25. maja je v veljavo vstopila evropska Splošna uredba o varstvu podatkov GDPR, ki je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov.
GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov (omenja se kot Splošna uredba).
GDPR je obvezujoča uredba EU in je kot taka nad lokalnimi zakoni ter se neposredno uporablja v vseh državah članicah. V uporabo stopi 25. maja 2018, ko bo nasledila obstoječi Zakon o varstvu osebnih podatkov.
Veljala bo tudi za vse države izven EU, ki uporabljajo podatke evropskih državljanov ali jim prodajajo izdelke in storitve. Obseg zbiranja osebnih podatkov se je zaradi digitalizacije zelo povečal in posledično prihaja tudi do zlorab.
Naj omenimo primer podjetja Yahoo, ki so ga leta 2016 pokradli za pol milijarde podatkov. Med temi so bila tudi imena, e-poštni naslovi in nešifrirana varnostna vprašanja in odgovori.
Kazalo je, da nihče ne more preseči tega, a kasneje v istem letu je zloglasni River City Media poleg ostalih osebnih podatkov javno objavil 1,4 milijardne e-poštnih naslovov. Evropska unija je s ciljem preprečevanja zlorabe podatkov sprejela nov zakonodajni okvir, ki posameznikom omogoča večji nadzor nad uporabo njihovih osebnih podatkov.
Trenutna evropska direktiva je namreč stara 21 let in je s tem popolnoma neprilagojena. Na kaj se GDPR sploh nanaša? Uredba obravnava izključno osebne podatke. Kaj točno so osebni podatki? To so: ime, priimek, naslov, e-pošta, IP-naslov, telefonska številka, podatki o geolokaciji, identifikatorji naprave, preko katere se uporabnik poveže na splet, piškotki, biometrični podatki in podobno. Gre torej za kateri koli podatek, ki se nanaša na posameznika in na podlagi katerega je ta določljiv. Uredba se dotika tudi določenih psevdonimiziranih osebnih podatkov, odvisno od tega, kako težko je identificirati, čigavi so ti podatki.
24. člen GDPR
ODGOVORNOST UPRAVLJALCA
1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.
=> Člen: 32, ,
2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.
3. Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.
30. člen GDPR
EVIDENCA DEJAVNOSTI OBDELAVE
1. Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:
=> Člen: 4,
(a) naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov; ,
(b) namene obdelave;
(c) opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
(d) kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah; ,
(e) kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih; ,
(f) kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
(g) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
2. Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje: , , ,
(a) naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
(b) vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
(c) kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih; ,
(d) kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).
3. Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.
4. Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.
5. Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
