GDPR: Splošna uredba o varstvu osebnih podatkov — razlaga in pomen

GDPR razlaga in pomen: kako uredba varuje osebne podatke, krepi pravice državljanov, vpliva na podjetja ter prinaša kazni do 4 % letnega prometa.

Avtor: Leandro Alegsa

Splošna uredba o varstvu podatkov (GDPR) (Uredba (Evropska unija) 2016/679) je bila sprejeta 27. aprila 2016 in je začela veljati 25. maja 2018. Uredbo so sprejeli Evropski parlament, Svet Evropske unije in Evropska komisija. Z njo se varujejo osebni podatki ljudi po vsej Evropski uniji (EU) in ureja izvoz ter prenos podatkov izven EU. GDPR ima cilj okrepiti pravice posameznikov do nadzora nad njihovimi podatki in hkrati poenostaviti pravila za podjetja znotraj enotnega trga.

Zakaj je GDPR pomemben

GDPR prinaša enoten pravni okvir za obdelavo osebnih podatkov v EU. Uredba nadomešča stari okvir iz direktive iz leta 1995 in je neposredno zavezujoča za vse države članice, kar pomeni, da ni potrebno spreminjati nacionalnih zakonov, razen tam, kjer uredba izrecno dovoljuje nacionalne izjeme (npr. področja zaposlovanja, zdravstva, kazenskega prava). Pomembne posledice so:

  • izboljšana zaščita posameznikovih pravic;
  • jasne obveznosti za upravljavce in obdelovalce osebnih podatkov;
  • izboljšana odgovornost (accountability) in dokumentiranje obdelav;
  • izvoz podatkov iz EU je dovoljen le ob ustreznih varnostnih zagotovilih.

Na kaj se GDPR nanaša (osnovni pojmi)

  • Osebni podatek: vsaka informacija, ki zadeva identificirano ali prepoznavno fizično osebo (ime, naslov, e‑pošta, IP naslov, podatki o zdravju ipd.).
  • Upravljavec (controller): tisti, ki določa namene in sredstva obdelave osebnih podatkov.
  • Obdelovalec (processor): tisti, ki obdeluje podatke v imenu upravljavca.
  • Senzitivni (posebne kategorije) podatki: npr. podatki o zdravju, etnična pripadnost, versko prepričanje — njihova obdelava je praviloma prepovedana razen ob izrecnih izjemah.

Pravni razlogi za obdelavo (zakoniti pravni temelji)

Obdelava osebnih podatkov je zakonita le, če obstaja vsaj en od naslednjih pravnih temeljev:

  • privolitev posameznika (prostovoljna, informirana, specifična in nedvoumna);
  • izpolnitev pogodbe;
  • izpolnitev pravne obveznosti upravljavca;
  • zaščita življenjskih interesov posameznika ali druge osebe;
  • izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti;
  • uveljavljanje zakonitih interesov upravljavca ali tretje osebe (razen če nad njimi prevladajo interesi ali temeljne pravice posameznika).

Pravice posameznikov (podjetnosti podatkov)

GDPR posameznikom daje več ključnih pravic. Upravljavci jih morajo spoštovati in omogočiti njihovo uveljavljanje:

  • Pravica do obveščenosti: kdo obdeluje podatke, z namenom, pravnem temelju, obdobju hrambe itd.
  • Pravica do dostopa: posameznik lahko zahteva kopijo svojih podatkov.
  • Pravica do popravka: popravek netočnih ali nepopolnih podatkov.
  • Pravica do izbrisa (»pravica do pozabe«): v določenih primerih lahko zahteva izbris podatkov.
  • Pravica do omejitve obdelave: začasno zaustavitev obdelave podatkov.
  • Pravica do prenosljivosti podatkov: prejeti podatke v strukturirani, splošno uporabljani obliki in jih prenesti drugemu upravljavcu.
  • Pravica do ugovora: proti obdelavi, ki temelji na zakonitem interesu ali za namene neposrednega trženja.
  • Pravica v zvezi z avtomatiziranimi odločitvami: zaščita pred odločitvami, ki temeljijo samo na avtomatiziranem obdelovanju, vključno s profiliranjem, če povzročijo pravne ali podobno pomembne posledice.

