Zakaj GDPR, Splošna uredba o varstvu podatkov, v resnici sploh ni tako strašna

Zakaj GDPR, Splošna uredba o varstvu podatkov, v resnici sploh ni tako strašna
23. 5. 2018 Matija Ravnikar

Zakaj GDPR, Splošna uredba o varstvu podatkov, v resnici sploh ni tako strašna

Zadnjih nekaj tednov nas z vseh strani skorajda strašijo z novicami o Splošni uredbi o varstvu podatkov in kaj vse naj bi prinesel pričetek njene uporabe s 25. majem 2018.

V podjetju SRC Infonet smo se že pred časom odločili, da si z izobraževanjem za dodatno kvalifikacijo za strokovnjaka za varstvo osebnih podatkov zagotovimo poglobljeno znanje na zadevnem področju. V ekipi imamo tako po novem kar dva certificirana poznavalca dotične problematike in nadejamo se, da bomo skupaj z njima lahko strli večino podatkovarstvenih orehov, s katerimi se utegnete srečati izvajalci zdravstvene dejavnosti, ki uporabljate naše programske rešitve.

GDPR in nova verzija Zakona o varstvu osebnih podatkov

Vzporedno s pričetkom uporabe Splošne uredbe o varstvu podatkov (General Data Protection Regulation oziroma ljubkovalno GDPR) se pripravlja tudi nov Zakon o varstvu osebnih podatkov. Slednji bo, ko bo končno sprejet, njene določbe prenesel v naš nacionalni pravni prostor, Datum sprejetja zakona trenutno še ni znan. Ne glede na to pa se strokovnjaki s področja varstva in obdelave osebnih podatkov strinjajo predvsem v tem, da bodo nekatere podrobnosti razjasnjene šele po začetku dejanske uporabe. In tudi v tem, da so tako zahteve obstoječega Zakona o varstvu osebnih podatkov kakor osnutka ZVOP -2 v nekaterih točkah še bolj stroge od Uredbe.

GDPR in nova verzija Zakona o varstvu osebnih podatkov

Vzporedno s pričetkom uporabe Splošne uredbe o varstvu podatkov oz. GDPR se pripravlja tudi nov Zakon o varstvu osebnih podatkov, ki bo njene določbe prenesla v naš pravni prostor, vendar datum sprejetja zakona trenutno še ni znan. Kaj pa to pomeni? Ne glede na začetek veljavnosti zakona je strokovnjakom na področju varstva in obdelave osebnih podatkov že sedaj jasno, da bodo nekatere podrobnosti razjasnjene šele po začetku dejanske uporabe. In tudi to, da so zahteve osnutka ZVOP -2 in trenutnega Zakona o varstvu osebnih podatkov v nekaterih točkah še bolj stroge od Uredbe.

Obdelava podatkov s pomočjo naših programskih rešitev

Dolgoletne izkušnje na področju izvajanja IT rešitev zahtevajo konstantno usklajevanje delovanja naših programov s spreminjajočo se regulativo, nanovo sprejetimi zakoni ter drugimi pravnimi zahtevami. GDPR zato pri nas zaenkrat ni povzročila kakšnih večjih pretresov. Prav tako ima obdelava večine osebnih podatkov, ki jih izvajalci zdravstvenih storitev zbirate, shranjujete, spreminjate, izpisujete, analizirate itd. s pomočjo naših programskih rešitev, ustrezno pravno podlago v enem ali več zakonih, ki se dotikajo varstva osebnih podatkov, nekateri celo prav specifično v zdravstveni dejavnosti (npr. Zakon o zbirkah podatkov s področja zdravstvenega varstva (ZZPPZ)). Nenazadnje je celo privolitve, ki se morda v zvezi z novo Uredbo največkrat omenjajo, uvedel že Zakon o pacientovih pravicah (ZPacP), sprejet davnega leta 2008.

