Čas do začetka uporabe Splošne uredbe o varstvu osebnih podatkov (GDPR), 25. maja 2018, se hitro izteka. GDPR na območju celotne EU nadomešča in nadgrajuje ureditev varstva osebnih podatkov izpred dvajsetih let, določeno z Direktivo, ki so jo države članice implementirale s svojimi nacionalnimi zakoni (v Sloveniji ZVOP-1). GDPR je evropski predpis, ki se uporablja neposredno, države članice pa lahko nekatere določbe te evropske uredbe v svojih predpisih podrobneje uredijo. Slovenija bo to možnost izkoristila s sprejetjem ZVOP-2, ki ga pripravlja Ministrstvo za pravosodje, objavo osnutka in začetek javne obravnave zakona pa pričakujemo prve dni oktobra 2017.

GDPR prinaša posameznikom, katerih podatki se zbirajo, obdelujejo in hranijo, poleg dosedanjih še nekatere nove pravice, upravljavcem in obdelovalcem pa nalaga več novih obveznosti, ki jih morajo izpolniti do maja 2018.

GDPR in spremembe, ki jih prinaša v poslovanje

Med novimi pravicami posameznikov velja izpostaviti pravico do pozabe, omejitve obdelave in prenosljivosti posameznikovih podatkov. Natančneje je urejen postopek privolitve posameznika v zbiranje in obdelavo njegovih podatkov. Preveriti bo treba veljavnost dosedanjih privolitev!

GDPR določa, v katerih primerih morajo upravljavci in obdelovalci osebnih podatkov izvesti analizo učinkov obdelave na varstvo osebnih podatkov, nadzornemu organu poročati o varnostnem incidentu in imenovati odgovorno osebo za varstvo osebnih podatkov. Upravljavci bodo kataloge zbirk podatkov vodili v prenovljeni obliki, ne bo pa jim jih več treba pošiljati Informacijskemu pooblaščencu. Rešitve za obdelavo podatkov bodo morale biti razvite ob spoštovanju načela vgrajenega in privzetega varstva osebnih podatkov. Za kršitev oz. nespoštovanje zahtev GDPR so zagrožene visoke kazni.

GDPR neposredno vpliva na vse področne ureditve in postopke obdelave osebnih podatkov. Tudi na področje hrambe dokumentarnega in arhivskega gradiva, kjer bodo morali zavezanci z vidika zahtev nove ureditve varstva osebnih podatkov preveriti obstoječa oz. pripraviti nova notranja pravila, v primerih zunanjega izvajanja zajema in hrambe pa tudi pogodbe z izvajalci – obdelovalci osebnih podatkov.