Vse kar morate vedeti o GDPR v 8 točkah

V tem članku vas bomo seznanili z osnovami GDPR, ki vam bodo pomagale pri lažjem razumevanju in implementaciji zakona v vašem podjetju oziroma organizaciji. Članek je napisan iz stališča skladnosti z GDPR-jem za email marketing.

Splošna uredba evropske unije o varovanju osebnih podatkov (ang. General Data Protection Regulation ali s kratico GDPR) je uredba, ki jo je 27. Aprila 2016 sprejel Evropski parlament in stopi v veljavo s 25. Majem 2018.

Evropski parlament sicer v večini primerov sprejema direktive, ki jih morajo potem države članice EU prenesti v svoje zakonodaje, a v tem primeru gre za uredbo, kar pomeni, da bo v vseh članicah veljala neposredno in na identičen način.

Glede na obstoječo (nacionalno) zakonodajo prinaša precej novosti in na eni strani izzivov in pasti, na drugi strani pa poenotenja in tudi (sploh če poslujete v več EU državah) poenostavitev. Za začetek si tako preberite ključne osnovne pojme, kot jih navaja kar uredba sama:

1. Pojmi

  1. Osebni podatki – pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

    Uredba tako jasno definira, da gre za fizične osebe (v originalu še bolje saj posameznika navede kot “physical person”), kar pomeni, da jasno loči med fizičnimi osebami in pravnimi osebami. V kontekstu email marketinga je potrebno tako ločiti 3 primere:

    1. ime.priimek@gmail.com – fizična oseba
    2. ime.priimek@ime-podjetja.si – fizična oseba (pozor!)
    3. info@ime-podjetja.si – pravna oseba

    Ko obdelujemo podatke je tako potrebno najprej ločiti generične (info@, prodaja@, …) email naslove in email naslove fizičnih oseb. Za generične naslove namreč GDPR ne velja.

  2. Obdelava – pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

    V kontekstu email marketinga je tukaj potrebno ločiti predvsem 2 stvari:

    1. Zbiranje in uporaba email naslovov za pošiljanje email sporočil;
    2. Zbiranje dodatnih informacij o prejemniku za potrebe profiliranja – bodisi avtomatičnega bodisi ročnega – ti podatki obsegajo npr. spol, starost, ipd., kot tudi datum in čas branja prejetih email sporočil, klikanja na povezave, geolokacijo, itd.
  3. Upravljavec – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;
    V kontekstu email marketinga je to podjetje, ki od prejemnikov pridobiva soglasja za obdelavo osebnih podatkov. Nadalje zbira email naslove, jih hrani in nanje pošilja email sporočila (torej pošiljatelj; najverjetneje Vi, spoštovani bralec).
  4. Obdelovalec – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
    V kontekstu email marketinga je to ponudnik vaše platforme za email marketing (na primer mi, SqualoMail). Obdelovalec obdeluje podatke v skladu z navodili upravljavca.
  5. Uporabnik – pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne.
    Uporabnik je lahko vaš poslovni partner, s katerim delite osebne podatke. Je pa potrebno ločiti uporabnika in prejemnika.
  6. Oblikovanje profilov (profiliranje) – pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;
    Tukaj bi posebej poudarili, da se po naši interpretaciji ročno izvajanje filtrov nad prejemniki tudi šteje med avtomatizirano obdelavo osebnih podatkov, za kar pa je potrebno dodatno soglasje. Več o tem še v nadaljevanju.

 

Primeri

V nadaljevanju vam podajamo nekaj najbolj pogostih scenarijev oseb, kot jih predvideva GDPR. Scenariji so podani predvsem v kontekstu email marketinga, so pa seveda tudi splošno uporabni.

Spletna stran/Spletna trgovina

  1. Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
  2. Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Lastnik spletne trgovine preda Prejemnikove podatke podjetju, ki ponuja platformo za email marketing — na primer SqualoMail — in s katerim že ima sklenjeno pogodbo o obdelavi podatkov. To podjetje tako postane Obdelovalec.
Vse se seveda (lahko) zgodi avtomatično s pomočjo obrazca, na Upravljavčevi spletni strani, ki je vezan neposredno na platformo za email marketing.