Obveznosti upravljavcev in obdelovalcev

  • vodenje register obdelav (če je obdelava sistematična ali obsežna);
  • izvajanje ocene učinka na varstvo podatkov (DPIA), kadar obdelava predstavlja visoko tveganje za pravice in svoboščine posameznikov;
  • imevanje in upoštevanje tehničnih in organizacijskih ukrepov za varnost podatkov;
  • obveščanje pristojne nadzorne institucije in v nekaterih primerih tudi prizadetih posameznikov ob kršitvah varnosti podatkov (v 72 urah, kjer je mogoče);
  • sklenitev ustreznih pogodb z obdelovalci (processorji) in nadzor nad njihovim delom;
  • imenovanje pooblaščene osebe za varstvo podatkov (DPO), kadar je to obvezno (npr. javne ustanove ali ko obdelava zahteva redno in sistematično opazovanje velikih obsegov osebnih podatkov).

Prenosi podatkov izven EU

Izvoz osebnih podatkov iz EU je dovoljen le, če obstaja zagotovilo ustrezne ravni varstva v tretji državi (v obliki odločbe o ustreznosti) ali če so uporabljeni ustrezni varovalni ukrepi, kot so standardne pogodben klavzule (SCC), zavezujoča podjetniška pravila (BCR) ali izredne izjeme, kadar so pogoji izpolnjeni.

Kazni in sankcije

Za kršitve GDPR so predvidene visoke globe, ki so sorazmerne z resnostjo kršitve. Sistem glob ima dve glavni stopnji:

  • nižja stopnja: do 10.000.000 EUR ali do 2 % letnega svetovnega prometa družbe (katera koli cifra je višja), za določene kršitve (npr. obveznosti v zvezi z evidence obdelav, varstvenimi ukrepi, obveznostmi obveščanja o vdorih);
  • višja stopnja: do 20.000.000 EUR ali do 4 % letnega svetovnega prometa družbe (katera koli številka je višja), za hujše kršitve (npr. kršitve temeljnih načel obdelave, kršitve pravic posameznikov, nezakoniti mednarodni prenosi).

Pri določanju kazni se upoštevajo okoliščine, kot so narava, teža in trajanje kršitve, stopnja namernosti ali malomarnosti, ukrepi za ublažitev škode in predhodne kršitve.

Praktični nasveti

  • Za posameznike: seznanite se s svojimi pravicami; zahtevajte dostop ali izbris, če menite, da so vaši podatki obdelani nezakonito; po potrebi se obrnite na nacionalni nadzorni organ.
  • Za podjetja: izvedite inventuro osebnih podatkov; določite pravni temelj za vsako obdelavo; poskrbite za jasne politike zasebnosti in postopke za odziv na zahteve posameznikov; naredite ocene tveganja in po potrebi DPIA; sklenite pogodbe z obdelovalci in vzpostavite varnostne ukrepe.

Vloga nadzornih organov in princip enega okna (one‑stop‑shop)

Vsaka država članica ima svoj nadzorni organ za varstvo podatkov, ki nadzira izvajanje GDPR v nacionalnem prostoru in lahko izreka sankcije. Za čezmejne zadeve deluje sistem »one‑stop‑shop«, kjer vodilni nadzorni organ (lead supervisory authority) sodeluje z drugimi organi, da zagotovi usklajen pristop v EU.

GDPR je temeljni del sodobnega varstva osebnih podatkov in vpliva na vsakogar — tako na posameznike kot na organizacije. Razumevanje njegovih zahtev in aktivno ukrepanje pripomore k večji zaščiti zasebnosti in zanesljivejšemu upravljanju podatkov.

Uveljavljena pravila

[icon]

V tem razdelku je treba navesti več informacij.

