Splošna uredba o varstvu podatkov (GDPR) (Uredba (Evropska unija) 2016/679) je bila sprejeta 27. aprila 2016 in je začela veljati 25. maja 2018. Uredbo so sprejeli Evropski parlament, Svet Evropske unije in Evropska komisija. Z njo se varujejo osebni podatki ljudi po vsej Evropski uniji (EU) in ureja izvoz ter prenos podatkov izven EU. GDPR ima cilj okrepiti pravice posameznikov do nadzora nad njihovimi podatki in hkrati poenostaviti pravila za podjetja znotraj enotnega trga.

Zakaj je GDPR pomemben

GDPR prinaša enoten pravni okvir za obdelavo osebnih podatkov v EU. Uredba nadomešča stari okvir iz direktive iz leta 1995 in je neposredno zavezujoča za vse države članice, kar pomeni, da ni potrebno spreminjati nacionalnih zakonov, razen tam, kjer uredba izrecno dovoljuje nacionalne izjeme (npr. področja zaposlovanja, zdravstva, kazenskega prava). Pomembne posledice so:

  • izboljšana zaščita posameznikovih pravic;
  • jasne obveznosti za upravljavce in obdelovalce osebnih podatkov;
  • izboljšana odgovornost (accountability) in dokumentiranje obdelav;
  • izvoz podatkov iz EU je dovoljen le ob ustreznih varnostnih zagotovilih.

Na kaj se GDPR nanaša (osnovni pojmi)

  • Osebni podatek: vsaka informacija, ki zadeva identificirano ali prepoznavno fizično osebo (ime, naslov, e‑pošta, IP naslov, podatki o zdravju ipd.).
  • Upravljavec (controller): tisti, ki določa namene in sredstva obdelave osebnih podatkov.
  • Obdelovalec (processor): tisti, ki obdeluje podatke v imenu upravljavca.
  • Senzitivni (posebne kategorije) podatki: npr. podatki o zdravju, etnična pripadnost, versko prepričanje — njihova obdelava je praviloma prepovedana razen ob izrecnih izjemah.

Pravni razlogi za obdelavo (zakoniti pravni temelji)

Obdelava osebnih podatkov je zakonita le, če obstaja vsaj en od naslednjih pravnih temeljev:

  • privolitev posameznika (prostovoljna, informirana, specifična in nedvoumna);
  • izpolnitev pogodbe;
  • izpolnitev pravne obveznosti upravljavca;
  • zaščita življenjskih interesov posameznika ali druge osebe;
  • izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti;
  • uveljavljanje zakonitih interesov upravljavca ali tretje osebe (razen če nad njimi prevladajo interesi ali temeljne pravice posameznika).

Pravice posameznikov (podjetnosti podatkov)

GDPR posameznikom daje več ključnih pravic. Upravljavci jih morajo spoštovati in omogočiti njihovo uveljavljanje:

  • Pravica do obveščenosti: kdo obdeluje podatke, z namenom, pravnem temelju, obdobju hrambe itd.
  • Pravica do dostopa: posameznik lahko zahteva kopijo svojih podatkov.
  • Pravica do popravka: popravek netočnih ali nepopolnih podatkov.
  • Pravica do izbrisa (»pravica do pozabe«): v določenih primerih lahko zahteva izbris podatkov.
  • Pravica do omejitve obdelave: začasno zaustavitev obdelave podatkov.
  • Pravica do prenosljivosti podatkov: prejeti podatke v strukturirani, splošno uporabljani obliki in jih prenesti drugemu upravljavcu.
  • Pravica do ugovora: proti obdelavi, ki temelji na zakonitem interesu ali za namene neposrednega trženja.
  • Pravica v zvezi z avtomatiziranimi odločitvami: zaščita pred odločitvami, ki temeljijo samo na avtomatiziranem obdelovanju, vključno s profiliranjem, če povzročijo pravne ali podobno pomembne posledice.

Obveznosti upravljavcev in obdelovalcev

  • vodenje register obdelav (če je obdelava sistematična ali obsežna);
  • izvajanje ocene učinka na varstvo podatkov (DPIA), kadar obdelava predstavlja visoko tveganje za pravice in svoboščine posameznikov;
  • imevanje in upoštevanje tehničnih in organizacijskih ukrepov za varnost podatkov;
  • obveščanje pristojne nadzorne institucije in v nekaterih primerih tudi prizadetih posameznikov ob kršitvah varnosti podatkov (v 72 urah, kjer je mogoče);
  • sklenitev ustreznih pogodb z obdelovalci (processorji) in nadzor nad njihovim delom;
  • imenovanje pooblaščene osebe za varstvo podatkov (DPO), kadar je to obvezno (npr. javne ustanove ali ko obdelava zahteva redno in sistematično opazovanje velikih obsegov osebnih podatkov).

Prenosi podatkov izven EU

Izvoz osebnih podatkov iz EU je dovoljen le, če obstaja zagotovilo ustrezne ravni varstva v tretji državi (v obliki odločbe o ustreznosti) ali če so uporabljeni ustrezni varovalni ukrepi, kot so standardne pogodben klavzule (SCC), zavezujoča podjetniška pravila (BCR) ali izredne izjeme, kadar so pogoji izpolnjeni.

Kazni in sankcije

Za kršitve GDPR so predvidene visoke globe, ki so sorazmerne z resnostjo kršitve. Sistem glob ima dve glavni stopnji:

  • nižja stopnja: do 10.000.000 EUR ali do 2 % letnega svetovnega prometa družbe (katera koli cifra je višja), za določene kršitve (npr. obveznosti v zvezi z evidence obdelav, varstvenimi ukrepi, obveznostmi obveščanja o vdorih);
  • višja stopnja: do 20.000.000 EUR ali do 4 % letnega svetovnega prometa družbe (katera koli številka je višja), za hujše kršitve (npr. kršitve temeljnih načel obdelave, kršitve pravic posameznikov, nezakoniti mednarodni prenosi).

Pri določanju kazni se upoštevajo okoliščine, kot so narava, teža in trajanje kršitve, stopnja namernosti ali malomarnosti, ukrepi za ublažitev škode in predhodne kršitve.

Praktični nasveti

  • Za posameznike: seznanite se s svojimi pravicami; zahtevajte dostop ali izbris, če menite, da so vaši podatki obdelani nezakonito; po potrebi se obrnite na nacionalni nadzorni organ.
  • Za podjetja: izvedite inventuro osebnih podatkov; določite pravni temelj za vsako obdelavo; poskrbite za jasne politike zasebnosti in postopke za odziv na zahteve posameznikov; naredite ocene tveganja in po potrebi DPIA; sklenite pogodbe z obdelovalci in vzpostavite varnostne ukrepe.

Vloga nadzornih organov in princip enega okna (one‑stop‑shop)

Vsaka država članica ima svoj nadzorni organ za varstvo podatkov, ki nadzira izvajanje GDPR v nacionalnem prostoru in lahko izreka sankcije. Za čezmejne zadeve deluje sistem »one‑stop‑shop«, kjer vodilni nadzorni organ (lead supervisory authority) sodeluje z drugimi organi, da zagotovi usklajen pristop v EU.

GDPR je temeljni del sodobnega varstva osebnih podatkov in vpliva na vsakogar — tako na posameznike kot na organizacije. Razumevanje njegovih zahtev in aktivno ukrepanje pripomore k večji zaščiti zasebnosti in zanesljivejšemu upravljanju podatkov.