Poglavja 01 Uveljavljeno: 25. maj 2018

GDPR

Splošna uredba o varstvu podatkov

Pregled

Splošna uredba o varstvu podatkov (GDPR) je temelj zakonodaje EU o varstvu podatkov. Nadomestila je Direktivo o varstvu podatkov 95/46/ES in bistveno okrepila pravice posameznikov glede njihovih osebnih podatkov ter uvedla obsežne obveznosti za upravljavce in obdelovalce podatkov.[1]

GDPR velja za vsako organizacijo, ki obdeluje osebne podatke posameznikov v EU, ne glede na to, kje je organizacija ustanovljena. Ta ekstrateritorialni doseg je naredil GDPR za dejanski globalni standard varstva podatkov.[2]

Kdo mora spoštovati

  • Upravljavci podatkov: Organizacije, ki določajo namene in načine obdelave osebnih podatkov
  • Obdelovalci podatkov: Organizacije, ki obdelujejo osebne podatke v imenu upravljavcev
  • Subjekti izven EU: Vsaka organizacija, ki ponuja blago/storitve prebivalcem EU ali spremlja njihovo vedenje
  • Vsi sektorji: Velja v vseh panogah z omejenimi izjemami za organi pregona in nacionalno varnost

Ključne zahteve za razvijalce

Pravna podlaga za obdelavo

Vsaka obdelava mora imeti veljavno pravno podlago po 6. členu:[3]

  1. Soglasje: Prostovoljno dano, specifično, informirano in nedvoumno
  2. Pogodba: Nujno za izvedbo pogodbe s posameznikom
  3. Pravna obveznost: Zahteva zakon EU ali države članice
  4. Življenjski interesi: Zaščita življenja posameznika ali druge osebe
  5. Javni interes: Nujno za opravljanje javne naloge ali uradne pristojnosti
  6. Upravičeni interesi: Uravnoteženi z pravicami posameznika (ni na voljo javnim organom)

Tehnične zahteve

  • Minimizacija podatkov: Zbirajte le tisto, kar je potrebno za določen namen
  • Omejitev hrambe: Osebne podatke hranite le toliko časa, kot je potrebno
  • Integriteta in zaupnost: Uvedite ustrezne varnostne ukrepe
  • Privatnost že v zasnovi in privzeto: Vgradite varstvo podatkov v sisteme od samega začetka (25. člen)[4]

Pravice posameznikov

Aplikacije morajo podpirati naslednje pravice:

PravicaOpisČas odgovora
Dostop (15. člen)Posredovanje kopije osebnih podatkov in informacij o obdelavi1 mesec
Popravek (16. člen)Popravek netočnih osebnih podatkovBrez nepotrebnega odlašanja
Izbris (17. člen)Izbris podatkov, ko niso več potrebniBrez nepotrebnega odlašanja
Omejitev (18. člen)Omejitev obdelave v določenih okoliščinahBrez nepotrebnega odlašanja
Prenosljivost (20. člen)Posredovanje podatkov v strojno berljivi obliki1 mesec
Ugovor (21. člen)Ugovor proti obdelavi na podlagi upravičenih interesovBrez nepotrebnega odlašanja

Obveščanje o kršitvah

  • Upravnemu organu: V 72 urah od zaznave (33. člen)[5]
  • Posameznikom: Brez nepotrebnega odlašanja, če obstaja visoko tveganje za pravice in svoboščine (34. člen)
  • Dokumentacija: Vzdrževanje evidence vseh kršitev ne glede na obveznost obveščanja

Kazni

GDPR določa večstopenjski sistem kazni:

  • Nižja stopnja: Do 10 milijonov € ali 2 % letnega svetovnega prometa, kar je višje
  • Višja stopnja: Do 20 milijonov € ali 4 % letnega svetovnega prometa, kar je višje[6]

Glavne izrečene globe vključujejo:

  • Amazon (Luksemburg, 2021): 746 milijonov €
  • Meta/Facebook (Irska, 2023): 1,2 milijarde €
  • Google (Francija, 2022): 90 milijonov €

Kontrolni seznam za izvedbo

  • Identificirajte vse dejavnosti obdelave osebnih podatkov
  • Vzpostavite pravno podlago za vsako obdelavo
  • Uvedite upravljanje soglasij, kjer je to potrebno
  • Ustvarite obvestila o zasebnosti, ki izpolnjujejo zahteve po preglednosti
  • Vzpostavite mehanizme za obravnavo zahtev posameznikov
  • Uvedite ustrezne varnostne ukrepe
  • Vzpostavite postopke za zaznavanje in obveščanje o kršitvah
  • Izvedite ocene vpliva na varstvo podatkov za obdelave z visokim tveganjem
  • Po potrebi imenovanje pooblaščenca za varstvo podatkov
  • Vzdržujte evidenco dejavnosti obdelave (RoPA)

Viri in reference

[1]
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta. EUR-Lex: Uradno besedilo GDPR
[2]
Teritorialni doseg GDPR, 3. člen. GDPR.eu: Teritorialni doseg
[3]
Zakonitost obdelave, 6. člen. GDPR-Info: 6. člen
[4]
Varstvo podatkov že v zasnovi in privzeto, 25. člen. GDPR-Info: 25. člen
[5]
Obveščanje o kršitvi osebnih podatkov, 33. člen. GDPR-Info: 33. člen
[6]
Upravne globe, 83. člen. GDPR-Info: 83. člen