 

Spletna agencija

  1. Oseba obišče spletno stran podjetja, kjer se prijavi na newsletter, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev in tako postane Prejemnik.
  2. Lastnik spletne strani po drugi strani s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Lastnik spletne trgovine preda Prejemnikove podatke agenciji za digitalni marketing. Agencija s tem postane Obdelovalec. Med Upravljavcem in Obdelovalcem mora obstajati pogodba o obdelavi osebnih podatkov.
  4. Agencija najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. Tudi to podjetje tako postane Obdelovalec.
Upravljavec potem daje navodila za obdelavo osebnih podatkov Agenciji, ta pa to ustrezno prenese na platformo za email marketing.

 

Deljenje osebnih podatkov med partnerji

  1. Oseba obišče spletno stran agencije, kjer se prijavi na newsletter na neko tematiko, tako da vpiše svoj email naslov in odda soglasje za prejemanje newsletterjev za neko tematiko in se strinja, da se njegovi podatki posredujejo Uporabniku ter tako postane Prejemnik.
  2. Agencija s tem, ko pridobi podatke in soglasje, postane Upravljavec osebnih podatkov Prejemnika.
  3. Agencija preda osebne podatke oglaševalcu. Ta s tem postane Uporabnik. Med Upravljavcem in Uporabnikom mora obstajati ustrezna pogodba o deljenju osebnih podatkov.
  4. Oglaševalec najame podjetje, ki ponuja platformo za email marketing — na primer SqualoMail — s katerim sklene pogodbo o obdelavi osebnih podatkov. To podjetje tako postane Obdelovalec.

 

2. Za koga velja GDPR?

Velja za vse organizacije, ki imajo v upravljanju, hranijo, obdelujejo, prenašajo ali kakorkoli drugače operirajo (jih obdelujejo) z osebnimi podatki fizičnih oseb, ki so državljani držav Evropske unije.

Sedež organizacije tako ni pomemben, kar pomeni, da GDPR velja tudi za ameriška podjetja, če obdelujejo podatke Evropejcev.

Organizacija v tem kontekstu pomeni tako podjetja, zavode in državne ustanove, kot tudi društva, sindikate, politične stranke in ostale organizacijske oblike. Edini, ki so iz tega izvzeti so (druge) fizične osebe.

GDPR velja tudi za vse vaše pogodbene (pod)izvajalce (obdelovalce) ne glede na to, kje se nahajajo (v EU ali izven). Za njihovo skladnost z GDPR pa ste odgovorni (tudi) vi.

Ni namreč mogoče prelagati odgovornosti na pogodbene partnerje, tako da je zelo pomembno, da za vse partnerje preverite, da so skladni z GDPR in da z njimi sklenete ustrezno pogodbo.

Tukaj je potrebno biti posebej pazljiv pri računalništvu v oblaku (sem spadajo tudi platforme za email marketing) in neevropskih (večinoma ameriških) izvajalcih le-tega.

Veliko je namreč takih, ki se tega lotijo zelo pavšalno (ali pa se sploh ne) in po “liniji najmanjšega odpora”. Imeti obdelovalce podatkov izven EU tako pomeni veliko višje tveganje za neskladnost in posledično kazen.

 

3. Za katere podatke in kako velja GDPR?

GDPR velja za vse osebne podatke, ki jih vaša organizacija obdeluje. To vključuje seveda podatke o vaših strankah oziroma kupcih, je pa potrebno biti pozoren tudi na osebne podatke vaših partnerjev (dobaviteljev) in pa tudi vaših zaposlenih. To pomeni, da boste morali pri obdelavi osebnih podatkov spremeniti miselnosti in začeti razmišljati iz druge perspektive.

Za obdelavo podatkov bo z GDPR vedno potrebna eksplicitna privolitev. To pomeni, da se mora prejemnik jasno strinjati s tem da upravljavec obdeluje njegove podatke za določen namen, ki mora biti jasno opredeljen.

Kljub temu pa je ključno ločiti med osebnimi podatki in podatki javnega značaja. Slednje pa niso (nujno) podatki, ki so javno objavljeni!

Če tako na primer oseba javno objavi svoj email naslov (npr. na Facebook-u), ga vi nimate pravice kopirati in shraniti v svojo bazo, kaj šele tej osebi poslati email sporočilo. Za obdelavo vseh podatkov, četudi so javno dostopni na Facebook-u, Linkedin-u, ali kakem drugem socialnem omrežju, morate tako imeti eksplicitno dovoljenje.

Prav tako ni javni podatek službeni email naslov, četudi javno objavljen na spletni strani. Ime.priimek@neko-podjetje.si se tako šteje kot osebni podatek, katerega brez privoljenja spet nimate pravice obdelovati.

