. Številni lastniki podjetij se za urejanje omenjenega področja odločijo najeti zanesljivo in zaupanja vredno podjetje.
GDPR in ZVOP
Verjetno ste že slišali za kratici GDPR in ZVOP, okoli katerih se v zadnjih letih vrtijo številne debate. Pa veste, kaj točno pomenita? Kratica GDPR označuje Splošne uredbe o varstvu podatkov, ZVOP pa Zakon o varstvu osebnih podatkov. Tako eden kot drugi združujeta številna zakonska določila, ki se nanašajo predvsem na zbiranje, shranjevanje in varovanje osebnih podatkov strank, poslovnih partnerjev in drugih oseb. Uredba o varstvu osebnih podatkov je začela veljati že 24. maja 2016, z glavnim ciljem zagotoviti večji nadzor nad osebnimi podatki posameznikov v Evropski Uniji (EU). GDPR pravila so enotna in veljajo v vseh državah članicah EU.
Čeprav se morda na prvi pogled niti ne zdi, pa je implementacija zahtev tako enega kot drugega zakona, ki se med seboj sicer dopolnjujeta, za organizacijo izjemno zahteven in dolgotrajen projekt. Zakaj? V prvi vrsti je namreč potrebno zagotoviti pravno in informacijsko-tehnološko (IT) skladnost z zahtevami, ki so po navadi zelo obsežne in relativno zahtevne narave. Ker mora biti celotno poslovanje podjetja podvrženo zahtevam GDPR in ZVOP, je najbolje, da za implementacijo le teh vedno izberete ustrezno strokovno pomoč pravnih strokovnjakov in strokovnjakov s področja informacijskih tehnologij, ki jim je varstvo osebnih podatkov že sicer dobro poznano. Tako se boste namreč izognili morebitnim napakam in neskladjem, ki bi lahko privedle do kazenske odgovornosti.
Kdo mora upoštevati varstvo osebnih podatkov?
Ustrezno varstvo osebnih podatkov morajo zagotoviti vsa mala podjetja, samostojni podjetniki, ustanove, organizacije, klubi, društva in na splošno vsi, ki upravljajo z osebnimi podatki strank. Že če samo zbirate elektronske naslove in naročnikom pošiljate različne promocije in obvestila, za vas že velja zakon o varstvu osebnih podatkov.
Osebni podatki so namreč v uredbi definirani kot katerakoli informacija v zvezi z določenim ali določljivim posameznikom (tisti, ki ga je mogoče neposredno ali posredno določiti). Kot osebni podatek se tako šteje ime, priimek, naslov bivanja, e-pošta, telefonska številka, uporabniško ime, IP-naslov in drugi spletni identifikatorji. V kolikor pri svojem delu upravljate z vsaj enim od naštetih podatkov, ste že zavezani k upoštevanju določil. Te pa določajo:
- ustrezen način pridobivanja podatkov,
- zbiranje veljavnih privolitev,
- pravno podlago in roke hrambe ter ustrezno vodenje evidence dejavnosti obdelave,
- potrebo po skleniti pogodbe o pogodbeni obdelavi,
- kdaj je potrebno opraviti oceno učinka na varstvo podatkov (DPIA),
- kako postopati, če je varstvo osebnih podatkov kršeno in
- da mora vsako podjetje imeti pooblaščeno osebo za varstvo podatkov (DPO).
