GDPR nadzor v podjetju – vse, kar morate vedeti!

Service.

Načela GDPR so se v poljskem pravnem redu že za vedno ustalila. Večina podjetij je začetek veljavnosti novih predpisov o varstvu podatkov vzela resno in izvedla potrebne postopke. Vendar zgolj priprava potrebnih dokumentov oziroma zaposlitev osebe, ki je odgovorna za obdelavo podatkov o naročnikih, izvajalcih in zaposlenih, ni dovolj. Omenjena uredba EU nalaga skrbniku, da pazi na utrip. Redno spremljanje in preverjanje procesov obdelave podatkov je potrebno za zaščito podjetja pred strogimi upravnimi in finančnimi kaznimi. Nadzor GDPR v podjetju se lahko zgodi kadarkoli – ne le kot posledica prijavljanja nepravilnosti s strani posameznika, na katerega se nanašajo osebni podatki.

Nadzor GDPR izvajajo inšpektorji, pooblaščeni v imenu predsednika Urada za varstvo osebnih podatkov (tj. predsednika Urada za varstvo osebnih podatkov). Seveda bi se morali skrbniki podatkov, ki so v tej zadevi zagrešili nepravilnosti, pripraviti na inšpekcijske preglede UODO. Poleg tega predsednik Urada za varstvo osebnih podatkov redno napoveduje kontrolne akcije. To velja zlasti za javni sektor, vključno z zdravstvene in izobraževalne ustanove, previden pa naj bo tudi zasebni sektor - UODO cilja predvsem na podjetja, v katerih ima obdelava osebnih podatkov zelo pomembno vlogo, tj. telemarketing, bančništvo in zavarovalništvo.

GDPR nadzor – postopki

Zaščita osebnih podatkov na Poljskem temelji na zgoraj omenjeni uredbi GDPR in Zakonu o varstvu osebnih podatkov. Glede na zgoraj navedene akte ima lahko začetek inšpekcijskega nadzora različne podlage. Nadzor GDPR je lahko:

  • načrtovano - se izvaja v skladu z načrtom nadzora, ki ga potrdi predsednik Urada za varstvo osebnih podatkov;

  • ad hoc - sproži se na podlagi podatkov, ki jih pridobi predsednik Urada za varstvo osebnih podatkov, na primer pritožba osebe, katere podatki so bili obdelani v nasprotju z določili GDPR.

Zakon o varstvu osebnih podatkov razlikuje med dvema vrstama nadzora. Prvi se nanaša na postopke zaradi kršitve določb o varstvu osebnih podatkov, drugi pa na postopke nadzora glede spoštovanja določb o varstvu osebnih podatkov. Med navedenimi postopki obstaja povezava – šele, ko se pri preverjanju skladnosti odkrijejo pomembne nepravilnosti, lahko nadzorni organ sproži postopek za ugotavljanje kršitev varstva podatkov.

Predsednik Urada za varstvo osebnih podatkov – kakšne so njegove pristojnosti?

V skladu z zgornjim odstavkom je že znano, kateri organ je pristojen za izvajanje inšpekcijskega nadzora – to je predsednik Urada za varstvo osebnih podatkov (PUODO). Da bi se lahko dobro pripravili na inšpekcijski nadzor tega organa, je treba odgovoriti na vprašanje – kakšna pooblastila ima PUODO in kako ga lahko uporabi proti podjetniku?