Kljub temu pa so generični email naslovi podatki javnega značaja. info@neko-podjetje.si tako ne spada pod jurisdikcijo GDPR in za obdelavo teh podatkov ne potrebujete eksplicitnega privoljenja. Seveda pa morate, v kolikor na te naslove pošiljate email sporočila, vedno ponuditi in spoštovati možnost odjave.

Dodaten primer legitimnega zbiranja podatkov brez privoljenja je zbiranje agregiranih podatkov. Le-ti namreč ne določajo nobene konkretne fizične osebe, tako da je zbiranje le-teh po GDPR dovoljeno.

Primer takih podatkov je na primer število klikov na neko povezavo v newsletterju. Je pa potrebno biti zelo pazljiv, kar se tega tiče, saj je potrebno dejansko poskrbeti, da so podatki anonimizirani tako, da ni mogoče več povrniti informacije o tem, na koga se podatki nanašajo.

Primer slabe anonimizacije je, če imamo na primer podatke o ulici in hišni številki ter mestu. Na prvi pogled se zdi, da so to anonimizirani podatki, saj lahko na nekem naslovu živi več oseb, a v primeru da dejansko tam živi samo ena oseba, gre za osebne podatke, ker je mogoče to osebo določiti.

GDPR predvideva tudi take primere, ki jih interpretira kot osebne podatke.

Posebno je potrebno izpostaviti razliko med obveznimi in neobvezni podatki – tukaj ne gre za obveznost, ki jo določi upravljavec (na primer kot obvezno polje ob prijavi, ker se je tako odločil in ker mu bodo ti podatki “prišli prav”), ampak za objektivno nujnost nekega osebnega podatka.

GDPR tako definira, da je dovoljeno zbirati primerne, relevantne in v okviru potreb, ki so potrebni za izvajanje naročene storitve (adequate, relevant, and not excessive in relation to the purposes for which they are processed).

Primer: Za prejem newsletterja, je nujno, da upravljavec pridobi email naslov, ni pa nujno potrebno, da upravljavec pridobi tudi podatke o datumu rojstva.

GDPR tako od upravljavcev zahteva, da vedno zbirajo minimalno potrebno množico podatkov za vsak namen posebej.

To v praksi pomeni, da so podatki o nekem konkretnem kliku, ki je povezan z email naslovom osebni podatki.

Istočasno zgodovina klikov za nekega prejemnika ni nujno potrebna za zagotavljanje primarne storitve (npr. pošiljanja novic). To skupaj tako pomeni, da je potrebno prejemniku dati možnost, da se odjavi samo od tega dela podatkov in posledičnega profiliranja – izdelave novih seznamov in segmentov.!

Nezmožnost zbiranja zgodovine klikov za prejemnike ne pomeni, da ni možno zbirati števila oz. stopnje klikov – to so namreč agregirani podatki.

Zelo pomembna je tudi nova zahteva, ki pravi, da GDPR velja tudi za podatke, ki so bili zbrani pred uvedbo GDPR. To v praksi pomeni, da morate:

  1. Najprej preveriti, kakšna soglasja imate za svoje obstoječe podatke – ali so morda (že) skladna z GDPR. Če je odgovor Da, potem vam ni potrebno zbirati dodatnih soglasij.
  2. V kolikor pa temu ni tako, ste dolžni soglasja zbrati na novo. To pomeni, da morate svoje prejemnike kontaktirati in jih pozvati, naj vam dajo soglasje za obdelavo podatkov za vse ali samo nekatere izmed namenov, za katere te podatke obdelujete.

Pogojevanje storitev s soglasjem za obdelavo osebnih podatkov ni (več) dovoljeno!

To v praksi pomeni, da bo potrebno marketinške kampanje, kjer na primer ponudite prejemniku e-knjigo, tako da se z registracijo za prenos e-knjige avtomatično prijavi tudi na vaše novice, potrebno spremeniti. Prijavo na novice morate tako ponuditi kot ločeno opcijo (kljukico) in ne sme biti implicitna (že obkljukana).

