Splošna uredba o varstvu podatkov (GDPR)
Evropska Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (krajši naziv: Splošna uredba o varstvu podatkov; angleška kratica: GDPR), ki je bila sprejeta leta 2016, vsebuje konkretnejše določbe glede obdelave osebnih podatkov in je tako na ravni celotne Evropske unije prvič po letu 1995 bistveno spremenila področje varstva osebnih podatkov.
Ker gre za “uredbo” in ne za “direktivo”, z zakonsko močjo od 25.05.2018 neposredno velja v vseh državah članicah, kar pomeni da ni potrebe po prevzemu njenih določil v nacionalno zakonodajo.
Države članice sicer nekatere podrobnosti še lahko urejajo same (Slovenija npr. z novim Zakonom o varstvu podatkov – ZVOP-2), vendar je večina pravil zdaj povsem poenotenih na ravni celotne Evropske unije.
Uredba daje izjemen pomen upravljanju podatkov (angl. data governance), ki so se sicer že dlje časa pojavljali v sodni in upravni praksi držav članic Evropske unije. Upravljavec podatkov je tako odgovoren za skladnost s predpisanimi načeli varstva podatkov ter mora biti to skladnost tudi zmožen dokazati (t. i. odgovornost upravljavca).
Zakonitost obdelave osebnih podatkov
Uredba GDPR pogojuje zbiranje osebnih podatkov z zakonitostjo njihove obdelave, ki lahko temelji na naslednjih podlagah:
Privolitev
posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov
Pogodba
obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na njegovo zahtevo pred sklenitvijo pogodbe
Zakon
obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca
Življenjski interesi
obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki
Javni interes
obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu
Pravni interes
obdelava je potrebna zaradi pravnih interesov upravljavca, razen če prevladajo temeljne pravice in svoboščine posameznika, ki zahtevajo varstvo osebnih podatkov (še posebej za otroke); ne velja za javne organe
Druge pomembne novosti uredbe GDPR so:
- imenovanje pooblaščene osebe za varstvo podatkov (DPO) v določenih organizacijah;
- uvedba novih pravic posameznikov v zvezi z njihovimi osebnimi podatki (pravica do izbrisa oz. pozabe in pravica do prenosljivosti – več o tem v nadaljevanju seminarja);
- poseben sistem odzivanja na kršitve.