Naloge, pristojnosti in pooblastila nadzornega organa za varstvo osebnih podatkov so urejene v čl. 57 in čl. 58 GDPR. V skladu z zgoraj navedenimi določbami ima PUODO pravico:

  • spremljanje in uveljavljanje uporabe določb uredbe, vključno obravnava pritožbe, predložene nadzornemu organu v skladu s čl. 77 GDPR, začetek inšpekcijskega postopka, opravljanje inšpekcijskega nadzora;

  • pridobiti od upravljavca in obdelovalca dostop do vseh osebnih podatkov in vseh informacij, ki so potrebne za opravljanje nalog nadzornega organa;

  • pridobiti dostop do vseh prostorov upravljavca in obdelovalca, vključno z opremo in sredstvi za obdelavo podatkov, v skladu s postopki, določenimi v pravu EU ali zakonodaji države članice;

  • vodenje postopkov v obliki revizij varstva podatkov;

  • obveščanje upravljavca ali obdelovalca o sumu kršitve določb GDPR;

  • izdajanje opozoril upravljavcu ali obdelovalcu glede možnosti kršitve določil GDPR z načrtovanimi postopki obdelave;

  • izdajanje opominov upravljavcu ali obdelovalcu v primeru kršitve določil GDPR s postopki obdelave;

  • naloži upravljavcu ali obdelovalcu, da ugodi zahtevi posameznika, na katerega se nanašajo osebni podatki, ki izhaja iz pravic, ki mu jih dajejo določbe GDPR;

  • naloži upravljavcu ali obdelovalcu, da prilagodi postopke obdelave določbam GDPR, vključno z navedbo načina in roka;

  • naroči upravljavcu, da obvesti posameznika, na katerega se nanašajo osebni podatki, o kršitvi podatkov.

Kakšen je kontrolni postopek?

Nadzor GDPR izvajajo upravljavci, ki so delegirani v imenu PUODO. Pogosto so inšpektorji tudi zaposleni na Generalnem inšpektoratu za varstvo osebnih podatkov, uslužbenci Nacionalnega inšpektorata za delo in Državne trgovinske inšpekcije. Kot je bilo že poudarjeno, inšpekcijski postopek poteka na podlagi inšpekcijskega načrta, ki ga potrdi predsednik urada, ali analize podatkov, ki jih je PUADO zbral od tretje osebe.

Ad hoc kontrole, torej tiste, ki se izvajajo na podlagi informacij, ki jih predsednik Urada za varstvo osebnih podatkov pridobi od tretjih oseb, so lahko nenapovedane.

Pred začetkom postopka mora inšpektor predložiti ustrezno pooblastilo in servisno kartico. Dovoljenje mora biti označeno z datumom začetka in pričakovanim datumom zaključka pregleda. Inšpektorji imajo praviloma pravico vstopiti v prostore pregledane družbe od 6.00 do 22.00 ure. Pregled lahko traja največ 30 dni.

Začnite brezplačno 30-dnevno preizkusno obdobje brez obveznosti!

Na podlagi člena. 84. Zakona o varstvu osebnih podatkov je podjetnik dolžan inšpektorju omogočiti vpogled v vso dokumentacijo, potrebno za pravilno opravljanje inšpekcijskega nadzora. Poleg dokumentacije v dobesednem pomenu ta obveznost velja tudi za posredovanje vseh informacij, naprav, predmetov, nosilcev in IT sistemov, ki se uporabljajo za obdelavo osebnih podatkov. Poleg tega ima inšpektor pravico prejemati pisne ali ustne izjave ali pojasnila od podjetnika in njegovih zaposlenih.

V postopku nadzora lahko upravljavec izdeluje kopije (fotokopije) in fotokopije posameznih datotek, pregleduje objekte, prostore, IT naprave in programsko opremo, ki jo uporablja subjekt obvladovanja za obdelavo osebnih podatkov. V primeru razkritja nepravilnosti se lahko opravi razgovor s podjetnikom ali njegovimi zaposlenimi. Poleg tega imajo inšpektorji pravico pridobiti dokaze z, na primer, zasegom opreme ali celotnih prostorov.

