"Vsak, ki karkoli dela z osebnimi podatki (razen za strogo osebno uporabo), bo moral spoštovati Uredbo. Izjem ni," pravi Matija Jamnik (Odvetniška pisarna Jamnik), ki je predstavil, kaj vse prinaša nova ureditev in kje se podjetja pogosto znajdejo v težavah.

1. Privolitev

Glavna sprememba je to, da mora biti privolitev posameznika za obdelavo osebnih podatkov izrecna, informirana in nedvoumna – namen obdelave podatkov mora biti točno določen, privolitev pa ne sme biti skrita v neko drugo besedilo (npr. v splošne pogoje). Določena je tudi spodnja starostna meja, ko lahko posameznik privolitev da samostojno, in sicer 16 let, za mlajše pa se zahteva privolitev staršev.

2. Dopolnjena definicija osebnih podatkov

Vanjo so izrecno vključeni tudi podatki o lokaciji in spletni identifikatorji (IP, MAC idr.).

3. Pravica do pozabe

Uporabnik ima pravico kadarkoli zahtevati izbris osebnih podatkov, potreben pa je seveda zakonit razlog. V primeru, da so bili podatki objavljeni, mora upravljalec od vseh zahtevati, da morebitne povezave do osebnih podatkov in njihove kopije izbrišejo. Pri podatkih mladoletnih se ta pravica upošteva brezpogojno.

4. Novosti pri pogodbeni obdelavi osebnih podatkov

Upravljavec mora navodila glede njihove obdelave dokumentirati, prav tako pa mora predhodno izdati pisno dovoljenje za morebitno podpogodbeno obdelavo osebnih podatkov in podpogodbenega obdelovalca seznaniti z zahtevami iz pogodbe, sklenjene med njim in upravljavcem osebnih podatkov.

5. Pooblaščeno osebo za varstvo osebnih podatkov (interni »informacijski pooblaščenec«) je potrebno imenovati:

• v primeru javnega sektorja,
• če je potrebno zaradi narave, obsega in/ali namenov zbiranja osebnih podatkov posameznike, na katere se nanašajo ti podatki, redno in sistematično obsežno spremljati in/ali
• če gre za obsežno obdelavo občutljivih osebnih podatkov.

Dobra novica je, da je interni pooblaščenec lahko tudi zunanji pogodbeni sodelavec (podjetje).

Matija Jamnik poudarja, da se bo čez leta današnji odnos do varovanja osebnih podatkov premaknil iz strahu pred inšpekcijami v smer družbene odgovornosti – podjetja bodo želela imeti urejeno varstvo osebnih podatkov, saj v primeru varnostnih incidentov tvegajo izgubo ugleda in posledično škodo, ki je lahko eksponentno večja od predpisanih glob (čeprav se tudi te z novo uredbo zvišujejo).

Zapis je nastal na podlagi dogodka Dan direktnega marketinga. Celotno reportažo lahko preberete TUKAJ.

Foto: Bojan Stepančič