"25. maja se ne bomo podali v lov na čarovnice"

AmCham Fokus: GDPR - štiri črke, ki bodo 25. maja 2018 spremenile delovanje podjetij. Ste pripravljeni?
Preberite več

»Zavedamo se, da bi lahko imelo gospodarstvo zaradi vpeljave uredbe veliko škode. Uredbo se bo bralo v smislu načel, transparentnosti, odgovornosti poslovanja. Uredba je napisana tako, da mora podjetje dokazati, da razume osebne podatke in da razume svoje poslovanje. Če bo podjetje znalo izkazati, da obdeluje osebne podatke na pravni podlagi, bo to zadostovalo,« je na AmCham Fokusu povedala Alenka Jerše, namestnica informacijske pooblaščenke Republike Slovenije.

Na tokratnem AmCham Fokusu z naslovom »GDPR - štiri črke, ki bodo 25. maja 2018 spremenile delovanje podjetij. Ste pripravljeni?« smo se dotaknili ene izmed najbolj vročih tem v poslovnem svetu v tem trenutku, Splošne uredbe o varovanju osebnih podatkov (GDPR), ki bo v veljavo stopila 25. maja 2018. GDPR bo vplival na vsa podjetja in organizacije, ki obdelujejo osebne podatke evropskih državljanov, kazni, ki grozijo tistim, ki ne bodo skladni z uredbo, pa so izjemno visoke.

Prva govornica je bila Tina Rosario, Head of Data Innovation, Chief Data Officer v podjetju SAP, ki je povedala, da se podjetja na Splošno uredbo o varovanju podatkov (GDPR) pripravljajo že kar lep čas. »Pomembna vprašanja, o katerih podjetja razmišljajo so, kakšne podatke obdelujejo, kakšno tehnologijo pri tem uporabljajo in kakšne spremembe jih čakajo. Zanima jih tudi, kakšne vse poslovne operacije bo nova uredba zadela,« je povedala Rosario in dodala, da je to zelo kompleksna tematika, saj je v zadnjih letih postalo dejstvo, da posameznik nima več nadzora nad svojimi podatki in nad tem, kam in kako jih deli.

Uredba je vodilo za skladnost
Uredba GDPR je po mnenju Tine Rosario neke vrste vodilo za skladnost za vsako podjetje, ki obdeluje podatke državljanov Evropske unije in bi morala postati del kulture vsakega podjetja. Prepričana je, da se bo s časom uredba razširila prek meja Evropske unije in bo postala globalna, ter da je uredba prisila za nekatera podjetja in organizacije, da začnejo podatke jemati resno in zagotovijo varstvo teh podatkov.

Podjetja se morajo vprašati, kako pridejo do osebnih podatkov in kje jih hranijo, njihov cilj pa bi moral biti, da zagotovijo transparentnost ob možnosti, da pridejo do za njih pomembnih informacij. Kar se tiče organiziranosti posameznih podjetij pa je dejala, da je potrebno imeti transparentne procese in zagotoviti odprtost postopkov, podjetje mora dokazati, da GDPR jemlje resno, in zagotoviti vse procese skladnosti.

Tina Rosario je prepričana, da je evropska uredba o varovanju podatkov dobra za posameznike in za podjetja, saj se številna podjetja ne zavedajo, kako uporabljajo podatke in kaj z njimi počnejo. Opozorila je še, da se procesi ne bodo končali po 25. maju 2018, ko bo uredba stopila v veljavo, ampak da se bo takrat delo šele začelo. In to je za vse priložnosti, da zgradijo politiko okoli osebnih podatkov, ki bo koristila posamezniku in podjetju.

Na kratko je predstavila, kako so se začeli na uredbo pripravljati v podjetju SAP. Povedala je, da se pripravljajo že od leta 2016 in da je bilo njihovo vodilo ves čas, da morajo biti razumljivi in preprosti, a skladni. Predstavila je izzive in prednosti, ki jih uredba prinaša, ter predstavila, kakšno so strateški cilji za operacije vsakega podjetja.

»Podjetja nimajo pravice, da bi zlorabljala osebne podatke«
Na koncu je povedala še, da vprašanje smiselnosti uredbe ne bi smelo biti vprašanje o vrednostih, o cenah ali o kaznih, ampak bi morala biti to razprava o etiki in morali ter o tem, kaj je prav in kaj ne. »Če se postavimo v čevlje posameznika, v čevlje državljana, starša, otroka, in če pogledamo na nevarnosti, ki pretijo, se vprašamo, zakaj ne bi imeli vseh teh varoval. GDPR je seveda uredba o tehnikah, o tehnologijah, procesih in orodjih, ampak je tudi uredba, ki določa to, kar je prav. Podjetja nimajo pravice, da bi zlorabljala osebne podatke, ki so jih pridobila na napačen način,« je še povedala in dodala, da se podjetja tega vse bolj zavedajo, in da je prav, da se ljudje ne bojijo več povedati, kje se krši njihove pravice.

