Zaradi vse večje digitalizacije poslovanja in hitrega razvoja informacijsko-komunikacijske tehnologije je obseg zbiranja osebnih podatkov in pretok informacij o uporabnikih vedno večji. Ker se zbrane podatke uporablja v  različne namene, tako zakonite kot nezakonite, je Evropska unija sprejela Splošno uredbo o varstvu podatkov oz. General Data Protection Regulation (GDPR).

Skladno z uredbo bodo morala ravnati vsa podjetja, ki zbirajo in obdelujejo osebne podatke o strankah, zato je pomembno, da se kot podjetnik, ki vas uredba zadeva, seznanite z novostmi, ki jih prinaša.

Kaj je GDPR?

Uredba GDPR je začela veljati 25. 5. 2016, njene določbe pa se bodo začele neposredno uporabljati v vseh državah članicah 25. 5. 2018. Uredba postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice, navedeno bo pri nas urejal zakon ZVOP-2, ki pa zaenkrat še ni bil sprejet.

Cilj uredbe je predvsem zaščiti posameznika in mu vrniti nadzor nad njegovimi osebnimi podatki ter oblikovati enotni evropski digitalni trg. Z uredbo se varstvo podatkov razširja tudi na tuja podjetja, ki poslujejo v EU in zbirajo informacije o evropskih državljanih.

Za koga velja uredba?

Vsako podjetje ali organ s sedežem v Evropski uniji, ki se pri svojem delu srečuje z obdelavo osebnih podatkov, je dolžan upoštevati predpise varstva osebnih podatkov. K spoštovanju uredbe so zavezana tudi podjetja izven EU, ki blago in storitve nudijo posameznikom v EU in v ta namen zbirajo in hranijo njihove osebne podatke.

Novosti, ki jih prinaša GDPR

Uredba prinaša naslednje novosti:

• razširjeno področje delovanja; GDPR se nanaša na državljane Evropske unije in ne upošteva geografske lokacije sedeža podjetja, ki obdeluje te podatke;
• večji nadzor državljanov nad njihovimi osebnimi podatki in učinkovito izvajanje nadzora nad osebnimi podatki;
• obvezno obvestilo o vdoru v zbirke osebnih podatkov; podjetja morajo vdore prijaviti tri dni po ugotovitvi vdora oziroma odtujitvi podatkov o uporabnikih;
• izrecna privolitev posameznika za obdelavo osebnih podatkov – podjetja se ne bodo več mogla zanašati na “domnevno privolitev”; v skladu z GDPR mora biti privolitev izražena prostovoljno, konkretno, ozaveščeno in nedvoumno;
• pravica dostopa do podatkov – uporabniki bodo lahko od obdelovalca podatkov dobili informacije o tem, ali se njihovi osebni podatki obdelujejo, za kakšen namen in v kolikšnem obsegu; obdelovalec bo te podatke moral priskrbeti brezplačno in v elektronski obliki;
• pravica do pozabe – v primeru ko posameznik ne želi več, da se njegovi osebni podatki obdelujejo, in ko ni več zakonitih razlogov za njihovo nadaljnjo hrambo, bo lahko od obdelovalca podatkov zahteval, da se njegovi osebni podatki izbrišejo;
• pravica do prenosljivosti osebnih podatkov bo olajšala prenos osebnih podatkov, če bo uporabnik storitve želel zamenjati ponudnika storitve (prenos osebnih podatkov k drugemu obdelovalcu podatkov);
• obveza imenovati uradno osebe za varstvo osebnih podatkov (DPO oz. Data Protection Office) za določene pravne osebe, ki obdelujejo večje količine osebnih podatkov oz. posebno občutljive osebne podatke. DPO je še ena novost nove zakonodaje, in sicer gre za osebo, ki bo neodvisno nadzirala obdelavo in hrambo osebnih podatkov in druge procese, povezane s tem namenom;
• finančne kazni za kršitelje – višina kazni bo odvisna od narave kršitve, ta lahko doseže do 20 milijonov evrov ali do 4 % skupnega letnega prometa kršitelja.

Verjetno poznate rek »ignorantia iuris nocet« oziroma »nepoznavanje prava škoduje«, zato ne bodite nespametni in se še podrobneje poučite o novostih, ki jih uredba prinaša ter podrobno spremljajte njeno implementacijo v naš pravni sistem.