4. Obveznosti upravljavca

GDPR zahteva od upravljavca, da mora na enostaven, pregleden in varen način prejemnikom zagotavljati določene pravice, ki so bile do sedaj delno zagotovljene, ali pa sploh niso bile. Te pravice so sledeče:

  1. Upravljavec mora definirati pravno podlago, na kateri mu je dovoljena obdelava osebnih podatkov. Primeri pravne podlage so soglasje, legitimni interesi, zakonska podlaga, pogodbene obveznosti, … Izvajanje storitev za stranko je definitivno takšna pravna podlaga, je pa potrebno tukaj biti pazljiv, da gre za zbiranje minimalne potrebne količine osebnih podatkov.
    Za email marketing je pravna podlaga navadno dano eksplicitno soglasje prejemnika.
  2. Upravljavec mora zagotoviti transparentno in prostovoljno soglasje prejemnika o obdelavi podatkov. V kolikor obdelujete osebne podatke otrok, morate za to imeti soglasje staršev. Za email marketing transparentnost in prostovoljnost v praksi pomenita , da morate na prijavnem obrazcu zagotoviti na začetku neobkljukano polje za privolitev namena zbiranja.
    SqualoMail omogoča za uporabnika in prejemnika preprost in varen način za pridobivanje takšnih soglasij, ki je hkrati v celoti skladen z GDPR.
  3. Upravljavec mora zagotoviti prejemniku pravico biti informiran. To pomeni predvsem:
    1. Osebni podatki so pridobljeni direktno od prejemnika ali pa obstaja eksplicitno soglasje pri partnerju, ki je osebne podatke pridobil neposredno, da lahko tudi upravljavec uporablja te podatke.
    2. Informacije o tem, kateri podatki se zbirajo, za kaj se zbirajo in koliko časa se bodo hranili morajo biti jasni, jedrnati, pregledni, razumljivi, lahko dostopni in brezplačni. Definiranje le-tega v splošnih pogojih poslovanja, napisano v težkem, pravnem jeziku ali prikrivanje na kakršenkoli način tako ni dovoljeno. Primeren način je, da se to jasno in eksplicitno predstavi v trenutku, ko prejemnik preda upravljavcu svoje osebne podatke.
    SqualoMail obrazci omogočajo jasen način informiranja pri zbiranju soglasij.
  4. Upravljavec mora zagotoviti prejemniku pravico do vpogleda v svoje osebne podatke. To pomeni, da mora obstajati preprost in varen način, da lahko prejemnik pridobi informacije o tem, kateri podatki so zbrani in se zbirajo.
  5. Upravljavec mora zagotoviti prejemniku pravico do popravka svojih osebnih podatkov. To pomeni, da mora obstajati preprost in varen postopek, na podlagi katerega lahko prejemnik svoje osebne podatke spremeni po svoji lastni želji.
    SqualoMail razbremeni svoje stranke (upravljavce) tako, da omogoča prejemnikom avtomatiziran, a hkrati varen način za vpogled in spremembo svojih osebnih podatkov.
  6. Upravljavec mora zagotoviti prejemniku pravico do izbrisa (pozabe) svojih osebnih podatkov. To pomeni, da mora obstajati preprost in varen postopek, s pomočjo katerega lahko prejemnik zahteva izbris vseh svojih osebnih podatkov.
    Tukaj je potrebno poudariti, da GDPR nima “absolutne” prednosti pred drugimi zakoni in da lahko upravljavec takšno zahtevo tudi zavrne oziroma delno izpolni, če ima drugo zakonsko podlago, da te podatke hrani. Zelo dober primer so podatki o kupcih v spletni trgovini: Podjetje je namreč dolžno hraniti podatke o računih in posledično kupcih še več let po nakupu, tako da je potrebno zahtevo za izbris v tem primeru izpolniti delno.