 

 

V informacijskem smislu tako kot največjo novost vidimo še večji poudarek na zagotavljanju pravic, ki jih v zvezi s podatki, ki se o njem zbirajo in obdelujejo, lahko uveljavlja posameznik. Pri čemer, resnici na ljubo, tudi pravica do vpogleda kot na večini seznamov prva navedena pravica, ni nobena novost, saj je tudi podrobno obdelana v že omenjenem ZPacP izpred desetletja.

Vseeno smo se odločili, da bomo v naših programskih rešitvah pripravili nekaj dopolnitev, ki bodo izvedbeni del zagotavljanja temeljnih pravic posameznika (tudi pravico do vpogleda) našim uporabnikom čim bolj olajšale. In, urediti bo potrebno nekatere formalnosti. Spet sicer v glavnem o zadevah, ki že potekajo v skladu z Uredbo, lahko pa da v nekaterih primerih niso tako tudi zapisane. GDPR tako v svojem 28. členu eksplicitno določa, da ”obdelavo s strani obdelovalca ureja pogodba”. Vsak stik s podatki, potreben za nemoteno zagotavljanje uporabniške podpore, ki vam jo nudimo pri reševanju določenih vprašanj, pa je seveda že obdelava podatkov. V teh pogodbah bo potrebno natančno opredeliti obveznosti, pooblastila in odgovornosti obdelovalca osebnih podatkov, natančno definirati osebne podatke, na katere se pogodba nanaša, opredeliti postopke in ukrepe za njihovo varovanje (tako varovanje prostorov, kjer so osebni podatki shranjeni, kakor uporabljene strojne opreme, sistemske in aplikativne programske opreme) itd.

Vabimo vas na čaj

Tea with reason je dogodek, ki ga organizira Britansko – Slovenska gospodarska zbornica, na katerem bodo 29. maja skupaj z našim Pooblaščencem za varstvo osebnih podatkov, Matijo Ravnikarjem, spregovorili o GDPR in kako se podjetja pripravljajo na pričetek njene veljavnosti.
Program dogodka

In kaj morate storite sami?

Nekaj hitrih napotkov, ki jih lahko upoštevate in že sami poskrbite za čim boljšo preglednost in posledično varnost vaših zbirk podatkov.

  • Popišite zbirke podatkov v vašem podjetju.

Natančno raziščite, kje vse hranite različne osebne podatke – tako v fizični kot digitalni obliki.

  •  Preverite, katere podatke pravzaprav hranite.

Katere osebne podatke vsebuje vsaka posamična zbirka? Ali mednje spadajo tudi posebne vrste osebnih podatkov? Res potrebujete prav vse ali bi lahko kaj izpustili?

  •  Za kakšen namen obdelave hranite podatke in kdo do njih dostopa?

Kdo so uporabniki posameznih baz podatkov, kdo jih nadzira in kakšna pooblastila imajo?

  •  Preverite pravno podlago za obdelavo.

Ali podatke obdelujete na podlagi zakona, pogodbe, zakonitega interesa, življenjskega ali javnega interesa ali celo zgolj privolitve. Je morebitna privolitev skladna z novimi zahtevami GDPR?

  •  Kako dolgo podatke hranite in komu jih posredujete?

Določite roke obdelave in hrambe osebnih podatkov. Če osebne podatke posredujete drugim podjetjem, preverite ali je vaše sodelovanje skladno z zahtevami za pogodbeno ali pod-pogodbeno obdelavo.

Če obdelava osebnih podatkov v vašem podjetju temelji na ustrezni pravni podlagi ter imate urejene vse ostale zahteve, ste na dobri poti, da vam uvedba GDPR ne bo povzročala težav.

Ali še vedno niste povsem prepričani, kako se spoprijeti z GDPR? Obrnite se na naše strokovnjake za varstvo osebnih podatkov, ki vam bodo svetovali specifično v skladu z vašimi procesi dela.

Imate vprašanje v zvezi z GDPR?

Pišite nam

Matija Ravnikar
pooblaščena oseba za varstvo osebnih podatkov

Matija Ravnikar je certificiran strokovnjak za varstvo osebnih podatkov v podjetju SRC Infonet in poznavalec uredbe GDPR v kontekstu informacijskih sistemov in procesov v zdravstvu.

Brez komentarjev

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

*