Print this page
petek, 15 junij 2018 12:15

VARSTVO OSEBNIH PODATKOV

VARSTVO OSEBNIH PODATKOV – UREDBA GDRP SPLOŠNO O VARSTVU OSEBNIH PODATKOV – UREDBA GDRP

Splošna uredba o varstvu podatkov (Uredba GDRP, General Data Protection Regulation), ki velja od 25. maja 2018 spreminja pravila igre na področju pridobivanja in obdelave osebnih podatkov (o kupcih, uporabnikih, zaposlenih delavcih ….). Čeprav v Sloveniji zakona še nimamo, kar pomeni, da za prekrške v zvezi z osebnimi podatki poslovni subjekti še ne morejo biti kaznovani (predvidene kazni do 20 mio € ali do 4% globalnega letnega prometa), nihče od upravljavcev osebnih podatkov tega področja ne bi smel več ignorirati. Temeljna načela varstva osebnih podatkov ostajajo enaka kot do sedaj, bodo pa učinki uredbe vendarle znatni, novosti so predvsem v korist posameznikov in v večji odgovornosti upravljavcev, ki osebne podatke obdelujejo. Kljub zgoraj navedenemu, pa zaradi Uredbe, delodajalcu ni potrebno z zaposlenimi sklepati novih pogodb o zaposlitvi.

I. PRIVOLITEV POSAMEZNIKA – FIZIČNE OSEBE

V kolikor poslujete s fizičnimi osebami, jim prodate izdelke ali opravite storitev in imate njihove osebne podatke ( ime, priimek, naslov, telefonska številka, e-naslov…) za namene izpolnitve naročila, ste z njimi v poslovnem odnosu, kar pomeni, da privolitve ( izjave, privolitve posameznika o obdelavi osebnih podatkov), ne potrebujete. V primeru, da poleg izpolnitve naročila ali opravljene storitve, fizični osebi želite pošiljati sporočil s tržno vsebino (seznanjenje z akcijami, znižanji in drugimi ugodnostmi za stranke), morate pisno izjavo, privolitev posameznika o obdelavi osebnih podatkov, pridobiti. Potrebno je določiti roke hrambe podatkov ter posameznike tudi ustrezno obvestiti. Posameznike je potrebno obvestiti tudi o možnostih vpogleda, izbrisa, preklica, popravka in prenosa osebnih podatkov.

II. OMEJITVE PRI OSEBNIH PODATKIH ZA ZAPOSLENE

Po Zakonu o varstvu osebnih podatkov (po ZVOP-1) veljajo določene omejitve pri zaposlenih delavcih, bivših zaposlenih ali kandidatov za zaposlitev. Za vse zgoraj navedene mora delodajalec pridobiti pisno izjavo, privolitev posameznika za: 

  • hranitev in zbiranje zasebne telefonske številke in zasebnega e-naslova 
  • fotografiranje zaposlenih (na odmoru, družabnih dogodkih ipd.), hramba fotografij zaposlenih je prepovedana. 
  • hramba kopij osebnih dokumentov, vozniškega dovoljenja 
  • hramba prošenj kandidatov za zaposlitev po zaključenem izbirnem postopku

Za zaposlene delavce, bivše zaposlene ali kandidate za zaposlitev mora delodajalec uničiti: 

  • kopije rojstnih listov otrok po dopolnitvi starosti 15 let ( uporaba za odmerjanje dodatnega dneva letnega dopusta delavcu za otroka, starega do 15 let. 
  • dokumentacijo nekdanjih zaposlenih (razen dokumentacije, ki jo je potrebno hraniti trajno: pogodba o zaposlitvi, M-obrazci, potrdila o zdravniških pregledih, usposabljanju za varno delo, obračuni plač, ipd.) 
  • poštne predale bivših zaposlenih deaktivirati

III. OBVEZNOSTI UPRAVLJAVCA (DELODAJALCA, PODJETNIKA, PODJETJA) po uredbi GDPR in Zakonu o varstvu osebnih podatkov (ZVOP-1)

Delodajalec mora na podlagi Zakona o evidencah na področju dela in socialne varnosti (ZEPDSV) zbirati različne podatke o zaposlenih, zato privolitve posameznika za obdelavo in hrambo teh podatkov od delavca ne potrebuje. V skladu z ZEPDSV morajo delodajalci voditi naslednje evidence, v katerih so osebni podatki: 

  • evidenco o zaposlenih delavcih; 
  • evidenco o stroških dela; 
  • evidenco o izrabi delovnega časa; 
  • evidenco o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu.