    SqualoMail omogoča svojim strankam (upravljavcem), da lahko na varen način avtomatizirajo procesiranje zahtevkov po izbrisu.
  7. Upravljavec mora zagotoviti prejemniku pravico do prenosljivosti svojih osebnih podatkov. To pomeni, da mora obstajati preprost in varen postopek, s pomočjo katerega lahko prejemnik pridobi svoje osebne podatke v strojno berljivi obliki (to pomeni, da jih je mogoče na preprost način obdelati z računalnikom – na primer v obliki XML ali CSV).Te podatke bi lahko prejemnik potem prenesel na primer k drugemu ponudniku storitev.
    SqualoMail omogoča svojim strankam (upravljavcem), da lahko na varen in avtomatiziran način omogočijo prejemnikom, da izvozijo svoje osebne podatke v formatu XML, ki je skladen z GDPR. Hkrati omogoča tudi ločen izvoz za uporabnike v obliki CSV.
  8. Upravljavec mora zagotoviti prejemniku pravico do ugovora. To pomeni, da mora upravljavec prejemniku zagotoviti možnost, da prekliče katerokoli soglasje, ki ga je kadarkoli dal upravljavcu. To seveda vključuje tako soglasja za neposredne namene (npr. pošiljanje newsletterja), kot tudi soglasja za posredne namene (npr. možnost profiliranja).
    SqualoMail omogoča vsem prejemnikom, da na preprost, jasen in varen način podajo oziroma prekličejo soglasja za obdelavo podatkov. Upravljavec tako nima dodatnega dela in stroškov z zagotavljanjem skladnosti z GDPR.
  9. Upravljavec mora zagotoviti revizijsko sled operacij z osebnimi podatki. To pomeni, da se podatek o vsakem vpogledu, spremembi in izbrisu jasno zabeleži. Gre torej za tako imenovane metapodatke (podatke o podatkih), ki jih je potrebno shranjevati, tako da je potem mogoče na enostaven način rekonstruirati življenjski cikel podatkov.
    Tukaj je potrebno poudariti, da je potrebno zagotoviti tudi podatke o tem, kdo in kdaj je do podatkov dostopal ter da to velja tako za prejemnike kot tudi za upravljavčeve ali obdelovalčeve zaposlene. Do revizijske sledi mora upravljavec imeti preprost dostop, tako da je nujno, da upravljavec poskrbi, da vsi obdelovalci omogočajo revizijsko sled in da je upravljavcu na voljo.

    SqualoMail ponuja popolno, dosledno in natančno revizijsko sled za vse dogodke – tako za prijave, odjave, popravke, dajanje in preklic soglasij, dostop do podatkov, dostop do delov aplikacije, dostope preko uporabniškega in sistemskega API-ja, To pomeni, da so vsi koraki obdelave podatkov zabeleženi, tako kot to zahteva GDPR.

Poleg naštetega mora upravljavec v primeru, da obdeluje večje količine podatkov, ali pa ima več kot 250 zaposlenih določiti tudi t.i. DPO-ja – Data protection officer.

To je oseba, ki skrbi za zagotavljanje skladnosti varovanja osebnih podatkov z GDPR. Ta oseba je sicer lahko zaposlena v podjetju, a ne sme imeti konflikta interesov.

Kdorkoli iz marketinga, uprave, kadrovske, IT-ja tako ni primeren za ta namen. Dejansko je najbolj smiselno, da upravljavec najame zunanjo osebo, ki bo prevzela to vlogo

Večina upravljavcev podatkov ne bo potrebovala DPO-ja, ampak ga bodo potrebovali samo tisti, ki res obdelujejo velike količine podatkov ali pa obdelujejo občutljive podatke.

Podjetja, ki bodo vsekakor potrebovala DPO-ja so ponudniki platform za email marketing. Vsak upravljavec mora tako preveriti, ali ima njihov ponudnik DTO-ja. Za SqualoMail je odgovor seveda pritrdilen.

 

5. Kako postopati v primeru zlorabe

Novost, ki jo prinaša GDPR je tudi bolj jasen in strikten način postopanja v primeru zlorab.

V primeru, da pride do zlorabe (vdor v informacijski sistem, zloraba s strani zaposlenih, zloraba s strani partnerja, …) je potrebno o tem v 72 urah obvestiti pristojne organe – informacijskega pooblaščenca oziroma policijo v kolikor ste bili žrtev kaznivega dejanja, katerega posledica je bilo kompromitiranje varnosti osebnih podatkov.

V primeru, da tega ne storite vas lahko doleti visoka kazen, kar pomeni, da boste nastradali dvakrat.

V primeru hujše zlorabe (GDPR to definira ko so prejemniku kršeni “pravice in svoboščine”) je potrebno obvestiti tudi prejemnika – ocenjujemo, da je v kontekstu email marketinga to potrebno samo v primeru, da nekdo vdre v informacijski sistem (bodisi vaš, bodisi v sistem pogodbenega obdelovalca) in nedoumno ukrade osebne podatke prejemnikov.

6. Odgovornost v primeru zlorab

Zelo pomembno dejstvo je, da je za upravljanje podatkov primarno vedno odgovoren upravljavec.

