Kako zagotoviti skladnost z GDPR na področju pogodbene obdelave?

,

Velika večina podjetij osebne podatke posreduje v obdelavo zunanjim partnerjem oziroma drugim podjetjem. Če se pogodbene obdelave poslužujete tudi v vašem podjetju, je ključnega pomena, da se zavarujete pred morebitno odgovornostjo in poskrbite, da bodo pogodbeni obdelovalci z osebnimi podatki ravnali skrbno in v skladu z vašimi pravili.

Uredba določa, da morata upravljavec in pogodbeni obdelovalec skleniti pogodbo z ustreznimi določili. Namen sklenjene pogodbe pa je predvsem jasno določeno razmerje med naročnikom in zunanjim obdelovalcem, zagotovitev varnosti ter razmejitev odgovornosti. V nadaljevanju vam predstavljamo nekaj smernic, ki vam bodo pomagale pri doseganju skladnosti na tem področju.

Kaj vse je pogodbena obdelava?

V sklopu pogodbene obdelave osebnih podatkov lahko najdemo številne storitve, najpogosteje pa so:

  • najem računovodskih storitev, ki vključuje osebne podatke (primer: obračun plač)
  • najem podatkovnega centra (oblak) v katerem bomo hranili osebne podatke,
  • najem kadrovskih storitev,
  • najem storitev klicnega centra,
  • storitve tržne analize,
  • najem storitev videonadzora,
  • vzdrževanje programskih rešitev, ki vključujejo osebne podatke itd.

Kaj mora pogodba vsebovati oziroma določati?

Ko sklepate pogodbo z zunanjim obdelovalcem bodite pozorni, da bo vaša pogodba zajemala vsaj naslednja določila (31. člen Uredbe):

  • da lahko obdelovalec obdeluje osebne podatke zgolj po vaših navodilih;
  • da obdelovalec zagotovi, da so osebe, pooblaščene za obdelavo osebnih podatkov, zavezane k varovanju tajnosti oziroma zaupnosti;
  • da obdelovalec izvede vse potrebne ukrepe za zagotavljanje varnosti osebnih podatkov;
  • da obdelovalec upošteva pogoje za uporabo storitev podpogodbene obdelave;
  • da je zmožen izpolniti svojo obveznost na zahtevke po upoštevanju pravic posameznikov;
  • da upošteva roke hrambe oziroma podatke vrne ali izbriše po koncu obdelave;
  • da vas opozori v kolikor so vaša pravila v nasprotju z Uredbo;
  • da upravljavcu zagotovi vse informacije in dokaze o pravilnem ravnanju z osebnimi podatki.

Katere so pogoste napake, ki se pojavljajo pri pogodbeni obdelavi in morate biti nanje pozorni?

Pri iskanju in določanju pogodbenega obdelovalca ter sklepanju pogodb bodite pozorni zlasti na spodje napake, ki se v praksi pogosto pojavljajo:

  • Upravljavec nima sklenjene pogodbe z pogodbenim obdelovalcem (zunanji izvajalec);
  • Pogodba obstaja, vendar je pomanjkljivo napisana in ne vsebuje konkretnih ukrepov za zavarovanje osebnih podatkov;
  • Upravljavec nima pregleda nad tem, storitve katerih pogodbenih obdelovalcev uporablja;
  • Upravljavec napačno oceni, da pri določenem zunanjem izvajalcu ne gre za pogodbeno obdelavo osebnih podatkov;
  • Pogodbeni obdelovalec obdeluje podatke tudi za lastne namene in tako postane upravljavec;
  • Pogodbeni obdelovalec uporablja storitve drugih (pod)pogodbenih obdelovalec brez vednosti upravljavca in drugo.

V kolikor se vam pri pripravi pogodb z zunanjimi izvajalci porodi kakšno vprašanje ali bi pri tem potrebovali pomoč, smo vam na voljo. Kontaktne podatke najdete na tej povezavi.

 

Kdo je DPO in ali ga morate imenovati tudi vi?

,

Za eno največjih sprememb, ki jih prinaša nova evropska Uredba o varstvu osebnih podatkov, velja zahteva po imenovanju Pooblaščene osebe za varstvo osebnih podatkov (DPO). To pomeni, da v kolikor spadate v skupino organizacij, ki po GDPR morajo imenovati DPO-ja, ste primorani to storiti do najkasneje 25.5.2018, ko nova Uredba stopi v veljavo.

Katere gospodarske družbe morajo imenovati DPO-ja?

