Splošna uredba o varstvu podatkov – GDPR - MEDIC.si

Se sprašujete, kako zagotoviti skladnost poslovanja z GDPR uredbo?

Četrtega maja 2016 sta bila v Uradnem listu Evropske unije objavljena pomembna gradnika novega zakonodajnega svežnja EU o varstvu osebnih podatkov, in sicer:

  • Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
  • Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ.

Splošna uredba o varstvu podatkov (angl. General Data Protection Regulation – GDPR; v nadaljevanju uredba) je začela veljati 25. maja 2016, njene določbe pa so neposredno uporabljive v vseh državah članicah. Rok za prenos določb direktive v nacionalno zakonodajo je prav tako dve leti.

Torej bo moralo biti od 25. maja 2018 naprej naše poslovanje skladno z zahtevami uredbe. Skladnost zagotovimo z organizacijskimi, postopkovnimi in tehničnimi ukrepi.

 

Kaj prinaša?

  • Zbiranje osebnih podatkov na podlagi privolitve, ki mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati privolitev v zbiranje in obdelavo svojih osebnih podatkov. Treba je podrobno preveriti veljavnost obstoječih privolitev.
  • Način za preklic privolitve mora biti enako enostaven kot podaja privolitve. Posameznik ima pravico do umika soglasja za nadaljnjo obdelavo osebnih podatkov, posebej v primeru neposrednega trženja.
  • Upravljavci morajo upoštevati načeli vgrajenega in privzetega varstva osebnih podatkov.
  • Pravica do prenosljivosti podatkov – dolžnost upravljavca, da posamezniku zagotovi osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki.
  • Upravljavci morajo posamezniku zagotoviti pregledne in enostavno dostopne informacije o obdelavi njegovih podatkov.
  • Obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov – upravljavec mora o kršitvi brez nepotrebnega odlašanja (najpozneje v 72 urah) obvestiti nadzorni organ. V določenih primerih mora o tem obveščati tudi posameznike.
  • Imenovanje pooblaščene osebe za varstvo podatkov – javni sektor ter podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, ki pomenijo redno in sistematično obsežno spremljanje posameznikov, ali pa obsežno obdelavo posebnih vrst podatkov, bodo morali imenovati odgovorno osebo za varstvo osebnih podatkov.
  • Evidence obdelav (namesto dosedanjih katalogov zbirk osebnih podatkov) – upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v centralni register zbirk osebnih podatkov, ostaja pa za določene upravljavce (in po novem v določenem delu tudi za pogodbene obdelovalce) obveznost vodenja katalogu podobne evidence dejavnosti obdelave.
  • Predhodne ocene učinka v zvezi z varstvom osebnih podatkov – v določenih primerih bodo tovrstne predhodne analize o spoštovanju temeljnih načel varstva osebnih podatkov obvezne za upravljavce – ocena tveganj.
  • Nadzor vse na enem mestu – v primeru, ko obdelava osebnih podatkov poteka v več kot eni državi članici, bo načeloma en sam t.i. vodilni nadzorni organ pristojen za spremljanje vseh teh dejavnosti. Pristojni vodilni nadzorni organ bo v teh primerih organ države članice, v kateri je glavna ali edina enota upravljavca ali obdelovalca.
  • Kodeksi ravnanja in potrjevanje (certifikacija) – večji poudarek kodeksom ravnanja in postopkom potrjevanja kot novim preventivnim mehanizmom za zagotavljanje in izkazovanje ustreznega ravnanja z osebnimi podatki.
  • Sankcije naj bi bile učinkovite, sorazmerne in odvračilne. Upoštevano bo več kriterijev glede teže kršitve, lahko pa bodo zelo visoke.

 

Kako pristopiti?

  • Analiza, kaj prinaša uredba? Ključno za planiranje in izvedbo potrebnih organizacijskih, postopkovnih in tehničnih ukrepov je razumevanje, kakšne konkretne zahteve glede na kontekst organizacije uredba prinaša. Potrebno je preveriti vseh 99. členov uredbe!
  • Analiza, katere osebne podatke sploh zbiramo in obdelujemo? Kako jih zbiramo, obdelujemo, kje in koliko časa jih hranimo? Uredba namreč zahteva, da se vsi osebni podatki državljanov članic EU hranijo na strežnikih v EU. Podlaga za to so lahko katalogi zbirk osebnih podatkov, ki pa verjetno niso aktualni in novelirani.
  • Ocena stanja pripravljenosti. Ko imamo vzpostavljen pregled nad osebnimi podatki, ki jih zbiramo in njihovimi tokovi obdelave ter hrambe, lahko ocenimo vrzeli – med tem, kar bi morali imeti in kar imamo. Pri tem ocenjujemo primernost organizacijskih, procesnih, tehničnih in drugih mehkih dejavnikov (npr. osveščenost osebja, ki obdeluje podatke) z zahtevami uredbe. Za področja, ki niso skladna z zahtevami, izdelamo plan ukrepov in izvedbe. Pri tem nam lahko izdatno pomaga standard ISO IEC 27001:2013, ki opredeljuje zahteve za vzpostavitev in delovanje sistema varovanja informacij.
  • Ocena tveganj v povezavi s tretjimi strankami. Vsaka organizacija ima vzpostavljene določene poslovne procese in razmerja s tretjimi strankami, na primer s ponudniki storitev procesiranja in hrambe podatkov v oblaku – javnem ali zasebnem. Za vsako takšno razmerje je potrebno dokumentirano proučiti njegovo skladnost z zahtevami uredbe, oceniti tveganje izpostavljenosti ter izvesti ukrepe za zagotovitev skladnosti in zmanjšanje tveganj.
  • Sposobnost hitrega ukrepanja. Ena izmed zahtev uredbe je obvezno poročanje o kršitvah varstva osebnih podatkov v 72-urah od dogodka. Torej moramo imeti vzpostavljen primeren nadzor nad našimi informacijskim sredstvi – proces zaznavanja incidentov, ocene posledic, ukrepanja, poročanja. Da lahko zagotovimo takšno odzivnost, moramo pričeti s projektom takoj.

 

Kako vam lahko pomagamo v Medic sistemi d.o.o.?

Če se vam je pri katerem od zgoraj opisanih splošnih zahtev uredbe porodilo vprašanje, dilema, zavedanje po potrebnem ukrepanju, vam lahko pomagamo.

Odlikuje nas celovito poznavanje:

  • zahtev in posebnosti različnih panog,
  • sodobnih informacijskih tehnologij – strojne in programske opreme,
  • informacijske varnosti,
  • projektnih pristopov.

Veseli bomo vašega klica na telefonsko številko 07 33 21 610 ali vprašanja poslanega na eNaslov vašega skrbnika ali na info@medic.si.