6 stvari, ki jih velja pred uvedbo GDPR še postoriti

Po davčni blagajni, ki je v letu 2016 predrugačila gotovinsko poslovanje, se 25. maja 2018 začne uvajati še en ukrep, ki ste ga, če ste naše vsebine redno spremljali, še spoznali. Govora je seveda o Splošni uredbi o varstvu podatkov (GDPR), ki prinaša nova pravila glede varstva osebnih podatkov vaših strank. To pomeni, da boste morali, če še niste, vzpostaviti kar nekaj novih mehanizmov in delo z osebnimi podatki uskladiti z uredbo, če se boste želeli izogniti večmilijonskim kaznim.

Kaj vse morate do takrat še postoriti?

1. Ustvariti širše zavedanje o GDPR uredbi

Poskrbite, da vsi v podjetju vedo, da se na področju varovanja osebnih podatkov dogajajo temeljite spremembe. Tako vodstva kot zaposleni morate razumeti, kakšen vpliv bo GDPR imel na vaše vsakdanje delo, kje se utegnejo pojavljati težave in kako jih odpraviti. Šele tako boste lahko ocenili, kakšna opravila so pred vami in ali je nemara treba vpletati zunanje osebe.

Zavedati se morate, da morate do prvega dne veljavnosti uredbe že delovati skladno z njo. Če se boste privajanja lotevali zadnjo minuto, bo slednje precej oteženo.

2. Pridobiti soglasja

Ena največjih sprememb, ki jih GDPR prinaša, je pridobivanje soglasij. Vsako podjetje, ki zbira in obdeluje osebne podatke, mora namreč o tem predhodno obvestiti lastnike podatkov, jih obvestiti, za kakšne namere podatke zbira in pridobiti tudi njihovo dovoljenje.

Lastnikom podatkov boste morali obrazložiti zakonsko podlago za obdelavo informacij, jim podati obdobje hrambe podatkov, za kakšne namene jih hranite in jim omogočiti pravico do pritožbe, če bodo ti mnenja, da v načinu, kako ravnate z njihovimi podatki, nastopa težava.

Preglejte, kako lastnike osebnih podatkov o vaših namerah obveščate danes in kako vaše obrazce in obvestila prilagoditi uredbi.

3. Zagotoviti preglednost in sledljivost osebnih podatkov

Skupaj s pridobivanjem soglasij boste z GDPR-jem morali tudi beležiti, kdaj in na kakšen način je bilo soglasje sprejeto. To pomeni, da vam v resnici ne preostane drugega, kot da v podjetju začnete dokumentirati, kje hranite osebne podatke, od kod so ti prišli in s kom jih delite. Morda boste za doseganje skladnosti z uredbo primorani organizirati revizijo ali od lastnikov podatkov ponovno pridobiti soglasja, če ne boste mogli dokazati, na kakšen način ste soglasje prejeli.

Seveda pa boste podatke o strankah morali tudi ažurirati in v primeru, da jih imate v skupni rabi z drugimi podjetji, o spremembah podjetja tudi obveščati.

4. Omogočiti pravico do izbrisa in pravico do prenosljivosti podatkov

Vsak posameznik ima veliko večji nadzor nad pretokom osebnih podatkov, saj vsako soglasje, ki ga vam ga bo podal, z GDRP-jem ne bo več trajno, prav tako pa bo od vas lahko vsak hip zahteval vpogled v informacije, ki jih o njem hranite, omejil količino podatkov, ki jih o njem lahko zbirate, zahteval popoln izbris – preklical soglasje – ali naročil prenos osebnih podatkov k drugemu ponudniku, denimo drugemu klubu zvestobe, ponudniku energije, operaterju ipd., ne da bi ga pri tem ovirali.

5. Imenovati pooblaščeno osebo za varstvo osebnih podatkov (DPO)

Hkrati z GDPR-jem nastopi tudi imenovanje pooblaščene osebe za varstvo osebnih podatkov, in sicer v primeru, da v okviru svoje temeljne dejavnosti obdelujete osebne podatke. Pooblaščena oseba bo lahko zaposleni znotraj podjetja ali zunanji pooblaščenec, če v podjetju ni potrebe po 8-urnem delovniku na področju varstva osebnih podatkov. V tem primeru se lahko storitve izvaja tudi pogodbeno.

Vsekakor pa mora biti imenovana oseba strokovnjak s področja varnosti osebnih podatkov, ki bo odgovarjala na zahteve po dostopu do podatkov, zbirala soglasja, sprožala postopke v primeru incidentov in o njih obveščala vse vpletene, oškodovance, sodelavce, organe ipd., in sicer najkasneje v 72 urah od zaznane kršitve.

6. Zaščititi otroke in mladoletne osebe

Nova uredba je še posebej stroga na področju obdelovanja podatkov otrok in mladoletnih oseb. Če jih v podjetju obdelujete, morate s 25. majem zagotoviti jasne mehanizme, s katerimi se bo dalo preveriti posameznikovo starost, v primeru, da gre za osebe, mlajše od 15 let, pa boste morali za obdelavo podatkov posebej pridobiti še soglasje staršev ali skrbnikov.

Če se na uredbo GDPR šele začenjate dobro pripravljati, vam bodo zgornji nasveti zagotovo v pomoč. Več o uredbi pa si lahko preberete tukaj.