Od sprejetja splošne uredbe o varstvu osebnih podatkov naprej (uredbe GDPR), ki je neposredno uporabna tudi v Sloveniji, so naši osebni podatki precej bolj varovani kot v preteklosti.

V primeru kršitev imamo državljanke in državljani na voljo obsežno pravno zaščito, ki jo lahko uveljavljamo pri informacijskem pooblaščencu.

A kaj sploh so osebni podatki, ki so jih upravljalci dolžni varovati? To so vse informacije o določeni identificirani osebi, kot recimo ime in priimek, naslov, številka osebne izkaznice/potnega lista, osebni dohodek, kulturni profil, naslov internetnega protokola (IP) in podatki, ki jih hranijo bolnišnice in zdravniki (in ki osebo identificirajo zgolj za zdravstvene namene).

Osebni podatki lahko med obdelavo prehajajo med različnimi podjetji in organizacijami, ki sodijo v dva različna osnovna profila, pri čemer upravljalec podatkov odloča o namenu in načinu obdelave osebnih podatkov, medtem ko obdelovalec podatkov hrani in obdeluje podatke v imenu upravljalca.

Osebne podatke je treba obdelati pošteno in zakonito ter za opredeljen in legitimen namen in se pri tem držati načela minimalizma: obdela naj se samo tiste podatke, ki so potrebni za ta namen.

Osebne podatke je treba obdelati pošteno in zakonito ter za opredeljen in legitimen namen in se pri tem držati načela minimalizma: obdela naj se samo tiste podatke, ki so potrebni za ta namen.

Za zakonito obdelavo osebnih podatkov je sicer treba izpolnjevati vsaj enega izmed naslednjih pogojev: 1.) podjetje (upravljalec) razpolaga s soglasjem posameznika, čigar podatke obdeluje, 2.) podjetje osebne podatke potrebuje, da izpolni pogodbeno obveznost do posameznika, 3.) podjetje osebne podatke potrebuje, da izpolni zakonsko obveznost, 4.) podjetje osebne podatke potrebuje, da obvaruje življenjski interes posameznika, 5.) podjetje osebne podatke obdeluje zato, da opravi zadolžitev v javnem interesu, 6.) če podjetje deluje v legitimnem interesu svojega podjetja, vendar samo če to ne prizadene temeljnih pravic in svoboščin posameznika, čigar podatke obdeluje.

Če pravice posameznika prevladajo nad interesi podjetja, osebnih podatkov podjetje ne sme obdelovati.

Zelo pomembno je, da je soglasje za obdelavo osebnih podatkov, ki ga pridobi podjetje, jasno in nedvoumno. Soglasje mora posameznik podati prostovoljno in na podlagi ustreznih, jasnih in razumljivih informacij, ki jih podjetje za ta namen posreduje.

Soglasje mora biti dano v obliki nedvoumne pritrditve, denimo tako, da posameznik odkljuka okence na spletu. Pomembno je, da tako okence ni že vnaprej odkljukano s strani podjetja. Obdelava osebnih podatkov na podlagi soglasja mora biti samo za namene, za katere je soglasje dano. Izrecno želim poudariti, da mora imeti posameznik vedno na voljo lahko dostopen način, da dano soglasje prekliče.

Kot je omenjeno že zgoraj, v Sloveniji za varstvo osebnih podatkov skrbi informacijski pooblaščenec. Globe za kršitev uredbe GDPR pa so visoke (do 4 odstotke globalnega prometa podjetja). Kazni se lahko izrečejo podjetjem iz vrste razlogov, denimo, če ne pridobijo soglasja posameznika za obdelavo osebnih podatkov, kot tudi, če zbirajo in obdelujejo osebne podatke, ki jih (več) ne potrebujejo. 

Priporočamo