Splošna uredba o varstvu osebnih podatkov prične veljati 25.5.2018

Uredba prinaša nekatere novosti na katera bodo morala biti podjetja pozorna:

Zakon določa strožje pogoje za privolitev posameznika, k obdelavi osebnih podatkov. Privolitev mora biti izrecna (privolitev s konkludentimi dejanji ni več dovoljena),  namen zbiranja ali obdelovanja mora biti določen, izrecen in zakonit. V primeru, da je obstoj soglasja sporen ali vprašljiv, dokazno breme v zvezi z obstojem soglasja nosi upravljavec.

Posameznik ima razširjen obseg pravic in sicer pravico do »pozabe« – posameznik na katerega se nanašajo osebni podatki lahko zahteva, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar obstajajo razlogi navedeni v uredbi (npr. osebni podatki niso več potrebni za namen za katerega so se obdelovali). Dodatno ima posameznik pravico do dostopa osebnih podatkov, pravico do popravka, izbrisa, omejitve obdelave, itd. Upravljavec mora posameznika pred podpisom soglasja seznaniti z njegovimi pravicami.

Uredba nalaga upravljavcu osebnih podatkov obširno dolžnost obveščanja posameznika o obdelavi osebnih podatkov. Poleg že zdaj potrebnih podatkov, bo moral upravljavec posameznika obveščati tudi o tem kaj s podatki počel, v kakšni obliki se bodo prenašali, kako bo zagotovljeno zavarovanje podatkov, koliko dolgo traja obdobje hrambe podatkov ter posameznika seznaniti o pravici do pritožbe. Skladno z navedenim bo potrebno prilagoditi tudi obvestila posameznikom ter pravilnike o obdelavi in zavarovanju podatkov.

Upravljavci ne bodo več dolžni prijavljati zbirk osebnih podatkov v register zbirk osebnih podatkov, še naprej pa morajo voditi katalog zbirk osebnih podatkov.

V primeru kršitve mora upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvestiti pristojni uradni organ, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov.

Upravljavci kot tudi pogodbeni obdelovalci morajo imenovati pooblaščeno osebo, v kolikor  posameznike , na katere se nanašajo osebni podatki zaradi obsega/namena obdelave, redno in sistematično spremljajo (npr. spletne trgovine, kartice ugodnosti, podjetja z velikim številom fizičnih oseb kot naročnikov, itd.). Pooblaščena oseba mora biti strokovnjak s področja varstva osebnih podatkov ter neodvisna od uprave upravljavca oziroma pogodbenega obdelovalca.

Uredba daje večji poudarek kodeksom ravnanja katerih namen je prispevati k pravilni uporabi uredbe.

Zoper upravljavce, ki kršijo določbe Uredbe so določene zelo stroge sankcije v obliki upravnih sankcij in denarnih glob, ki lahko znašajo tudi do 20 milijonov EUR oziroma do 4% letnega svetovnega prometa. Najnižja višina globe ni več določena in je prepuščena nacionalnim zakonodajam.