GDPR

GDPR je kratica za General Data Protection Regulation ali uradno Uredba EU 2016/679 Evropskega Parlemanta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba). Gre za »novo« Uredbo katere namen je poenotiti in določiti standarde, postopke, pravice in dolžnosti oseb o katerih se osebni podatki zbirajo, upravljavcev in obdelovalcev osebnih podatkov.

V tokratne prispevku podajam samo kratke pregled na koga se Uredba nanaša, kaj je osebni podatek, kdo in na kateri podlagi ga lahko zbira in zakaj je bilo potrebno ponovno dajati privoljenja v zbiranje in obdelavo podatkov.

Uredba se uporablja samo za obdelovanje osebnih podatkov, ki v skladu z Uredbo pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika. Osebni podatek tako ni samo ime in priimek, davčna številka, EMŠO. Ampak tudi IP naslov, naslov elektronskega sporočila in vsak drug indentifikator.

Uredba določa, da je obdelava podatkov zakonita samo takrat, kadar je izpolnjen vsaj eden izmed v nadaljevanju naštetih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Gre za zelo različne situacije v katerih se lahko znajdemo. V določenih primerih upravljavec naše osebne podatke zbere, hrani in obdeluje zato, ker jih mora in mu to dovoljuje že sama zakonodaja države Članice EU. Npr. skleniti želite pogodbo o nakupu nepremičnine. Že sam Obligacijski zakonik in tudi Zakon o zemljiški knjigi določa, da mora biti pogodba pisna. Kupec in prodajalec pa morata biti označena z imenom, priimkom, naslovom in EMŠO številko. Tukaj že zakon predpisuje obvezne sestavine pogodbe in jih boste zaradi opisanega dejansko morali posredovati tistemu (npr. )odvetniku, ki bo sestavil pogodbo. Posebnega privoljenja v obdelavo odvetnik torej ne potrebuje. Za opravljeno delo bo nekomu izstavljen račun. Račun mora vsebovati določene obvezne sestavine že po davčni zakonodaji. Torej zopet ni potrebno vaše privoljenje. Tudi policisti in nekateri drugi organi lahko in celo morajo zahtevati določene osebne podatke od vas, da lahko izvršijo svoje naloge, vi pa ste jih dolžni posredovati. Takšni in podobni primeri niso tako zelo sporni.

Pred uveljavitvijo Uredbe se je največ prahu dvignilo glede pridobivanja soglasij za obdelavo osebnih podatkov. Že do sedaj veljavni Zakon o varstvu osebnih podatkov (ZVOP-1) je pridobivanje soglasij urejal, vendar pa je šla Uredba še dlje in je sedaj to področje še bolj urejeno. Bistveno je, da je Uredba po novem določila, da je obdelava osebnih podatkov, ki se nanašajo na posameznika zakonita če je posameznik dal privoljenje za obdelavo za enega ali več namenov.

V čem je bistvena razlika od vseh do sedaj danih privolitev. Do uveljavitve Uredbe se je pogosto dogajalo, da so različni ponudniki storitev preko spleta, trgovci in drugi pogojevali sklenitev posla, naročilo izdelka, izdelavo kartice ugodnosti s tem, da jim dovolite, da hranijo in obdelujejo vaše osebne podatke, da sprejemate reklamna sporočila, da vas profilirajo kot kupce in dejansko sploh nismo vedeli za kaj se podatki uporabljajo. Z uveljavitvijo Uredbe pa obstaja zahteva, da tisti, ki želi vaše soglasje za obdelavo podatkov mora točno določiti za kateri namen jih bo uporabljala. Če je namenom več, pa vam mora omogočiti tudi možnost, da sami izberete za kateri name dovolite obdelavo vaših podatkov. Teoretično to pomeni, da lahko dovolite obdelavo za izdelavo kartice ugodnosti, ne dovolite pa prejemanje reklamnih sporočil, prejemanje SMS, profiliranje zaradi ciljnega trženja in podobno. Prepovedani so tudi vnaprej obkljukani kvadratki z dovoljenji in podobno.

Tisti, ki bo od vas zbiral podatke (upravljavec) bo moral v vsakem času dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov. Privolitev mora biti pisna in jasna. Če je privolitev dana pisno mora bit iz nje jasno na katere podatke se nanaša in tudi v katere namene dovoljujete obdelavo podatkov. Če se privolitev nanaša tudi na druge zadeve, mora biti jasno razlikovanje med različnimi drugimi zadevami in privolitvijo za zbiranje podatkov. Deli pisne privolitve in izjave, ki bodo kršili prej opisano določilo so neveljavni.

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem je pred privolitvijo potrebno obvestiti posameznika. Posameznik, ki je privolitev dal mora imeti možnost enako enostavno preklicati privolitev kot jo je dal. Opisano v praksi pomeni, da če ste privolitev lahko dali preko spletnega obrazca je nesprejemljivo, da bi morali preklic privolitve dajati težje kot npr. z obiskom točno določenih poslovalnic idr.

Bistveni element privolitve je tudi njena prostovoljnost (razen kadar je določene podatke potrebno posredovati in zbirati že na podlagi zakonodaje in privolitev dejansko ni potrebna). Pri ugotavljanju ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo te pogodbe.

Uredba tako daje možnost posamezniku, da dovoli zbiranje in obdelavo osebnih podatkov za tono določen namen in samo toliko kot dovoli posameznik.

Upravljavec osebnih podatkov, pa ima v zvezi z obveščanjem posameznika določene obveznosti o katerih bom pisal več v prihodnjih prispevkih.