Uredba določa, da morajo DPO-ja imenovati organizacija, ki spadajo v eno teh treh skupin z določenimi karakteristikami:

  1. Prva skupina so upravljalci in obdelovalci javnega sektorja. Sem spadajo vse državne institucije, torej vsa ministrstva, javni zavodi, bolnišnice, šole, vrtci, javne agencije in podobno.
  2. V drugo skupino spadajo vsi gospodarski subjekti, katerih temeljna dejavnost zajema tovrstno obdelavo osebnih podatkov, ki obsega redno, sistematično in obsežno spremljanje posameznikov. Kot primer bi lahko navedli zavarovalnice, kadrovske agencije, spletne trgovine, trgovine s karticami zvestobe, in ostala podjetja, ki se ukvarjajo s segmentacijo in profiliranjem posameznikov.
  3. V tretjo skupino pa spadajo vsi gospodarski subjekti, katerih temeljne dejavnosti upravljavca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški. Med posebne vrste osebnih podatkov spadajo podatki o verskem prepričanju, zdravstvenem stanju, članstvo v sindikatu in podobno.

Če ste v dvomih, je priporočljivo, da naredite notranjo analizo ter jo dokumentirate, kot podlago in dokaz za odločitev o imenovanju DPO-ja. Pri tem vam lahko pomaga tudi certificiran(a) strokovnjak(inja) za varstvo osebnih podatkov.

Kdo je lahko DPO?

DPO je lahko nekdo, ki izkazuje strokovno znanje iz področja varstva osebnih podatkov ter poznavanja ustrezne zakonodaje, tako evropske, kot tudi državne in področne. Najprimerneje je, da imenujete osebo, ki ima dokaz o ustreznem znanju, na primer Certifikat ali podobno. DPO je lahko vaš zaposleni ali zunanji, pogodbeni svetovalec. V primeru, da ste manjše ali srednje veliko podjetje in nimate ustreznega kadra, velja za bolj smotrno, da za DPO-ja imenujete pogodbenega svetovalca, kajti obstaja možnost konflikta interesov v primeru, da je vaš DPO, hkrati tudi vaš zaposlen.

Kar se tiče imenovanja DPO-ja v javnem sektorju, so določila, ki jih opredeljuje ZVOP-2 (ni še sprejet), nekoliko drugačna. Javni organi morajo imenovati DPO-ja, ki mora poleg izkazovanja strokovnega znanja, imeti še najmanj tri leta delovnih izkušenj iz področja varovanja osebnih podatkov ali poslovne skrivnosti, imeti vsaj univerzitetno izobrazbo ter biti mora zaposlen v javnem sektorju. Javni sektor lahko izjemoma najame zunanjega izvajalca, v primeru, da ima manj kot 20 zaposlenih.

Sprememba iz ZVOP-2 (Predlog zakona, 4.4.2018):

“Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko za pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja v skladu s tem zakonom ali določiti skupne pooblaščene osebe z drugimi upravljavci ali obdelovalci javnega sektorja, lahko s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s petim odstavkom tega člena.”

Kaj je potrebno storiti, ko imenujete DPO-ja?

Po imenovanju DPO-ja, morate v roku 8 dni vpisati njegove kontaktne podatke v evidenco dejanj obdelave, jih javno objaviti na primeren način ter sporočiti Informacijskemu pooblaščencu. Poleg tega, mora organizacija o tem seznaniti posameznike, na katere se nanašajo osebni podatki.

Kaj so naloge in dolžnosti DPO-ja?

Poleg tega, da Uredba narekuje, da mora imeti DPO ustrezna strokovna znanja in izkušnje, v veliki meri določa tudi njegove naloge in dolžnosti, ki pa seveda niso omeje zgolj na te:

  • svetovanje upravljavcu/obdelovalcu o obveznostih v skladu z novo uredbo, drugimi določbami prava EU in slovensko pravno ureditvijo varstva osebnih podatkov ter obveščanje o novostih in spremembah;
  • spremljanje skladnosti obdelave osebnih podatkov s predpisi in politiko podjetja ter usposabljanje zaposlenih, vključenih v obdelavo osebnih podatkov;
  • svetovanje, kadar je to zahtevano, glede ocene učinka na varstvo osebnih podatkov;
  • spremljanje izvajanja politik in sledenja pravilnikom upravljanja in rokovanja z zbirkami osebnih podatkov;
  • sodelovanje in komuniciranje z nadzornim organom (Informacijski pooblaščenec);
  • kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo osebnih podatkov.

