Go to Top

Osebni podatki: 5 vprašanj, na katera morate odgovoriti pred 25. majem!

Manj kot mesec dni nas loči do začetka uporabe Splošne uredbe o varstvu osebnih podatkov ali GDPR. Bolj ko se približujem 25. maju – dnevu, ko se bodo osebni podatki morali pridobivati, obdelovati in hraniti na drugačen način – več vprašanj in nejasnosti je. Mi odgovarjamo na 5 osnovnih vprašanj, ki si jih mora pred uveljavitvijo uredbe zastaviti vsak podjetnik.

>>> Podjetniki, ki ste nedavno opravili postopek za ustanovitev podjetja, lahko vse svoje nove obveznosti spoznate na brezplačnem izobraževanju Podjetnik sem – kaj pa zdaj?.

Ste ravnokar registrirali svoje podjetje in tako postali podjetnik? Kaj pa zdaj?

1. Ali imam osebne podatke?

Osebni podatki po GDPR so katerakoli informacija v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti z navedbo identifikatorja.

V praksi so osebni podatki: ime, priimek, davčna številka, EMŠO, elektronski naslov, ID – naslov, fotografija, kjer je posameznik prepoznaven. Poleg osebnih podatkov pozna uredba tudi posebno vrsto osebnih podatkov. To so osebni podatki, ki razkrivajo rasno ali etično poreklo, politično mnenje, versko ali filozofsko prepričanje, članstvo v sindikatu, in obdelava gentskih podatkov, biometričnih podatkov, zdravstveni podatki, podatki v zvezi s posameznikovim spolnim življenjem ali spolna usmerjenost.

Če ima podjetje enega od zgoraj naštetih podatkov, ima osebni podatek po GDPR.

>>> GDPR – ste pripravljeni? Če potrebujete konkreten nasvet, vam nudimo pravno svetovanje.

2. Zakaj zbiram določene osebne podatke?

Pravna podlaga za zbiranje osebnih podatkov je lahko zakon, pogodba ali pa soglasje posameznika. Na primer, Zakon o evidencah na področju dela in socialne varnosti določa, katere osebne podatke je delodajalec dolžan zbirati. Za zbiranje teh podatkov torej delodajalec NE potrebuje soglasja posameznika, podlago za obdelavo podatkov ima namreč že v zakonu.

Prav tako so denimo osebni podatki potrebni za izpolnitev pogodbene obveznosti – za odobritev kredita banka želi, da posameznik posreduje kar precej osebnih podatkov. Če želi, da se kreditna pogodba izpolni, mora torej najprej posredovati podatke.

Seveda pa obstaja tudi možnost soglasja. Posameznik se torej lahko sam strinja z določenim namenom zbiranja osebnih podatkov. Na primer, strinja se, da mu podjetje pošilja reklamne letake; strinja se, da prejema spletne novice; strinja se, da ga društvo obvesti o svojih izletih …

3. Ali po izpolnitvi namena osebni podatek izbrišem oziroma uničim?

osebni podatki

Kako ravnati po izpolnitvi namena, zaradi katerega so bili osebni podatki zbrani, je odvisno od tega, za kakšen podatek gre in ali že zakonodaja ali pogodba določa, kako dolgo je treba določen osebni podatek hraniti. Na primer, če se posameznik naroči na spletne novice, se njegovo ime, priimek in elektronski naslov hranijo do preklica.

4. Kdo zbira, hrani, obdeluje, posreduje osebne podatke? In kje so osebni podatki shranjeni?

Upravljanje z osebnimi podatki je pravno, računalniško (IT) in tudi organizacijsko vprašanje znotraj podjetja. Uredba določa nekatera pravila in cilje, kako se bo to v praksi realiziralo, pa ni jasno določeno. Zato je Informacijski pooblaščenec dal nekaj priporočil.

Osebne podatke znotraj podjetja obdeluje oseba, ki ima za to pravno podlago (se pravi bodisi zakon, pogodba ali soglasje posameznika za obdelavo). Potrebno je torej, da se ve, kdo ima zakonito podlago za obdelavo ter da se dostop omeji tistim, ki nimajo podlage za obdelavo osebnih podatkov. Na primer, da oddelek marketinga nima dostopa do plačilnih list računovodstva. Določi in loči se po posameznih funkcijah, kdo zbira katere podatke, kje se shranjujejo, kdo lahko te podatke posreduj.

Podjetja so dolžna zagotoviti revizijsko sled. Za kako dolgo obdobje to velja, pa naj bi določil prenovljeni slovenski Zakon o varstvu osebnih podatkov, ki za zdaj še ni bil sprejet.

Uredba pravi še, da je obdelovalec je dolžan zagotavljati zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na način, da obdelava izpolnjuje zahteve iz te uredbe.

Organizacijski vidik (ki ni zapisan v uredbi, je pa v priporočilih informacijskega pooblaščenca) je, da so omare zaklenjene, da so ključi ločeni od omar, da imajo dostop do osebnih podatkov samo določene osebe v času uradnih ur, da imata dostop le dve osebi hkrati …

>>> Da bo vaše poslovanje ustrezno in uspešno, nadgrajujete svoje podjetniško znanje. Vabljeni na naša podjetniška izobraževanja, med katerimi je tudi Abeceda poslovanja.

Ste sveži podjetnik brez izkušenj z vodenjem poslov? Ali veste kakšne so vaše nove obveznosti? Znate izstaviti račun?

5. Ali so zbrani podatki res potrebni za dosego rezultatov ali se jim lahko odpovem?

Uredba pravi, da je potrebno omejiti namen, za katerega se zbirajo osebni podatki  ter da je potrebno zbirati najmanjši obseg podatkov. Podatki morajo biti zbrani za določen, izrecen in zakonit namen ter se ne smejo obdelovati na način, ki ni združljiv s tem namenom.

Vam osebni podatki poročajo težave? Obrnite se na naše pravnike!

V podjetju DATA ponujamo pravno svetovanje na način, da najprej s stranko preverimo ali zbira in obdeluje osebne podatke in torej sploh mora izpolnjevati obveznosti po GDPR ali ne. Za tiste, ki osebne podatke zbirajo in obdelujejo, potem izvedemo nadaljnje svetovanje, kako pravilno ravnati z osebnimi podatki, kdaj jih lahko sploh zbirajo in obdelujejo, kako lahko to počnejo. Podjetnikom lahko pripravimo tudi pravilnik ter svetujemo glede ostalih obveznosti.

>>> Naše pravnike lahko pokličete na 01 6001 530 ali jim pišite na data@data.si!

Avtorici besedila sta Anja Gašperlin in Dominika Ahačič, DATA d. o. o.

Dodajte svoj komentar

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja