GDPR: 5 vprašanj in odgovorov o osebnih podatkih in 1 primer nepoštene prakse

940

V tokratnem članku vam predstavljamo 5 vprašanj o upravljanju osebnih podatkov, na katera morate znati odgovoriti pred 25. majem, ko GDPR stopa v uporabo. Poglejte tudi primer nepoštenega zbiranja osebnih podatkov, ki ga uredba izrecno prepoveduje.


.

1. Ali kot podjetje sploh zbiram osebne podatke?

Uredba takole določa, kaj se šteje za osebne podatke:

»Osebni podatek pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov.«

V praksi so osebni podatki na primer ime, priimek, EMŠO, davčna številka, elektronski naslov, fotografija, na kateri je posameznik prepoznaven, in podobno. Če kot podjetje zbirate katerega od teh podatkov, se po GDPR šteje, da zbirate osebne podatke.

» » Veste, katere 4 ključne spremembe prinaša GDPR spletnim trgovcem?

2. Kaj je moja podlaga za zbiranje osebnih podatkov?

Na Data.si pojasnjujejo, da obstajajo 3 pravne podlage za zbiranje osebnih podatkov:

  • zakon
  • pogodba
  • soglasje oz. privolitev posameznika

V prvih dveh primerih ima podjetje podlago za obdelavo podatkov že v zakonu oziroma ta izhaja iz pogodbene obveznosti. V preostalih primerih je potrebno pridobiti soglasje posameznika, saj se bodo skladno z GDPR po 25. maju osebni podatki lahko zbirali in obdelovali samo na podlagi izrecne privolitve posameznika. Posameznik se bo moral torej sam strinjati s specifičnim namenom zbiranja njegovih podatkov.

3. Kaj moram narediti po izpolnitvi namena zbiranja osebnih podatkov?

To je odvisno od tega, za kakšen podatek gre. V nekaterih primerih že zakon ali pogodba določa, kako dolgo se hrani določen podatek. Če pa se posameznik naroči na primer na e-novice, lahko njegovo ime, priimek in elektronski naslov hranite do preklica. GDPR namreč izrecno določa, da morate posamezniku dati možnost umika privolitve.

4. Kje naj shranjujem osebne podatke in kdo naj upravlja z njimi? 

Uredba sicer določa nekatere cilje glede teh vprašanj, vendar ni jasno določeno, kako bo to potekalo v praksi. Upravljanje z osebnimi podatki je namreč organizacijsko in pravno vprašanje znotraj podjetja. Na Dati pišejo:

»Osebne podatke znotraj podjetja obdeluje oseba, ki ima za to pravno podlago (se pravi bodisi zakon, pogodbo ali soglasje posameznika za obdelavo). Potrebno je torej, da se ve, kdo ima zakonito podlago za obdelavo, ter da se dostop omeji tistim, ki nimajo podlage za obdelavo osebnih podatkov.«

5. Ali so osebni podatki, ki jih zbiram, res potrebni za dosego rezultatov podjetja?

V uredbi je zapisano, da morajo biti osebni podatki, ki jih podjetje obdeluje, »ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, t.i. najmanjši obseg podatkov

Upravljavci podatkov morate torej omejiti namen, za katerega se zbirajo osebni podatki, in zbirati najmanjši obseg podatkov.

Primer nepoštenega zbiranja osebnih podatkov

Dubravka Dolenc iz Info House Hrvatska je na nedavni konferenci Ecommerce Day 2018 v Zagrebu v okviru okrogle mize o GDPR predstavila primer nepoštenega zbiranja osebnih podatkov pri spletnem nakupu letalskih kart:

Posameznik želi kupiti letalsko vozovnico Zagreb – New York in na spletu pregleduje ponudbe. Vpisal ni še nobenega osebnega podatka, vendar so na strani nameščeni piškotki, ki spremljajo njegovo vedenje. Ponudnik na podlagi tega točno ve, kaj posameznik išče – čim bolj ugoden let na želeni datum. Spremlja, kolikokrat ta oseba išče letalsko karto za to relacijo, in ko se odloči za želeni datum ter klikne na spletno ponudbo, mu algoritem, ki je spremljal njegovo vedenje, oblikoval t.i. profil in ocenil, da je njegova namera nakupa vozovnice resna, prikaže višjo ceno.

GDPR takšno ravnanje izrecno prepoveduje, saj posameznik ni dal privolitve:

»Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.« (Člen 22 GDPR)

» » Mnenje strokovnjakov o tem, kaj GDPR pomeni za ecommerce