Varstvo osebnih podatkov

Varstvo osebnih podatkov je pravno področje, ki z razvojem digitalne družbe vedno bolj pridobiva na pomenu. Nove informacijske tehnologije namreč olajšujejo pridobitev, obdelavo in kopičenje informacij o posamezniku, tukaj pa hitro trčimo ob človekovo pravico do varstva osebnih podatkov, ki je varovana tako na ustavnopravni ravni kot tudi z različnimi mednarodnimi konvencijami.


Pomena varstva posameznika pred nepooblaščenim ali prekomernim posegom v njegovo zasebno sfero se zaveda tudi evropski zakonodajalec, ki je 27. aprila 2016, sprejel Splošno uredbo o varstvu podatkov, bolj znano pod kratico GDPR (General Data Protection Regulation). Slednja se od 25. maja 2018, neposredno uporablja v vseh državah članicah EU, tudi v Sloveniji.

GDPR je korenito spremenila ureditev varstva osebnih podatkov, posameznikom dodelila več pravic, podjetjem, ki se ukvarjajo z zbiranjem in obdelavo osebnih podatkov pa naložila dodatne obveznosti. K spoštovanju uredbe niso zavezani samo ponudniki informacijskih storitev, ki imajo sedež v EU, ampak tudi tisti, ki imajo sedež zunaj EU in obdelujejo podatke posameznikov na evropskih tleh.

Osebni podatek je v skladu z GDPR katera koli informacija v zvezi z določenim ali določljivim posameznikom. Pri tem gre za osebo, ki jo je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatek o lokaciji ali spletni identifikator. Obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih. Temeljna pravna podlaga za obdelavo osebnih podatkov je posameznikova privolitev. Slednja mora biti dokazljiva, jasna in razumljiva ter jo je mogoče vsak čas enostavno preklicati.

Osebni podatki morajo biti obdelani zakonito, pošteno in na pregleden način. Zbirajo se lahko le za določene, izrecne in zakonite namene. Treba je zagotoviti, da so podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Podatki se morajo skladati z dejanskim stanjem in biti morajo ažurno posodobljeni. Hranijo se lahko le toliko časa, dokler je to za namen obdelave dopustno. Z ustreznimi ukrepi morajo biti zaščiteni pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo.

Posebno pozornost GDPR namenja občutljivim osebnim podatkom, katerih obdelava je načeloma prepovedana. Gre za podatke o rasnem ali etničnem poreklu, političnem mnenju, verskem ali filozofskim prepričanju ali članstvu v sindikatu, za genetske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Uredba posamezniku priznava številne pravice. V prvi vrsti ima posameznik pravico do obveščenosti, kateri njegovi osebni podatki se zbirajo oziroma obdelujejo ter pravico do seznanitve z vsebino teh podatkov in s tem, kdo jih zbira oziroma obdeluje. Nadalje ima posameznik pravico do popravka oziroma uskladitve podatkov z dejanskim stanjem. Zelo pomembna je tudi pravica do pozabe, na podlagi katere lahko posameznik zahteva, da upravljavec podatke brez nepotrebnega odlašanja izbriše. Posamezniku pripadajo tudi pravica do omejitve obdelave, pravica do prenosljivosti podatkov in pravica do ugovora obdelavi.

Na drugi strani GDPR upravljavcem in obdelovalcem osebnih podatkov nalaga tudi določene obveznosti, kot je npr. obveznost vodenja evidence dejavnosti obdelave osebnih podatkov. Uredba veliko pozornost namenja tudi preventivnim ukrepom in določa obvezno izvedbo ocene učinkov v zvezi z varstvom osebnih podatkov v primeru, ko lahko obdelava povzroči veliko tveganje za pravice in svoboščine posameznika. Če do kršitve varstva osebnih podatkov vendarle pride, pa je treba o tem brez nepotrebnega odlašanja obvestiti Informacijskega pooblaščenca in vse posameznike, na katere se osebni podatki nanašajo.

Še ena pomembna novost, ki jo GDPR uvaja, je obveznost imenovanja pooblaščene osebe za varstvo osebnih podatkov (Data Protection Officer ali DPO). Gre za zaposlenega v podjetju ali zunanjega pogodbenega izvajalca, ki zagotavlja skladnost poslovanja s predpisi s področja varstva osebnih podatkov, in sicer neodvisno. Imenovanje take osebe bo obvezno za javne organe kot tudi za upravljavce in obdelovalce v zasebnem sektorju, ki osebne podatke redno in sistematično obsežno spreminjajo (npr. zavarovalnice, spletne trgovine in klubi zvestobe kupcev) ter tiste, ki obdelujejo občutljive osebne podatke.