Branje zapisa s prvega modula predavanja GDPR v praksi traja 8 minut.

GDPR je na prvi pogled zelo zahteven dokument. Urejal bo številna področja, kjer uporabljamo oziroma obdelujemo zasebne podatke in spremenil številne storitve, blockchain in kripto svet. "GDPR ničesar ne prepoveduje, določa pa, da morate jasno in glasno povedati, kaj boste delali z osebnimi podatki. Ko te začnete zbirati, morate imeti jasno določene namene obdelave," opozarja Bogdan Jug (JK Group) in svetuje: "Kaj se vam lahko zgodi 26. maja? Eden izmed kupcev vam lahko napiše elektronsko sporočilo, v katerem vas vpraša, kaj počnete z njegovimi osebnimi podatki. V osnovi imate 30 dni časa, da mu odgovorite in dokler bo na vaš naslov prispelo eno ali nekaj takšnih vprašanj, ne bo težav. Kaj pa če jih boste vsak mesec prejeli več tisoč? Razmišljati moramo o tem, kako bomo te stvari rešili avtomatično."

Kaj boste storili, če boste vsak mesec prejeli več tisoč vprašanj o tem, kaj se dogaja z osebnimi podatki posameznikov? - Bogdan Jug (JK Group)

Kazni za kršenje uredbe so zelo visoke. "To je indikator, da z uredbo mislijo zelo resno. Sprva smo imeli samo direktivo, sedaj pa bo uredba začela veljati v vseh državah. Spremenila bo miselnost organizacij, podatki kar naenkrat niso več "naši", če jih želimo dobiti oziroma obdržati, potem potrebujemo določeno podlago - vprašati se moramo, s kakšnim namenom smo podatke zbirali."

Eden izmed ključnih izzivov prihoda GDPR-ja je tudi pregled nad podatki. "V vsakem trenutku moramo imeti popoln pregled nad tokom osebnih podatkov v podjetju. Kje se nahajajo, od koga potujejo kam in zakaj. Te stvari je potrebno točno določiti in zapisati. Ravnanje s podatki bo postalo podobno ravnanju z denarjem. Vedno vemo, od kod prihaja denar, imamo nadzor nad njim in lahko kadarkoli dobimo vpogled v stanje. Podoben sistem moramo vzpostaviti tudi pri ravnanju s podatki. Zakaj bi nam nenadzorovano "ležali" po podjetju, saj tudi naših PIN kod ne delimo naokrog brez nadzora?" se sprašuje Bogdan Jug (JK Group).

Pri pripravi privolitev bo potrebno točno določiti tudi čas hrambe. Če se spremeni namen obdelave podatkov, potrebujemo novo privolitev. Toda dilema se pojavi že pri tem, kaj je oziroma kaj ni nov namen. "Tu bo nastala določena pravna praznina, o kateri je težko govoriti. Sposodil si bom asociacijo iz enega izmed preteklih dogodkov DMS, na katerem je predavatelj slikovito razlagal o tem, da je to podobno grajenju letala, medtem ko že vzletamo. Vzlet bo 25. maja. Različni strokovnjaki imajo različne poglede, lokalnih zakonov pa še ni. Smo kot jadralci, ko veter piha iz štirih različnih strani, počasi se premikamo k zavedanju, kaj počnemo s podatki. Ideja GDPR-ja ni kupiti fascikel in ga zapolniti, ampak nenehno dopolnjevanje in usklajevanje," še poudari Bogdan Jug (JK Group).

Ideja GDPR-ja ni kupiti fascikel in ga zapolniti, ampak nenehno dopolnjevanje in usklajevanje. - Bogdan Jug (JK Group)

Matija Jamnik se z GDPR-jem ukvarja že vse od sprejetja uredbe, ki sega v leto 2016. O njej je že predaval na enem izmed naših dogodkov. "Eden najpomembnejših poudarkov je ta, da soglasje ni edini način za obdelavo osebnih podatkov. Nekateri posamezniki so se k temu zavezali s sklepanjem pogodb, za obdelavo nekaterih podatkov obstaja zakonska podlaga. Pogodba je tudi nakup določenega izdelka. Obstoječim kupcem bomo lahko še vedno pošiljali obvestila o naših podobnih produktih ali storitvah, s tem, da mu moramo transparentno povedati, da ga bomo o tem obveščali in mu dati možnost, da se od teh sporočil odjavi. Za vse podatke, za katere je določena oseba dala soglasje za obdelavo, ohrani pravico, da jih izbrišete oziroma prenesete na določeno mesto. Številna podjetja, predvsem pa banke in zavarovalnice, tega trenutno niti približno niso sposobna izvajati."