Praktično vsak poslovni subjekt obdeluje in hrani osebne podatke ( podatki zaposlenih, podatki oseb s katerimi je sklenil podjemno ali avtorsko pogodbo, podatki dijakov in študentov, ki delajo preko študentske napotnice, podatki fizičnih oseb najemnikov ali najemodajalcev, podatki kupcev / uporabnikov storitev…

1. Katalog – zbirke osebnih podatkov

Za vse zgoraj navedene primere zbiranja, obdelave in hranjenja osebnih podatkov, je potrebno voditi evidence dejavnosti obdelave (evidenca – zbirka osebnih podatkov). Podatki so lahko ustrezno varovani le, če preverimo in popišemo, katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost po uredbi GDPR veljala tako za upravljavce, kot tudi za obdelovalce (npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.).

V zbirki osebnih podatkov se opiše naziv zbirke, pravna podlaga, vrste osebnih podatkov, namen obdelave, rok hrambe, uporabnika podatkov… Vse zbirke osebnih podatkov sestavljajo katalog zbirk.

2. Pogodbe z zunanjimi ponudniki

Upravljavec osebnih podatkov ( podjetnik, podjetje, delodajalec) mora imeti z zunanjimi ponudniki (računovodski servisi, IT podjetja) pogodbe z navedenimi zahtevami po uredbi GDPR.

3. Pravilnik o zavarovanju osebnih podatkov

GDPR izrecno ne zahteva posebnega pravilnika, vendar je na nek način potrebno zapisati varnostne ukrepe za zavarovanje osebnih podatkov.

IV. VZORCI IZJAV, PRIVOLITEV, ZBIRKE, PRAVILNIK O VARSTVU OSEBNIH PODATKOV

Članom OOZ Idrija so na voljo vzorci:

1. Izjava – soglasje - privolitev posameznika – fizične osebe

2. Zbirke osebnih podatkov (najpogosteje uporabljene)

  • Evidenca zaposlenih delavcev in druge evidence na področju dela ( evidenca o zaposlenih delavcih, o stroških dela in o izrabi delovnega časa) po Zakonu o evidencah na področju dela in socialne varnosti) 
  • Evidence drugih oblik dela ( podjemne pogodbe, avtorske pogodbe, študentsko delo) 
  • Evidence po zakonu o varstvu in zdravju pri delu 
  • Evidence o delovnih sporih 
  • Evidence najemnih pogodb 
  • Evidence kupcev in naročnikov storitev – fizičnih oseb

3. Pravilnik o varovanju osebnih podatkov

Pri uporabi vzorca obravnavajte primer individualno, glede na konkretne okoliščine in temu primerno uredite obrazec. V priloženih vzorcih

  • spremenite podatke o podjetju ( naziv, naslov) 
  • v vzorcih EVIDENCE popravite del, kjer je naveden opis zavarovanja osebnih podatkov ( v vzorcu je navedeno: »Prostori, v katerih se nahajajo osebni podatki, se izven delovnega časa zaklepajo. Postopki in ukrepi za zavarovanje osebnih podatkov so podrobneje določeni v Pravilniku o varovanju osebnih podatkov« Če pravilnika nimate, je v ta del potrebno navesti, kako so podatki varovani. 

V. POGODBE Z ZUNANJIMI PONUDNIKI

Poleg zgoraj navedenih vzorcev (obrazcev) mora upravljavec osebnih podatkov ( podjetnik, podjetje, delodajalec) imeti z zunanjimi ponudniki (računovodski servisi, IT podjetja, ki vam urejajo računalniško in programsko opremo) pogodbe z navedenimi zahtevami po uredbi GDPR.