To pomeni, da se upravljavec ne bo mogel izgovarjati na pogodbe, ki jih ima sklenjene s svojimi partnerji oziroma obdelovalci (razen seveda v jasnih primerih).

V praksi to pomeni, da bodo inšpekcijske službe tako najprej izvajale nadzor nad upravljavci in šele nato nad obdelovalci.

Manj pa bo izvajanja nadzora nad obdelovalci, ki so locirani izven EU. GDPR sicer pravi, da za njih veljajo enaka pravila, a jasno je, da bo izvajanje teh pravil v praksi oteženo. To seveda posledično pomeni, da se bodo inšpekcijske službe še bolj osredotočile na upravljavce.

Če imate tako obdelovalce, ki nimajo sedeža v EU, bodite pri tem, ali so skladni z GDPR skrajno previdni, saj imajo ti obdelovalci zaradi zmanjšane možnosti kazni, oddaljenosti in odsotnosti stika z EU, veliko manjšo voljo in interes, da so skladni z GDPR, kot podjetja, ki imajo sedež v EU. Posebej vas opozarjamo tudi na obdelovalce, s katerimi nimate neposrednega osebnega stika.

Podjetja, ki se izogibajo stiku, tako da niso pripravljena jasno in javno objaviti svoje telefonske številke in naslova imajo namreč za to določene razloge, ki pa po vsej verjetnosti niso vam v korist.

Po naših analizah večina ponudnikov storitev v oblaku, ki nimajo podružnic v EU, ni v celoti skladnih z GDPR.

 

7. Kazni v primeru zlorab

Kazni za obdelovalce, uporabnike, predvsem pa za upravljavce so zelo visoke! GDPR predvideva zneske v višini do 2% vseh prihodkov organizacije na globalni ravni za večino kršitev. Za hujše kršitve pa celo do 4% od vseh prihodkov organizacije na globalni ravni ali 20 milijonov evrov.

Potrebno je tudi poudariti, da bodo pod nadzorom in posledično kaznovana vsa podjetja – tako mikro in mala kot tudi srednja in velika!

Ne računajte na to, da je vaše podjetje premajhno, da bi bilo pod inšpekcijskim nadzorom oziroma, da bi bilo kaznovano.

8. Kdaj začne veljati GDPR

GDPR začne uradno veljati 25. Maja 2018.

Potrebno pa je razumeti, da se uveljavitev v praksi ne bo zgodila čez noč, ampak se pričakuje, da bo postopna.

Zavedati se je potrebno, da veliko držav Evropske unije še ni sprejelo ustrezne zakonodaje, ki bi bila podlaga za uveljavljanje GDPR.

Stanje na dan 31. 1. 2018

Priporočamo vam, da pri uvajanju GDPR sledite naslednjemu vrstnemu redu:

  1. V prvi fazi poskrbite, da so vaši procesi in sistemi skladni z GDRP. To vsekakor storite pred 25. Majem.
  2. V drugi fazi poskrbite, da bodo vsi osebni podatki, ki jih boste zbrali po 25. Maju, zbrani skladno z GDPR.
  3. V tretji fazi poskrbite, da pridobite soglasja za nazaj. Tukaj se predvideva, da bodo nadzorne inštitucije dovolile neko prehodno obdobje, v katerem lahko upravljavci poskrbijo za 100% skladnost. Prav tako je tukaj lahko iz pravnega vidika vprašljiva retroaktivnost, ki jo predvideva GDPR. Glede tega bo tako še praksa pokazala kako točno postopati.
  4. Nazadnje pa izbrišite osebne podatke, za katere nimate soglasja o obdelavi. Tako kot pri prejšnji točki vam priporočamo, da glede tega ne hitite.
Avtor tega članka in podjetje SqualoMail d.o.o. se odpovedujejo vsakršni odgovornosti glede pravilnosti ali nepravilnosti navedb v tem članku. Bralec (ne)upošteva vsebino v tem članku na lastno odgovornost.

 

Z naštetimi dejstvi in ugotovitvami smo predstavili celostno analizo GDPR. Potrebno pa je vedeti, da to nikakor ne predstavlja vsega, kar prinaša GDPR, sploh, če govorimo v širšem kontekstu podjetja in ne samo v kontekstu email marketinga.

Za podrobnejše informacije in nasvete vam tako priporočamo, da se obrnete na pravne pisarne ali pa da GDPR preberete sami.

Prevod GDPR v slovenskem jeziku je na voljo tukaj.