Vsebino celotne on-line klepetalnice v pdf obliki si lahko naložite TUKAJ
Kaj moramo kot lekarna urediti do 25. 5. 2018 glede varstva osebnih podatkov po uredbi GDPR?
Katere od obveznosti je podjetje dolžno spoštovati po Splošni uredbi o varstvu podatkov (GDPR) je odvisno od tega, katere vrste osebnih podatkov obdeluje (»navadne« ali tudi posebne vrste osebnih podatkov), kakšno količino podatkov obdeluje (ali gre npr. za obsežno obdelavo), na kakšni podlagi (privolitev, pogodba, zakon, idr.) in za kakšen namen. Ne pa recimo od tega, kako veliko je vaše podjetje.
Kar se tiče obveznosti, ki jih GDPR nalaga upravljavcem podatkov, bi veljalo izpostaviti naslednje (pri tem pa kar nekaj obveznosti upravljavcem nalaga že trenutno veljavni ZVOP-1):
- osebne podatke lahko obdelujejo le, če imajo za to ustrezno pravno podlago;
· spoštovati morajo splošna načela v zvezi z obdelavo osebnih podatkov, pri čemer je še posebej izpostavljeno načelo odgovornosti;
- pred zbiranjem in obdelavo osebnih podatkov morajo dati posamezniku na voljo informacije o obdelavi osebnih podatkov;
- posamezniku morajo omogočiti uresničevanje njegovih pravic, vključno z novima pravico do pozabe in pravico do prenosljivosti podatkov;
- upravljavci morajo popisati zbirke oz. evidence dejavnosti obdelave osebnih podatkov;
- upravljavci morajo ustrezno zavarovati osebne podatke na način, da se spoštuje načelo odgovornosti in da zagotavljajo tako vgrajeno kot privzeto varstvo podatkov (tj. upoštevanje načela minimizacije podatkov);
- zagotoviti morajo sledljivost obdelave podatkov in voditi vsaj evidenco o posredovanju podatkov tretjim osebam oz. uporabnikom;
- upravljavci morajo voditi evidenco o varnostnih incidentih ter poročati nadzornemu organu (in posameznikom) v primeru kršitve varstva osebnih podatkov;
- v določenih primerih morajo izvesti oz. pripraviti oceno učinka;
- določeni upravljavci so dolžni imenovati odgovorno osebo za varstvo osebnih podatkov – ta obveznost velja za vse upravljavce iz javnega sektorja;
- upravljavci morajo s pogodbenimi obdelovalci skleniti pogodbe, pri čemer GDPR določa širši nabor klavzul, ki morajo biti vključene v taki pogodbi.
Smo računovodski servis za majhna in mikro podjetja, zavode in društva. Zanima nas, kakobomo morali urediti varovanje osebnih podatkov po 25. 5. 2018 – ali bomo potrebovali pisno soglasje vsakega posameznika za podatke potrebne za obračun plače ( tudi npr. delovna dovoljenja, informativni listi, potni listi ipd.) , ki je zaposlen v podjetju za katerega vodimo računovodske storitve ali samo od podjetja samega? Prav tako nas zanima, kako bodo morala imeti podjetja (naše stranke) urejeno varovanje osebnih podatkov in ali je treba v pravilniku o varstvu osebnih podatkov upoštevati tudi vse zahteve o podatkih, ki jih predpisuje zakon o varstvu pri delu?
Iz navedenega sklepam, da v imenu in za račun vaših strank obdelujete njihove osebne podatke. V odnosu do osebnih podatkov vaših strank ste torej (pogodbeni) obdelovalec osebnih podatkov, vaše stranke pa so upravljavci osebnih podatkov, saj določajo namene in sredstva obdelave podatkov. Ta razmejitev vlog je ključno za ugotovitev, kakšne so vaše obveznosti po GDRP.
GDPR dolžnost oz. obveznost spoštovanja varstva osebnih podatkov širi tudi na obdelovalce podatkov. Po trenutno veljavnem ZVOP-1 je bil namreč za zakonito obdelavo podatkov odgovoren zgolj upravljavec, obdelovalcu pa Informacijski pooblaščenec ni mogel naložiti nobenih sankcij. Kot rečeno, se bo to z GDPR spremenilo in bo tudi delovanje obdelovalca lahko predmet inšpekcijskega pregleda.
Za zakonito obdelavo osebnih podatkov so odgovorne vaše stranke. Te morajo torej poskrbeti, da lahko podatke posameznikov obdelujejo na zakoniti pravni podlagi (npr. privolitev, pogodba, zakon, javni interes idr.). Posledično vam ni potrebno poskrbeti za pridobitev privolitev od posameznikov.
Kaj morajo imeti urejeno vaše stranke, za vas niti ni tako bistveno, saj morate predvsem poskrbeti za to, da boste sami poslovali skladno z določbami GDPR. Najpomembnejše je, da z vsemi vašimi strankami oz. upravljavci podatkov podpišete pogodbe o obdelavi osebnih podatkov (te bi sicer morali imeti že na podlagi ZVOP-1). V takih pogodbah je potrebno določiti predvsem: (i) vsebino in trajanje obdelave podatkov, (ii) naravo in namen obdelave, (iii) vrste osebnih podatkov, ki jih obdelujete, (iv) kategorije posameznikov, (v) medsebojne pravice in obveznosti upravljavca (npr. izvajanje revizije oz. nadzora nad tem, kako za njih obdelujete osebne podatke), (vi) vaše…
