Pogledali smo, kaj pomeni uveljavitev splošne uredbe o varstvu podatkov (GDPR – general data protection regulation), ki določa nova pravila varstva osebnih podatkov, uporabljati pa jo moramo začeti 25. maja letos. GDPR je krovni zakon s področja varstva podatkov, ki ga je EU sprejela 27. aprila 2016, in nadomešča prejšnjo zakonsko ureditev. Trenutno v Sloveniji področje varstva podatkov ureja zakon o varstvu osebnih podatkov (ZVOP-1), v pripravi pa je nov.
Pri odgovorih na nekatera vprašanja GDPR nam je pomagal Aleš Medved, pravnik, med drugim že pooblaščena oseba za varstvo podatkov pri Mikrografiji, ki o tej temi prireja poslovni zajtrk 4. aprila. Uredba po Medvedovem mnenju uvaja več reda predvsem z vidika poenotenja zakonodaje. Njen osnovni namen je omejiti izrabljanje osebnih podatkov iz zbirk velikih multinacionalk, kot sta Google in Facebook, ki živita od prodaje osebnih podatkov. Prehodno obdobje pa je namenjeno temu, da lahko države na nacionalni ravni nekatere stvari bolje uredijo.
Snemanje delovnih mest
Ena od njih je na primer videosnemanje. Povsem jasno mora biti, kakšen je namen snemanja, in če je prišlo do prekoračitev, je treba snemanje prekiniti. »To pomeni, da snemanje delovnih mest ni dovoljeno, saj pomeni vdor v zasebnost. Kontrola na hodniku in pri registracijski uri je upravičena, ampak samo na tistem območju. To velja tudi za snemanje proizvodnih prostorov. Izgovor, da so posnetki namenjeni delovnemu inšpektorju v dokazilo, da podjetje spoštuje predpise iz varstva pri delu, ne zdrži. To namreč določajo zakoni in podzakonski predpisi ter ocene tveganja in drugi notranji predpisi podjetja.«
Uredba sicer snemanja sploh ne opredeljuje, kar pomeni, da mora to urediti nacionalna zakonodaja. Trenutno to ureja veljavni ZVOP-1. Novi zakon o varstvu osebnih podatkov (ZVOP-2) je bil že potrjen v vladi, ki ga je v teh dneh tudi že poslala v državni zbor.
Zbiranje podatkov o kandidatih
GDPR prinaša izziv tudi kadrovskim službam. »Problem so tako kadrovske mape in zbiranje podatkov o kandidatih kakor tudi zaposlitveni oglasi. Pri prijavljanju na delovno mesto ima kandidat zakonito podlago, da delodajalcu posreduje različne osebne podatke. Podjetje je že zdaj zavezano, da v kadrovskih mapah ne hrani kopij dokumentov, kot so osebna izkaznica, bančna kartica in podobno. To opredeljuje tudi zakon o evidencah na področju dela in socialne varnosti (ZEPDSV). Podjetje nima prav nobene podlage, da to počne, lahko pa seveda zaradi zaposlitvenega procesa te podatke prepiše v neki drug dokument in hrani v kadrovski mapi delavca. Poglejmo še primer, ko v kadrovsko službo prihajajo prošnje za zaposlitev v času, ko podjetje nima objavljenega zaposlitvenega oglasa. »Podjetje tedaj dejansko nima zakonite podlage, da to zbira, in osebnih podatkov iz teh ponudb ne bi smelo obdelovati. Ne smemo več zbirati osebnih podatkov na zalogo! Hramba osebnih podatkov se namreč šteje za obdelavo osebnih podatkov,« pojasnjuje Medved.
Visoke kazni
Lahko pa bi kandidata s povratnim sporočilom vprašali za dovoljenje, ali se strinja, da hranimo njegove podatke v naši bazi. V tem primeru bi načeloma dobili privolitev za obdelavo podatkov. V prihodnje gre pričakovati, da se bo prav zaradi določil o hrambi osebnih podatkov več podjetij odločalo za kadrovanje prek kadrovskih agencij.
Če podjetja ne bodo spoštovala GDPR, jih lahko doleti kazen v višini 20 milijonov evrov ali štirih odstotkov celotnih prihodkov. Kazen se določi na temelju presoje, kaj je več. Je pa ta kazen verjetno namenjena hudim ponavljajočim se kršitvam varstva osebnih podatkov.
Po mnenju Aleša Medveda podjetja, ki že imajo različne standarde ISO (npr. ISO 27001, ISO 9001 in drugi) s področja informacijske varnosti in se torej zavedajo, zakaj je pomembno, da so procesi popisani, ne bodo imela pretiranih težav, saj že zdaj vedo, kje se zbirajo osebni podatki in kdo je zanje odgovoren. Večina pa jih tega ne dela.
Ureditev za majhne
GDPR ne zadeva vseh. »Seveda nekemu frizerskemu salonu, ki ima nekaj deset stalnih strank, ni treba imeti pooblaščene osebe za varstvo osebnih podatkov in drugih tovrstnih ukrepov. V nekem aktu lahko zapiše, kje hranijo osebne podatke in da je tveganje, da bi imel kdo dostop do njih, majhno oziroma da tveganja za vdor ni. Uredba namreč govori o sistematični obdelavi podatkov, kjer jih je veliko in gre za avtomatizirano obdelavo.«
Kako daleč si upa iti Slovenija?
Uredba v 42. členu določa tudi možnost izdaje certifikatov o varstvu podatkov. V Sloveniji tega za zdaj še nimamo, je opozoril Aleš Medved, ki se ne strinja, da predlog ZVOP-2 za pooblaščeno osebo za varstvo podatkov določa bistveno strožje pogoje, kot to zahteva evropska uredba. Predvsem naj bi bil to strokovnjak z univerzitetno izobrazbo, poleg tega naj bi imel vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov. Meni, da je preveč odprtih vprašanj, kako se bodo dokazovale delovne izkušnje.
»Imamo možnost, da postavimo višje standarde in smo tako privlačna in zanesljiva država, kjer so osebni podatki varni, ker imamo dobro kibernetsko zaščito, ker so podatki zaščiteni s procesi, pravilniki, in kar je najbolj pomembno, s tem ozavestimo ljudi. Prav pri slednjem smo zelo šibki. Konkretnih predlogov še vedno ni. Lahko so nam za zgled Nizozemci, ki želijo ozaveščanje o varstvu osebnih podatkov dvigniti na še višjo raven in so dali jasno sporočilo vsem, ki se ukvarjajo z obdelavo osebnih podatkov, saj znaša kazen za primer, da podatki uidejo, deset odstotkov prihodkov,« je poudaril Medved.
Informacijski pooblaščenec je pripravil priporočila v desetih korakih.