Soglasje ni edini način za obdelavo osebnih podatkov. - Matija Jamnik (Odvetniška pisarna Jamnik)

Predavatelj ocenjuje, da lahko javno dostopne podatke uporabljamo tudi za namene direktnega marketinga. Podatke lahko skladno z GDPR-jem obdelujemo tudi, če je to v zakonitem interesu in ravno to je pojem, pri katerem imajo podjetja največ težav. "Začelo se je širiti mnenje, da je zakoniti interes v GDPR dodan zato, da bodo velike korporacije lahko obdelovale podatke, ko za to ne bo nobene druge podlage. Britanski informacijski pooblaščenec je izdal kar 36 strani smernic, kaj je to zakoniti interes. Ta nikakor ne gre čez vse meje. Sveti gral pri obdelavi osebnih podatkov je namen zbiranja in obdelave podatkov. Katere podatke zbiramo, koliko časa in s kom si te podatke izmenjujemo. Podatke lahko zbiramo, če posameznik privoli v obdelavo določenega namena. In samo za ta namen. Če nekdo zapiše, da bo podatke zbiral samo za namene nagradne igre, jih mora po izteku tega obdobja izbrisati, zato moramo biti tudi na časovni okvir zelo pozorni. Ključni bodo transparentnost, razumljivost, preprost jezik in jedrnatost. Da uporabnik zlahka razume, kaj se bo dogajalo z njegovimi podatki," poudarja Matija Jamnik.

Privolitev je po GDPR-ju prostovoljno, specifično ozaveščeno in nedvoumno izraženo soglasje k obdelavi osebnih podatkov. "Pozabite lahko na tehnične, dolge tekste, pod katerimi se skriva kljukica strinjam se. Pravice posameznika morajo biti točno določene točke, ki so transparentne, razumljive in jasne. Privolitev mora biti eksaktna, ne domnevna, je pa soglasje lahko v pisni, glasovni obliki, na različne načine. Ne nujno s kljukico. Samo soglasje pa ne sme biti pogoj za sklenitev pogodbe, če ni nujno potrebno za njeno izvedbo.

Nič ni vnaprej prepovedano. Za obdelavo podatkov morate imeti določeno podlago. - Matija Jamnik (Odvetniška pisarna Jamnik)

Kako bo GDPR urejal programe zvestobe? "Marketingaši lahko razmišljate takole. Stranki bom dal popust zgolj v primeru, da je moj marketing oziroma prodaja učinkovit. Zato si stranke lahko same izberejo - lahko nam dajo del podatkov, zaradi katerih so lahko naše marketinške akcije bolj učinkovite, in dobijo popust ali pa obdržijo zasebnost in popusta nimajo."

Ena izmed bolj perečih tem GDPR-ja je tudi granularnost. "Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja," predava Matija Jamnik. "V praksi to pomeni, da naj uporabnik točno pove, kaj želi in česa ne. Ne zapakirajte vseh točk v eno samo in ga ne postavljajte pred odločitev - vzemi ali pusti. Razbijte soglasja na manjše dele in naj se posameznik sam odloči, kaj želi in kaj ne. Kršitev pravil pomeni nezakonito obdelavo podatkov."

Kršitev pravil pomeni nezakonito obdelavo podatkov. - Matija Jamnik (JK Group)

Kako upravljati z osebno privolitvijo?

"Vsako pridobivanje podatkov, naj bo to spletna forma ali obrazec na okencu, opremite z določenimi informacijami, s povzetkom pravic posameznika in politiko zasebnosti ter varovanja osebnih podatkov. Zelo pomembno je, da so točno določeni nameni obdelave in trajanje obdelave. Ena glavnih novosti in glavnih težav po GDPR-ju je pravica do pozabe oziroma izbrisa. Posameznik lahko kadarkoli prekliče soglasje. Tudi, če smo podatke obdelovali na podlagi zakonitega interesa, lahko za namene direktnega marketinga uporabnik zahteva prenehanje uporabe podatkov za ta namen, vedno ima pravico do preklica soglasja. Ta seveda ni absolutna, nekaterih podatkov - denimo o prekrških, določenih zdravstvenih podatkov, pravnih podatkov, ne bomo izbrisali zgolj na zahtevo posameznika. GDPR pa nadalje zahteva, da ob izbrisu podatkov obvestimo tudi ostale subjekte, s katerimi smo delili te podatke, da jih umaknejo iz javne objave in izbrišejo kopijo. Informacije o pravni podlagi obdelovanja podatkov morajo biti vedno na voljo. Tudi denimo zaposleni v podjetju morajo biti seznanjeni, katere njihove podatke zbiramo in za kaj jih uporabljamo," zaključuje predavatelj na prvem modulu izobraževanj v seriji GDPR v praksi.

Zapis je nastal na podlagi prvega modula izobraževanj v seriji GDPR v praksi.

Foto: Nejc Lasič. Celotno fotogalerijo si lahko ogledate TUKAJ.