Več kot leto dni je naokoli, odkar je Splošna uredba o varstvu podatkov, bolj znana kot GDPR, konec maja 2018 stopila v uporabo. Čeprav je Uredba postala veljavna že 2 leti prej, je večina podjetij začela urejati svojo dokumentacijo prepozno, zaradi česar so nekatera podjetja to storila v naglici in pomanjkljivo. Nekaterim podjetjem Uredba predstavlja nujno zlo, saj uvaja strožja pravila, vendar z njimi narašča ozaveščenost posameznikov do uveljavljanja svojih pravic in hkrati dolžnost države, da s prisilnimi ukrepi zagotavlja izvajanje teh pravic. V izogib dodatnim stroškom se nekatera podjetja pri urejanju dokumentacije niso obrnila na tiste, ki se s tem profesionalno ukvarjajo, temveč so to storila sama. S tem, ko zakonodajalec še vedno ni sprejel novega Zakona o varstvu osebnih podatkov (ZVOP-2), tudi ni olajšal dela podjetjem, saj je večina določb obstoječega zakona (ZVOP-1) z uveljavitvijo Uredbe prenehala veljati. Namen tega prispevka je podjetjem predstaviti ključne korake pri upravljanju z osebnimi podatki.
Sprva mora podjetje ugotoviti, katere osebne podatke zbira in jih smiselno razdeliti v kategorije. Pri tem opozarjamo, da osebni podatek pomeni katerokoli informacijo v zvezi z določenim ali določljivim posameznikom, na katerega se nanaša. V to kategorijo spadajo tudi spletni identifikatorji, kot so npr. »piškotki«, kar morajo še posebej upoštevati spletne trgovine.
Zatem se je potrebno vprašati, zakaj zbiramo osebne podatke oziroma s katerim namenom: za učinkovito, izvajanje sklenjene pogodbe, (neposredno) trženje, vodenje davčnih in računovodskih računov, itd. Posameznika je potrebno informirati, s katerim namenom vodite njegove osebne podatke, pri tem pa morate biti pozorni, da jih vodite na ustrezni pravni podlagi. Pravne podlage so navedene v 6. členu Uredbe: na podlagi privolitve; zakona; za namen izvajanja pogodb; zaščite interesov posameznika; itd. Podatkov tako ne smemo hraniti brez razloga, ali za primer, da jih bomo mogoče potrebovali v prihodnosti. V kolikor podjetje ugotovi, da nekatere osebne podatke zbira brez razloga, jih mora izbrisati. Za tiste osebne podatke, ki jih podjetje potrebuje, jih z razlogom želi zbirati, npr. za trženje, pa kot smo že navedli, potrebuje podlago. Rešitev je posameznikova privolitev, ki mora biti jasna in nedvoumna.
Zdaj, ko je podjetje »filtriralo« osebne podatke, pridobilo podlago, pri tem pa določilo tudi rok hrambe, mora zagotoviti še varno obdelavo osebnih podatkov. Implementirati mora organizacijske in tehnične ukrepe, ki bodo zagotavljali učinkovito varnost in bodo skladni z Uredbo. Ti ukrepi lahko med drugim vključujejo notranje pravilnike o varstvu osebnih podatkov, dodatna izobraževanja zaposlenih, minimizacija zbiranja osebnih podatkov, transparentnost, stalna nadgradnja varnostnih ukrepov, itd, pri čemer pa podjetjem svetujemo, da se za pomoč obrnejo na za to področje specializirane pravnike, saj Uredba določenim subjektom nalaga še dodatne obvezne ukrepe. Če ne veste, kako se lotiti zadeve se obrnite na Nucleus plus, z veseljem vam bomo pomagali.