Imenovanje DPO je lahko vaša zakonska obveza ali pa ga imenujete zaradi zunanje podobe podjetja. Skladnost z Uredbo in slovensko zakonodajo o varstvu osebnih podatkov je lahko za določeno podjetje tudi konkurenčna prednost. Posameznikom, katerih podatke upravljate in obdelujete, boste lahko tako dokazali, da se njihovi podatki obdelujejo v skladu s predpisi in da je njihova zasebnost dobro zavarovana.

V kolikor imate kakšno vprašanje ali vas zanima ponudba storitve Zunanji DPO, nas kontaktirajte in z veseljem vam bomo pomagali.

Kaj za vas in vaše podjetje pomeni nova uredba o varstvu osebnih podatkov (GDPR)?

,

Evropska unija nam je pripravila nova pravila glede varovanja osebnih podatkov, ki so združena v novi Splošni uredbi in jo najbolje poznamo po kratici GDPR. Govora o tem, kaj vse morajo fizične in pravne osebe spremeniti, popraviti in na novo vpeljati v svoje poslovne procese in tehnološke rešitve, je veliko, še posebej pa se izpostavljajo velike denarne kazni, ki čakajo tiste, ki pravilom o varovanju osebnih podatkov ne bodo sledili, oziroma jih bodo kršili. V nadaljevanju smo združili nekaj glavnih usmeritev in napotkov kako se lotiti doseganja skladnosti z novo zakonodajo in se s tem izogniti morebiti globi.

  • Zbirke osebnih podatkov – Preden se podate v konkretne ukrepe je ključnega pomena, da v vašem podjetju ugotovite katere zbirke osebnih podatkov upravljate in ali jih sploh potrebujete za vaše poslovanje.
  • Zavarovanje in varnostne politike – V kolikor v vašem podjetju upravljate z eno ali več zbirkami osebnih podatkov in so te ključnega pomena za vaše poslovanje, se osredotočite na zavarovanje teh zbirk pred možnimi nedovoljenimi dostopi, krajo ali uničenjem.
  • Izobraževanje zaposlenih – Zgolj izobraženost vodstva o novi zakonodaji in pravilih v skladu z varovanjem osebnih podatkov je premalo, kajti ključnega pomena v procesu so zaposleni, ki vsakodnevno dostopajo do osebnih podatkov in jih obdelujejo. V skladu s tem se priporoča, da podjetje za svoje zaposlene pripravi ustrezno izobraževanje.
  • Postavite pravila – Zgolj izobraževanja v večini primerov ne bodo zadostovala, zato se priporoča, da oblikujete ustrezne pravilnike in napotke v primeru upravljanja in obdelave vaših zbirk osebnih podatkov tako znotraj, kot tudi zunaj vašega podjetja.
  • Pazljivo izberite pogodbene obdelovalce – Preverite, da vsi vaši pogodbeni partnerji (izvajalci storitev), ki bodo obdelovali vaše zbirke osebnih podatkov, sledijo vašim pravilom glede varovanja osebnih podatkov in so hkrati vpeljali vse ukrepe za doseganje skladnosti z novo zakonodajo.
  • Ali osebne podatke sploh smete obdelovati? – Pred samim upravljanjem osebnih podatkov, kamor spada že tudi hranjenje le teh, preverite ali imate za to ustrezno pravno podlago in ali je to z zakonom dopuščeno. V kolikor niste povsem prepričani, raje povprašajte vašega svetovalca za varovanje osebnih podatkov.
  • Kaj je DPO in ali ga morate imenovati? – DPO je pooblaščena oseba za varovanje osebnih podatkov in ima nalogo, da vam svetuje in pomaga pri vpeljavi ukrepov za zagotavljanje skladnosti z zakonodajo, vam pomaga v primeru obiska informacijskega pooblaščenca (inšpektorja) ter drugo. Imenovati ga morajo vsi javni organi, upravljalci in obdelovalci osebnih podatkov, katerih osnovna dejavnost vključuje obsežne obdelave ter upravljalci in obdelovalci katerih osnovna dejavnost vključuje obdelavo posebnih vrst osebnih podatkov.

Ste kljub vsem napotkom in smernicam, ki ste jih prebrali in pridobili, še vedno v dvomih? Potrebujete pri tem strokovno pomoč? Za morebitno pomoč, svetovanje ali nasvet Pooblaščene osebe za varovanje osebnih podatkov (DPO) nam pišite ali nas pokličite in z veseljem vam bomo pomagali. Kontaktni podatki so vam na voljo tukaj.