Poročilo o pregledu GDPR

Inšpekcijski postopek se zaključi s pripravo inšpekcijskega poročila, v katerem se razkrijejo ugotovitve opravljenih aktivnosti. Vsebuje dokumente, izjave, pojasnila, izpise dokumentov podjetja in druge stvari, ki so bistvene za postopek. Inšpektor je dolžan nadzorovanega seznaniti z vsebino prijave. Protokol lahko podjetnik podpiše v 7 dneh, kar je enako, da potrdi njegovo vsebino, ali pa izrazi pisne zadržke. V primeru ugovorov lahko inšpektor izvede dodatne nadzorne aktivnosti. Prav tako lahko po preučitvi ugovorov navede njihovo legitimnost ter spremeni ali dopolni protokol. Če pa ugovori niso v celoti ali delno sprejeti, inšpektor posreduje svojo odločitev pregledani skupaj z utemeljitvijo. Neupoštevanja ugovorov ni mogoče izpodbijati. Pomembno je, da nepodpis protokola ali nepredložitev kakršne koli rezervacije v 7 dneh pomeni zavrnitev podpisa protokola.

Kakšne so sankcije za kršitev določb GDPR?

Kršitev določb o varstvu osebnih podatkov pomeni tveganje, da se upravljavcu osebnih podatkov naložijo dve vrsti kazni - administrativne in finančne.

Osnovna kazen za kršitev GDPR je denarna kazen. Njegova količina je odvisna od številnih dejavnikov, med drugim o tem, ali je upravitelj namerno ali nenamerno kršil predpise. Pomembne so tudi kategorije osebnih podatkov, na katere vpliva kršitev, in ukrepi, ki jih upravljavec sprejme za zmanjšanje škode. Uhajanje e-poštnih naslovov iz spletne trgovine bo obravnavano veliko bolj nežno kot izguba podatkov o zdravju pacientov nalezljive bolnišnice (ti podatki so tako imenovani občutljivi podatki). K znižanju kazni lahko prispeva tudi sodelovanje podjetnika z nadzornimi organi pri odpravljanju kršitev.

Za kršitev določb GDPR lahko predsednik urada upravljavcu ali obdelovalcu podatkov izreče globo do 10 milijonov evrov, v primeru zelo hujših kršitev pa se lahko ta kazen zviša do 20 milijonov evrov. V primeru podjetja se kazen izreče v odstotkih – do 2 % (4 % v primeru zelo resnih kršitev) njegovega celotnega letnega svetovnega prometa iz prejšnjega leta.

Poleg denarnih kazni lahko nadzorni organi uporabijo tudi upravne kazni, ki pomembno vplivajo na delovanje podjetja. V nekaterih primerih so takšne kazni lahko strožje od denarnih kazni. Predsednik Urada za varstvo osebnih podatkov lahko pri odvisnem subjektu med drugim zaprosi:

  • Opozorilo;

  • opomnik;

  • naloži, da se obveščenec obvesti o kršitvi določb in izpolni zahteve, ki izhajajo iz pravic, ki mu jih daje veljavna uredba o osebnih podatkih;

  • odreditev začasne ali popolne omejitve obdelave osebnih podatkov, vključno s prepovedjo obdelave določenih podatkov, popravkom ali izbrisom;

  • odvzem certifikata ali naročanje organu za potrjevanje, da umakne ali zavrne podelitev certifikata.

Finančne in upravne kazni se lahko uporabljajo zamenljivo in skupaj.

GDPR nadzor v podjetju – povzetek

Izvajanje procesov obdelave osebnih podatkov v skladu z GDPR je le prvi korak. Uredba od subjektov, ki obdelujejo osebne podatke, zahteva, da svoje postopke nenehno in redno prilagajajo trenutnim tržnim in pravnim realnostim. Nadzor GDPR se lahko zgodi vsakemu podjetju, hkrati pa ga ni treba vedno signalizirati s strani PUODO – v primeru ad hoc nadzora obvestilo ni obvezno. Bolje je, da politiko podjetja vnaprej prilagodimo zakonskim zahtevam, kot da računamo na naklonjenost kontrolorjev in upamo, da se bo končalo le z opominom. Kazni za kršitev predpisov GDPR so zelo visoke – lahko dosežejo tudi do 20 milijonov evrov.