Splošna uredba o varstvu podatkov uveljavlja pravila, ki ljudi ščitijo pred najrazličnejšimi težavami z zasebnostjo. Uveljavlja pravico ljudi, da se zakonito dogovorijo s podjetji o uporabi njihovih zasebnih podatkov. Prav tako uveljavlja pravico ljudi, da podjetje nima več dostopa do njihovih zasebnih podatkov. Prav tako uveljavlja, da imajo uporabniki pravico dovoliti, da njihovi zasebni podatki postanejo javni ali ne. Uredba tudi zagotavlja, da se noben osebni podatek ne obdeluje, če uporabnik obdelovalcu osebnih podatkov tega ni dovolil.

Časovna os

  • 25. januar 2012: Objavljen je bil predlog Splošne uredbe o varstvu podatkov.
  • 21. oktober 2013: Odbor Evropskega parlamenta za državljanske svoboščine, pravosodje in notranje zadeve (LIBE) je glasoval o tem, ali naj GDPR postane nova uredba za ljudi v Evropi.
  • 15. december 2015: Evropski parlament, Svet in Komisija (uradno tristransko srečanje) razpravljajo o Splošni uredbi o varstvu podatkov. Na ta dan je bil pripravljen skupni predlog Splošne uredbe o varstvu podatkov.
  • 17. december 2015: Odbor Evropskega parlamenta za državljanske svoboščine, pravosodje in notranje zadeve (LIBE) je glasoval za pogajanja med tremi strankami.
  • 8. april 2016: Evropska unija je sprejela Splošno uredbo o varstvu podatkov. Edina država članica, ki je glasovala proti, je bila Avstrija, ki je trdila, da več vidikov nove uredbe v primerjavi z direktivo o varstvu podatkov ni zadovoljivih.
  • 14. april 2016: Evropski parlament je sprejel Splošno uredbo o varstvu podatkov, ki je nadomestila dosedanjo direktivo o varstvu podatkov.
  • 24. maj 2016: Splošna uredba o varstvu podatkov se je začela uporabljati po vsem svetu, vendar se še ne izvaja v celoti. To je 20 dni po objavi Splošne uredbe o varstvu podatkov v Uradnem listu Evropske unije.
  • 25. maj 2018: Splošna uredba o varstvu podatkov se začne v celoti izvajati po vsem svetu. To sta dve leti od njene uveljavitve.
  • julij/avgust 2018: GDPR se bo začela izvajati na Islandiji, v Lihtenštajnu in na Norveškem. Te tri države so se pridružile Skupnemu odboru EGP, saj so se vse strinjale, da bodo upoštevale uredbo.

Vprašanja in odgovori

V: Kaj je splošna uredba o varstvu podatkov (GDPR)?


O: Splošna uredba o varstvu podatkov je uredba, ki so jo sprejeli Evropski parlament, Svet Evropske unije in Evropska komisija in varuje osebne podatke ljudi po vsej EU.

V: Kdaj je začela veljati?


O: Uredba je začela veljati 25. maja 2018.

V: Kaj je cilj uredbe GDPR?


O: Namen GDPR je državljanom zagotoviti nadzor nad njihovimi osebnimi podatki in poenostaviti predpise za gospodarske odnose z drugimi državami s poenotenjem postopkov EU.

V: Ali uredba nadomešča obstoječe zakone?


O: Da, nadomešča direktivo o varstvu podatkov iz leta 1995.

V: Ali je treba za uskladitev z GDPR spremeniti lokalne zakone?


O: Ne, ker je ta uredba zavezujoča, spremembe lokalnih zakonov v EU niso potrebne.
V: Kaj se zgodi, če nekdo ali podjetje ne ravna v skladu z zakonodajo GDPR? O: Lahko jim grozi kazen v višini do 20 000 000 EUR ali do 4 % dobička podjetja v preteklem letu, odvisno od tega, katera številka je višja.


Iskati
AlegsaOnline.com - 2020 / 2025 - License CC3