Kaj bo, če zakon ZVOP-2 ne bo pravočasno sprejet?
V drugem delu sta na vprašanja moderatorja Jureta Tepine in občinstva odgovarjala Alenka Jerše, namestnica informacijske pooblaščenke Republike Slovenije, in Jaka Simončič, odvetnik / partner v sodelovanju s Karanović & Nikolić. Jeršetova je v uvodu povedala, da je slovenski zakon o varovanju osebnih podatkov (ZVOP-1) med boljšimi glede na ostale države Evropske unije in da številni, predvsem manjši upravljavci osebnih podatkov ne bodo imeli veliko dela, če že izpolnjujejo vse določbe zakona. Jaka Simončič je ob tem dodal, da se je potrebno zavedati, da je zagotavljanje skladnosti z zakonom in uredbo proces, ki se ne konča, in da se mu je potrebno prilagajati in skupaj z njim rasti. Samo tako bomo dosegli skladnost, ki jo uredba zahteva.

Alenka Jerše je povedala, da pri Informacijskem pooblaščencu vsak dan odgovarjajo na številna vprašanja, tako pisna kot po telefonu, in da bolj ko se bližamo 25. maju, bolj fokusirana so vprašanja, saj podjetja zdaj odkrivajo, s kakšnimi vrstami osebnih podatkov imajo opravka.

Na vprašanje, kaj se bo zgodilo, če nov zakon o varovanju osebnih podatkov ZVOP-2 ne bo sprejet pravočasno, je Simončič odgovoril, da bo v tem primeru neposredno veljala uredba in da bodo tiste odločbe v ZVOP-1, ki bodo nasprotovale uredbi, neveljavne. Tudi Jeršetova je dodala, da se uredba uporablja neposredno, in da bo glede vsega, kar bo v nasprotju z uredbo, obveljala uredba. »Uredba se uporablja neposredno in kjer je drugačna od ZVOP-1, velja uredba,« je povedala in ob tem dodala, da v uradu informacijskega pooblaščenca že nekaj časa opozarjajo Ministrstvo za pravosodje, da je zadnji čas, da sprejmejo zakon, ter da so na osnutek zakona poslali več kot 30 strani pripomb.

»Ne bo šlo za izrekanje glob, ampak za skladnost s predpisi«
In kaj se bo zgodilo 25. maja? »Tudi s kolegi iz drugih držav se pogovarjamo, jasno je, da se 25. maja ne bomo podali v lov na čarovnice, tudi v že obstoječih postopkih se nikoli ni šlo v izrekanje glob, ampak v skladnost s predpisi. Nobeno podjetje, ki je že danes v skladu z ZVOP-1 in se trudi zagotoviti skladnost z uredbo, se nima česa bati,« je še povedala.

Z nesprejemom zakona ZVOP-2 v zraku obvisi tudi vprašanje, kaj bo s prehodnim obdobjem prilagajanja na uredbo, ki naj bi ga zagotovil zakon. Tako Simončič kot Jeršetova sta vsem svetovala, naj se na uredbo pripravijo čim prej, Simončič pa je ob tem dodal še, da prehodno obdobje sicer rešuje družbe pred prekrškovnimi postopki, pred odškodninskimi pa ne.

»Zavedamo se, da bi lahko imelo gospodarstvo zaradi vpeljave uredbe veliko škode, in zato pogrešamo večje razumevanje tistih, ki zakone sprejemajo. Uredbo se bo bralo v smislu načel, transparentnosti, odgovornosti poslovanja. Uredba je napisana tako, da mora podjetje dokazati, da razume osebne podatke in da razume svoje poslovanje. Če bo podjetje znalo izkazati, da obdeluje osebne podatke na določeni pravni podlagi, bo to stalo in zadostovalo,« je povedala Jeršetova, ko je beseda nanesla na legitimni interes.

Legitimni interes in razumna pričakovanja
Dodala je še, da je uredba v primeru neposrednega trženja malce širša in da gre tu za razumna pričakovanja. Če gre pri obdelavi osebnih podatkov kot posledico nekega posla, ki ga sklenemo, za razumno in smiselno nadgradnjo, je obdelava podatkov sprejemljiva. Vprašanje pa je, kako široko lahko gre ta legitimni interes. »To se bo v praksi še pokazalo in oblikovalo. Nadzorni organi bomo morali sodelovati in delati skupne inšpekcije, tako da bomo tudi v praksi znali razbrati razlike in postaviti pravila,« je povedala Jeršetova in dodala še: »Če bomo znali dobro obrazložiti, da gre za razumna pričakovanja, da je zadoščeno legitimnemu interesu in da pravice posameznika niso ogrožene, potem bo obdelava osebnih podatkov sprejemljiva«.

Simončič je ob tem dodal še, da je želja gospodarstva ta, da bi se zakoniti interes interpretiral čim širše, ampak kot tak posega na trg pravic posameznika in upravljavca ter obdelovalca osebnih podatkov. »Vsekakor pa ni prav, da bi se legitimni interes skušalo ukalupiti, kot je bilo zapisano v osnutku ZVOP-2.,« je povedal Simončič in ob tem dodal, da apelira na vse, naj uredbo berejo na način, da tam, kjer ni jasnih odgovorov, prevladajo načela. »To je etika, tam dobimo jasne odgovore,« je še povedal.

Gosta sta odgovorila še na številna, zelo konkretna vprašanja iz občinstva, ki so se nanašala na specifične člene in novosti uredbe.

Tina Rosario o Splošni uredbi o varstvu osebnih podatkov (GDPR)

Alenka Jerše o Splošni uredbi o varstvu osebnih podatkov (GDPR)

Jaka Simončič o Splošni uredbi o varstvu osebnih podatkov (GDPR)

Fotografije z dogodka si lahko ogledate na naši Facebook strani.