Motiv, da sem napisal spodnje besedilo, je bil, da še enkrat na enem mestu odgovorim na nekaj ključnih vprašanj, zmot in mitov, ki jih moramo vsi, ki obdelujemo osebne podatke, poznati in upoštevati pred 25. majem.
Pri tem, ko sem se pripravljal na pisanje, me je v nekem trenutku prešinilo: »Kaj pa blockchain?« Ali lahko tako ultimativen in trenutno tako opevan sistem zaupanja pomaga pri ureditvi skladnosti?
Ampak bolj ko sem začel razmišljati o tem, kako blockchain deluje in kakšne so njegove prednosti ter omejitve, bolj zmeden sem postal. Glede na to, da blockchain zagotavlja, da lahko uporabniki urejajo zgolj tiste dele verige podatkovnih blokov, ki jih imajo v lasti, javni pa so le podatki o transakcij (časovni žig), ko je bil posamezen zapis ustvarjen, si ne predstavljam boljše rešitve za dokazovanje tega, kdaj je na primer posameznik dal neko privolitev ali spreminjal namene. Po drugi strani pa si, glede na to, da je brisanje podatkov iz blockchaina tako rekoč nemogoče, ne predstavljam, kako se bo zagotavljala pravica do pozabe.
Če pustim ob strani, ali je zaradi tega sam blockchain skladen z GDPR-jem in najprej pogledam skozi danes najbolj vsakdanja vprašanja glede GDPR-ja …
1. Z GDPR-jem se mi ni treba ukvarjati, počakam lahko, da bo sprejet ZVOP-2
Osebno ne verjamem, da bo implementacija v lokalno zakonodajo izvedena, preden se začne GDPR uporabljati. Ne glede na to, kdaj bo sprejet ZVOP-2, pa se uredba uporablja neposredno. Tudi ko bo ZVOP-2 sprejet, ne sme spreminjati določb uredbe, dodatno lahko uredi le nekatera vsebinska in postopkovna vprašanja.
Glede na to, da je časa le še približno 2 meseca, je moj predlog, da se čim prej lotite urejanja skladnosti. Začnite tako, da določite osebo, odgovorno za varstvo osebnih podatkov (DPO), če spadate v skupino, ki je temu obvezana, uredite pogodbene odnose z obdelovalci osebnih podatkov (v nadaljevanju OP) in partnerji, uredite varnostno politiko in njeno izvajanje, uskladite mesta zajema OP z zahtevami GDPR in zagotovite vsem posameznikom, katerih OP obdelujete, njihove pravice (upravljanje privolitev, seznanitev z OP, oddajo zahteve za spremembo OP, prenosljivost OP ter pravico do pozabe). Uporaben letak 10 korakov za pripravo na GDPR je objavljen na strani informacijskega pooblaščenca. Kot sem zapisal zgoraj, je blockchain ustrezen za zagotavljanje dela teh pravic, a se bojim, da jih v enem delu celo omejuje. Poleg tega pa vsaj jaz še nisem našel na blockchainu delujoče rešitve, kot je na primer naš NBX GDPR-portal.
2. Vedno moramo pridobiti privolitev
Tam, kjer ni druge pravne podlage za zbiranje OP, je treba pridobiti privolitev. Pri tem privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni: vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali drugačnega jasnega aktivnega delovanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerimi izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj.
Druge pravne podlage, ki obstajajo, dovoljujejo ali celo zahtevajo obdelavo OP, so tiste, kjer je obdelava potrebna za:
- izvajanje pogodbe ali za postopek sklenitve pogodbe,
- izpolnitev določil drugih zakonskih obveznosti,
- zaščito življenjskih interesov posameznika,
- drug upravičen interes ali opravljanje naloge v javnem interesu.
Te podlage niso čarovna palica, s katerimi boste razložili kakršnokoli obdelavo OP, in tudi pri teh je vedno treba upoštevati:
- zakonitost, pravičnost in preglednost obdelave,
- omejitev namena, za katerega se osebni podatki zbirajo,
- da upravičeni ali javni interesi ne prevladajo nad človekovimi pravicami in temeljnimi svoboščinami posameznika,
- zmanjšanje obsega obdelovanih osebnih podatkov na nujne,
- odgovornost upravljavca za skladnost obdelave s pravno ureditvijo varstva osebnih podatkov.
3. GDPR zame ne velja
Ne poslujemo v EU, smo zelo majhni, imamo samo B2B-kontakte in podobni odgovori še ne pomenijo, da GDPR za vas ne velja.
Če obdelujete osebne podatke Evropejcev, morate tako kot vsa podjetja v EU upoštevati veljavno zakonodajo EU. Ne glede na velikost podjetja, vrsto strank in druge dejavnike morate imeti za obdelavo (pri čemer se na primer že vpis osebnega podatka v CRM-sistem smatra kot obdelava) pravno podlago, omenjeno v prejšnjem odgovoru.
Svoje stanje skladnosti in potreb po prilagoditvi z uredbo lahko preverite v našem samoocenjevalnem testu.
4. Privolitve moram zbirati samo za nove posameznike
To velja samo v primeru, da je bila pridobljena privolitev, skladna z uredbo. Kar pa je precejšnja redkost, saj le malokdo namenov ni združeval, pridobil osebnega podatka »na zalogo«, dovolj jasno navedel vse namene zbiranja, pojasnil pravice posamezniku, pogojeval privolitve ali vsaj »predizpolnil checkboxa«, zato bo v večini primerov treba pridobiti nove privolitve za vse obstoječe posameznike.
Tako kot pred skokom v bazen preverite globino vode, tudi tukaj preglejte mesta in procese za zajem osebnih podatkov, preverite skladnost pogodb, splošnih pogojev in pravic posameznikov ter ukrepajte v skladu s stanjem.
Vredno je omeniti tudi, da ZVOP-2 predvideva prehodno obdobje, v katerem bo še dovoljeno zbiranje privolitev posameznikov, skladnih z GDPR oz. z ZVOP-2. Načinov in prijemov, kako se lotiti take kampanje, je več, primer in dobro prakso pa si lahko pogledate tukaj (naša kampanja). Tega se lotite čim prej – če z lokalno zakonodajo dobimo prehodno obdobje, boste morali namreč dokazati, da ste aktivno pristopili k urejanju privolitev.
5. Ali res lahko dobim 20 milijonov EUR kazni?
V Splošni uredbi sta zneska 20 milijonov EUR oz. 4 % globalnega letnega prometa navedena kot najvišja možna kazen, vendar se pri izreku kazni upošteva veliko kriterijev (malomarnost ali naklep, škoda za posameznika, število prizadetih posameznikov, obnašanje in prejšnja kaznovanost storilca itn.).
Obstajajo tudi milejše sankcije, kot je denarna kazen:
Moje mnenje je, da tako visoke kazni sporočajo, da EU glede varstva OP misli resno. Resno pa jih jemljejo tudi Facebook in njemu podobni igralci v svetu osebnih podatkov. Verjamem, da bodo tudi kazni pri nas sicer vzgojne, vendar sorazmerne.
… se mi zdi, da blockchain tako ali tako ne more rešiti vseh zahtev za skladnost z GDPR-jem. Tudi za tiste zahteve (varnost, revizija, zaupanje …), ki jih bo lahko reševal, pa ne verjamem, da ga bomo lahko uporabili pred koncem maja. V tem času, ki nam ostane, moramo zato vsi, ki obdelujemo OP, svojo skladnost zagotoviti na druge načine. Pri tem vam v FrodXu, skupaj s partnerji, lahko pomagamo.
[email protected]