MATIJA RAVNIKAR
Samo brez panike
Ne glede na to, da je bila Splošna uredba o varstvu podatkov (General Data Protection Regulation oziroma GDPR) v pripravi že nekaj let, je šele kakšno leto po njenem sprejetju vzbudila zanimanje tudi v našem prostoru, prav zares pa šele tik pred dnevom D (25. 5. 2018).
Ali pa se mogoče raje poglobimo v njena določila in najdemo način, kako ne samo zadostiti zahtevam, ampak aktivno pomagati našim strankam pri vpeljavi sprememb, ki jih prinašata Splošna uredba o varstvu podatkov ter prihajajoči novi Zakon o varstvu osebnih podatkov?
Ne glede na to, da je bila Splošna uredba o varstvu podatkov (General Data Protection Regulation oziroma GDPR) v pripravi že nekaj let, je šele kakšno leto po njenem sprejetju vzbudila zanimanje tudi v našem prostoru, prav zares pa šele tik pred dnevom D (25. 5. 2018). Vzporedno z začetkom uporabe uredbe se pripravlja tudi nova verzija Zakona o varstvu osebnih podatkov, ki bo njene določbe prenesla v naš pravni prostor, toda datum sprejetja zakona trenutno še ni znan.
Ne glede na začetek veljavnosti zakona pa je strokovnjakom na področju varstva in obdelave osebnih podatkov že zdaj jasno, da bodo nekateri deli zakona lahko eksplicitno interpretirani šele ob vzpostavitvi sodne prakse.
Kombinacija vseh dejavnikov pomeni, da nihče prav zares ne ve, kakšne bodo dolgoročne posledice uveljavitve GDPR, zato smo se v SRC Infonet odločili, da pomagamo tako sebi kot našim strankam. Na tem področju smo se dodatno izobrazili, natančneje z izobraževanjem za dodatno kvalifikacijo za strokovnjaka za varstvo osebnih podatkov (Data protection officer), ki jo izvaja podjetje Info hiša v sodelovanju z Ministrstvom za delo.
Dolgoletne izkušnje na področju obdelave in varovanja osebnih podatkov ter specifična znanja, pridobljena na ciljanih izobraževanjih, nam omogočajo, da smo lahko kompetenten sogovornik na temo varstva osebnih podatkov.
Ne zgolj takrat, ko nas pokliče poslovni partner (ki so ga različni članki na temo konca sveta, ki naj bi nastopil z novo uredbo, spravili na rob obupa), predvsem smo tako še poglobili kompetence in znanje na področju varstva ter obdelave osebnih podatkov znotraj skupine SRC.
Kot največji ponudnik informacijskih rešitev za zdravstvene ustanove v Sloveniji moramo na tej točki poudariti, da GDPR pri nas zaenkrat ni povzročil večjih pretresov, saj smo dobro pokriti tako s pravnimi podlagami kot z dolgoletnimi izkušnjami.
Tudi obdelava večine osebnih podatkov, ki jih izvajalci zdravstvenih storitev obdelujejo s pomočjo naših programskih rešitev (naj gre za običajne ali posebne vrste osebnih podatkov), trdno stoji na pravni podlagi enega ali več zakonov.
Obdelava podatkov v okviru zagotavljanja uporabniške podpore našim strankam pa temelji na pogodbah, v katerih sta varovanje in obdelava osebnih podatkov bolnikov natančno določena.
Naši programi so skladni z določili trenutno veljavnega Zakona o varstvu osebnih podatkov, upoštevali pa smo tudi vse zahteve osnutka ZVOP-2, oba pa sta v nekaterih točkah še bolj restriktivna od nove splošne uredbe. Seveda pa bomo v naših programskih rešitvah vseeno pripravili določene dopolnitve, ki bodo izvedbeni del zagotavljanja nekaterih temeljnih pravic posameznika našim uporabnikom bistveno olajšale (npr. pravico do vpogleda).
Tako se lahko osredotočimo na pomoč našim strankam in pomagamo z nasveti, kako naj svoje poslovne procese prilagodijo, da bo njihovo delo tudi v prihodnje potekalo gladko in brez prekinitev, naj gre za inšpekcijske nadzore ali le za posameznike, ki jih želijo ujeti nepripravljene.
Popišite zbirke podatkov v svojem podjetju
Natančno raziščite, kje hranite različne osebne podatke, so to mape s papirji, različne preglednice na lokalnih diskih ali namenski CRM, ki ga uporablja celotno podjetje?
Preverite, katere podatke hranite v posameznih zbirkah
Katere osebne podatke vsebuje vsaka zbirka, so to zgolj imena in priimki ter kontaktni naslovi? (Preverite, ali slučajno vsebujejo posebne vrste osebnih podatkov!) Ali res potrebujete vse podatke, ali bi lahko shajali s podatki v manjšem obsegu?
Razmislite, za kakšen namen obdelave podatke hranite
Dobro razmislite, čemu potrebujete vse osebne podatke, za kakšen namen jih uporabljate, so posamezniki obveščeni o vseh namenih uporabe njihovih podatkov?
Kdo lahko do njih dostopa?
Kdo so uporabniki posameznih baz podatkov, kakšna pooblastila imajo, kdo jih nadzira?
Preverite pravno podlago za obdelavo
Ali podatke obdelujete na podlagi zakona, pogodbe, zakonitega interesa, življenjskega ali javnega interesa ali celo zgolj privolitve. Je morebitna privolitev skladna z novimi zahtevami GDPR?
Kako dolgo jih hranite?
Določite roke obdelave in hrambe osebnih podatkov. Roki naj bodo dolgi le toliko, da je zagotovljen prvotni namen obdelave.
Komu jih posredujete (če sploh)?
V primeru, da osebne podatke posredujete drugim podjetjem, preverite, ali je vaše sodelovanje skladno z zahtevami za pogodbeno (ali podpogodbeno) obdelavo, ki jih postavlja GDPR.
Če obdelava osebnih podatkov v vašem podjetju temelji na ustrezni pravni podlagi ter imate urejene vse ostale zahteve, ste na dobri poti, da vam uvedba GDPR ne bo povzročala težav.
V nasprotnem primeru pa imate dve možnosti:
- Izbris osebnih podatkov, katerih obdelava ni v skladu z GDPR;
- Poskusite odpraviti vrzeli in po ponovni analizi nadaljujte obdelavo.
Vse korake preverjanja skladnosti obdelave osebnih podatkov z GDPR dokumentirajte, opišite zaključke ter nadaljnje ukrepe, če so potrebni.