Kaj je uredba o varovanju osebnih podatkov oziroma GDPR?

V zadnjih dveh letih je bilo zares veliko govora o varovanju osebnih podatkov in o Uredbi GDPR. General data protection regulation ali na kratko GDPR je uredba, ki ureja področje upravljanja in obdelave osebnih podatkov, poudarek pa daje predvsem na varnost in upravljanja in obdelave osebnih podatkov. Cilj uvedbe uredbe o varovanju osebnih podatkov je bil sistemsko urediti področje upravljanja in obdelave osebnih podatkov tako znotraj kot tudi zunaj meja Evropske unije.

Katera načela je pri zbiranju in obdelavi podatkov potrebno upoštevati?

V Sloveniji varovanje osebnih podatkov ureja Zakon o varstvu osebnih podatkov, od leta 2018 pa tudi GDPR, ki smo jo morali implementirati v svojo zakonodajo. Uredba o varovanju osebnih podatkov je v našo zakonodajo na področju varovanja osebnih podatkov prinesla številne novosti, ki smo se jim morali prilagoditi in se nanje navaditi. Bistvene novosti in spremembe novega okvirja varstva osebnih podatkov v Evropi so razvidna iz osnovnih načel GDPR:

• Zakoniti namen: Osebni podatki so lahko zbrani zgolj za določene, izrecne in zakonite namene, kar pomeni se zbrani osebni podatki ne smejo obdelovati za druge namene za katere niso bili pridobljeni ali obdelovati na način, ki ni združljiv z nameni za katere so bili zbrani.
• Načelo najmanjšega obsega podatkov vsem obdelovalcem osebnih podatkov nalaga, da zbirajo in obdelujejo podatke, ki jih za izvajanje aktivnosti nujno potrebujejo in s katerimi so posamezniki, katerih podatki se obdelujejo, soglašali.
• Načelo točnosti nalaga, da se mora ves čas zbiranja in obdelovanja podatkov preverjati njihova resničnost oziroma točnost.
• Načelo omejitve shranjevanja določa, da so osebni podatki shranjeni le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo.
• Načelo celovitosti in zaupnosti vpeljuje obveznost obdelave na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno obdelavo.
• Vsekakor pa je eno izmed najpomembnejših načel načelo odgovornosti, ki od organizacij upravljavcev zahteva skladnost s temeljnimi načeli in sposobnost dokazati skladnost obdelave s temeljnimi načeli.

Poleg naštetih načel pa nova ureditev varovanja osebnih podatkov, posameznikom, katerih podatki se obdelujejo, ponuja tudi številne pravice. Prva izmed slednjih je pravica biti informiran. Ta pravica posameznikom omogoča, da so obveščeni o tem, kateri njihovi osebni podatki se obdelujejo pri organizaciji. Pravica dostopa vključuje potrditev, da se osebni podatki v zvezi s posameznikom obdelujejo. Ta pravica določa tudi dostop do osebnih podatkov posameznika in druge podporne informacije. Posameznik ima tudi pravico do popravka in izbrisa ter pravico izbrisa in pozabe. Prva je dobrodošla, kadar so podatki nepravilni in jih je potrebno popraviti, druga pa, če posameznik želi, da se njegovi osebni podatki izbrišejo. Posameznik ima tudi pravico do omejitve obdelave, ki velja v primerih, ko posameznik oporeka točnosti osebnih podatkov, ko je obdelava nezakonita in posameznik nasprotuje izbrisu ter zahteva omejitev uporabe ali ko podatki niso več potrebni za namen obdelave, posameznik pa jih potrebuje za uveljavitev pravnih zahtevkov.

Možnost pridobitve dodatne poklicne kvalifikacije s področja GDPR

Vidimo lahko torej, da je področje varovanja osebnih podatkov relativno kompleksno, posamezniki, ki se z omenjenim področjem ukvarjajo, pa morajo biti o vsem skupaj dobro podučeni in poznati podrobnosti omenjenega področja. Ker se v Uradnem listu Republike Slovenije d.o.o. tega zavedamo, samo pripravili možnost pridobitve dodatne poklicne kvalifikacije posameznikom, ki se s področjem varovanja osebnih podatkov vsakodnevno srečujejo ali morda celo delujejo ali pa želijo delovati v podjetjih, ki osebne podatke zbirajo in obdelujejo. S pomočjo pridobitve dodatne poklicne kvalifikacije bo posameznik poglobil svoje znanje in tako omogočil pravilno delovanje v sferi Uredbe o varstvu osebnih podatkov. Potrdilo bodo lahko posamezniki pridobili kar z opravljanjem pisanega izpita preko interneta in nato z ustnim zagovorom. Po opravljenem izobraževalnem programu in izpitu pred strokovno komisijo bo kandidat pridobil Potrdilo o pridobitvi dodatne kvalifikacije Strokovnjak/ strokovnjakinja za varstvo osebnih podatkov.

Kdo je lahko DPO in katere naloge pri obdelovalcu osebnih podatkov opravlja?

Postavlja pa se tudi vprašanje ali je posameznik z omenjenim potrdilom lahko pooblaščena oseba za varstvo osebnih podatkov oziroma DPO v določenem podjetju. Pooblaščena oseba za varstvo osebnih podatkov se imenuje na podlagi poklicnih odlik, zlasti pa strokovnega znanja o zakonodaji in praksi na področju varstva osebnih podatkov ter zmožnosti za izpolnjevanje nalog DPO. Natančno mora torej poznati Zakon o varstvu osebnih podatkov in Uredbo o varovanju osebnih podatkov ter vse podzakonske akte, ki urejajo to področje. DPO bo pri upravljavcu osebnih podatkov opravljal pomembne naloge svetovanja izobraževanja in zagotavljanja skladnosti s predpisi s področja varovanja osebnih podatkov, poleg tega pa bo odgovarjal tudi na vprašanja oseb, katerih podatki se v organizaciji obdelujejo. Njegova vloga bo relativno neodvisna od delodajalca, saj mu ta ne bo mogel dajati navodil.

Pridobljeno potrdilo za opravljanje dela pooblaščene osebe za varstvo osebnih podatkov ni potrebno (čeprav je zelo dobrodošlo), hkrati pa tudi ne zagotavlja, da bo razpisano mesto pripadlo prav posamezniku s potrdilo.