Ali je res, da kot mali podjetnik ne potrebujem GDPR-ja…

… in kaj naj rečem, če pride inšpekcija?

Na kratko povedano, ne. Pa vendar, tudi ja. Naj vam pojasnim. 🙂

Zakaj je to pomembno?

Splošna Uredba o varstvu osebnih podatkov (bolj znana kot GDPR) je stopila v veljavo že maja 2018 in konkretno spremenila varstvo osebnih podatkov kot smo ga poznali do sedaj. Ključna sprememba, ki pa jo na prvi pogled lahko celo zgrešimo, pa je bila vzpostavitev načel varstva osebnih podatkov, pri čemer je vodilno načelo, t.i. načelo odgovornosti.

Načelo odgovornosti je opredeljeno v 5. členu GDPR, iz katerega izhaja, da je upravljavec odgovoren za skladnost obdelave osebnih podatkov, pri čemer pa mora biti zmožen to tudi dokazati.

Poleg načela odgovornosti, je potrebno pri obdelavi osebnih podatkov ustrezno zasledovati tudi načelo zakonitosti, točnosti, ažurnosti in celovitosti ter minimalnega obsega osebnih podatkov.

Kako na moje obveznosti vpliva velikost mojega podjetja?

GDPR velja za vsa podjetja, ne glede na njihovo velikost, saj je njeno bistvo ravno v tem, da vsako podjetje prevzame odgovornost in vzpostavi ustrezen zaščitni odnos do osebnih podatkov, ki jih obdeluje (z eno manjšo izjemo, ki je predstavljena spodaj). Velikost podjetja tako ne vpliva na obveznosti po GDPR-ju, saj je veliko pomembnejši kriterij koliko podatkov se obdeluje, kakšne podatke podjetje obdeluje in seveda za kakšne namene se podatki obdelujejo. To so ključna vprašanja pri zagotavljanju skladnosti na področju varstva osebnih podatkov.

Če si povedano predstavljamo na primeru, si lahko predstavljamo psihoterapevtko, ki ima svojo lastno prakso in v svojem podjetju deluje sama, pa vendar obdeluje veliko različnih osebnih podatkov, ki so povečini občutljive narave (t.i. posebne vrste osebnih podatkov po terminologiji, ki jo uvaja GDPR). Na drugi strani pa imamo lahko ogromno podjetje, z več kot 300 zaposlenimi, ki izdeluje strojno opremo in posluje B2B; takšno podjetje povečini obdeluje zgolj kontaktne podatke svojih poslovnih partnerjev in naročnikov, obseg teh podatkov pa bo redko presegel osnovne kontaktne podatke, ki jih potrebujejo za komuniciranje, pripravo ponudb in izpolnitev naročil.

Pri GDPR torej velikost podjetja šteje, vendar ne tista klasična, ki se meri v številu zaposlenih, odstotkih trga, letnem prometu ipd. ampak tista, ki se meri v količini in vrsti osebnih podatkov, za katere smo kot podjetniki odgovorni.

Bistvo skladnosti z GDPR je torej, da ne glede na to ali smo “veliki“ ali “majhni“ prevzamemo odgovornost za podatke, ki jih obdelujemo in začnemo na začetku; s popisom podatkov, ki jih imamo.

Res ni nobene ugodnosti za male podjetnike?

Sama velikost podjetja vpliva na zgolj eno obveznost po GDPR in sicer gre za obveznost vodenja evidenc obdelave osebnih podatkov, ki izhaja iz 30. člena te Uredbe. Na podlagi tega člena ima vsak upravljavec (pa tudi obdelovalec) obveznost vodenja evidence dejavnosti obdelave za vsako zbirko osebnih podatkov, ki jo vodi v okviru svojega poslovanja.

Kje je zdaj tista izjema, se najbrž sprašujete. Natančno v spodnjem odstavku.

Ta obveznost pa ne velja za podjetja manjša od 250 zaposlenih. Ta podjetja so dolžna evidentirati le tiste dejavnosti obdelave, ki: (1) predstavljajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki ali (2) niso občasne narave ali (3) vsebujejo posebne vrste osebnih podatkov oz. podatke v zvezi s kazenskimi obsodbami in prekrški.

Upoštevajoč vse navedeno lahko hitro opazimo, da je tudi zgoraj predstavljena izjema za manjša podjetja zelo ozka in ne obsega vseh obdelav v podjetju.

Tako bo na primer psihoterapevtka iz zgornjega primera, vseeno dolžna voditi evidenco dejavnosti obdelave za podatke o svojih klientih, saj obdeluje posebne vrste osebnih podatkov, zaradi česar se ne more nasloniti na predstavljeno izjemo.  Takšno izjemo pa bo lahko uporabila pri drugih obdelavah, ki jih izvaja v podjetju, pa se ne nanašajo na zgornje kriterije. Proizvodno podjetje pa bo dolžno voditi evidence dejavnosti obdelave za vse obdelave, ki jih izvajajo v podjetju, ne glede na izjeme, o katerih smo govorili.

Kako se torej lotiti vzpostavitve skladnosti z GDPR?

Ko ste natančno popisali osebne podatke, ki jih obdelujete v podjetju (ja, tudi tiste excelove tabele, ki ste jih odkrili, in za katere nihče ne ve prav dobro čemu služijo), lahko pričnete s prvimi koraki k skladnosti.

Sedaj, ko veste koliko podatkov imate in kakšne vrste so ti podatki, je čas, da se seznanite s svojimi obveznostmi s področja varstva osebnih podatkov. Kot smo videli v tem prispevku, Uredba “odpustkov za mala podjetja“ ne dopušča (z izjemo tiste malenkosti pri evidencah) in uvaja načelo odgovornosti, s katerim nalaga podjetjem dolžnost, da obdelujejo svoje podatke zakonito in to tudi izkažejo.

Da bi zagotovili skladnost z Uredbo je potrebno določiti ustrezne namene obdelave osebnih podatkov in pripisati ustrezno pravno podlago za vsako obdelavo, ki jo izvajate v podjetju. Prav tako je potrebno skleniti ustrezne pogodbe z zunanjimi izvajalci oz. preveriti ali je zunanji izvajalec vaše podjetje. V tem primeru nastopate kot obdelovalec osebnih podatkov in z vašimi partnerji vstopate v razmerje pogodbene obdelave, ki s seboj prinaša dodatna pravila in obveznosti na obeh straneh.

Upoštevajoč navedeno lahko zaključimo, da je področje varstva osebnih podatkov nedvomno večplastno in zahteva razumevanje tako same zakonodaje in njene terminologije kot tudi lastnih internih procesov podjetja.

Kot že omenjeno, je Uredba v veljavi od maja 2018, v Sloveniji pa (zaenkrat) še vlada nekakšen status quo, saj čakamo sprejem posodobljenega zakona o varstvu osebnih podatkov (znanega tudi pod kratico ZVOP-2), ki bo uredil procesni del tega področja in omogočil izrekanje kazni po GDPR. Trenutno je ZVOP-2 v postopku sprejema v Državnem zboru, pri čemer se bodo obravnave odvile v novembru, zato lahko rečemo, da se čas statusa quo izteka.

Upoštevajoč vse navedeno, vsekakor toplo priporočam, da čimprej zagrizete v to jabolko in svoje procese uskladite z veljavno zakonodajo, pri tem pa ne pozabite, da smo vam vedno na voljo za vprašanja, pomoč in podporo na ana@consilium.si.