WEBINAR:Izognite se GDPR apokalipsi. Pripravite se.

Vaša vprašanja in naši odgovori

Govorili smo:

• Zakaj vsi govorijo o GDPR in kaj je dejanski pravni izziv?

• Zakaj upravljanje podatkov (data governance) GDPR iz grožnje

spreminja v priložnost?

• Zakaj je Qlik Sense optimalno orodje za pravčasno

izpolnitev zahtev GDPR?

2

V nadaljevanju vam podajamo odgovore na vprašanja, ki ste nam jih zastavili.

GDPR - Q&A

Je javno dostopen podatek (spletna stran podjejta recimo) tudi osebni podatek?

Vsak podatek, na podlagi katerega se lahko identificira posameznika, je osebnipodatek. Tudi če ga pridobite na spletni strani, pa ga nameravate uporabiti za drugnamen, kot za kontaktiranje te osebe (ob tem predpostavljamo, da je osebni podatekna spletni strani podjetja objavljen ravno z namenom, da je mogoče s to osebo priti vstik), morate za tak (drugačen, nov) namen obdelave pridobiti izrecno soglasjeposameznika.

***

Recimo da bazo zgradimo iz javno dostopnih podatkov (sejmi, etc), jih moramoobvestiti da smo naredili neko bazo.

Ne glede na to da bazo zgradite iz javno dostopnih podatkov, morate od vsakegaposameznika pridobiti najprej izrecno privolitev za obdelavo osebnih podatkov zadoločen namen.

3

GDPR - Q&A

Npr.konkretno trgovina, ki nudi tudi servis izdelkov. Nekdo pokliče in se želi

naročiti na servis. Kako prevzeti osebne podatke, naslov itd. Kako dolgo lahko ta

info hranimo? Do sedaj so npr. sedaj to hranili v zvezku in ko je bil napolnjen, so

ga vrgli v smeti.

Izvedba servisnih storitev pomeni izvršitev pogodbe med naročnikom (fizično osebo) in

servisom, ki predstavlja podlago za obdelavo tistih osebnih podatkov, ki so nujni za

izvedbo pogodbe (če bi o naročniku radi izvedeli še kaj več, ker bi to želeli npr. uporabiti

za bodoče marketinške ali prodajne aktivnosti, bi bilo za te dodatne osebne podatke

potrebno pridobiti njegovo privolitev). Osebne podatke je dovoljeno hraniti toliko čas,

dokler ni dosežen namen obdelave. Po našem mnenju je to še 5 let od opravljene

storitve, kolikor znaša zastaralni rok, v katerem bi naročnik lahko npr. zahteval

odškodnino zaradi (domnevno) malomarno opravljenega dela. 5 let je tudi obdobje, za

katero davčna zakonodaja zahteva hrambo računa (ki vsebuje osebne podatke

naročnika). Metanje zvezka v smeti pa vsekakor ni skladno niti s trenutnim Zakonom o

varstvu osebnih podatkov (ZVOP-1) in še manj z bodočo Uredbo in ZVOP-2.

4

GDPR - Q&A

Podatke imamo v različnih bazah; do naslednjega maja je iluzorno pričakovati, da

jih bomo uredili v podatkovno skladišče – kako ukrepati v smeri izpolnjevanja

zahtev GDPR v tem primeru?

Kot sem predstavil, najpomembnejša je identifikacija podatkov (podatkovni slovar) in

identifikacija življenjskega cikla podatka (data lineage). Verjamemo, da je izgradnja

enotnega podatkovnega skladišča zalogaj, vendar če lahko predvidimo končno vsebino

(iz podatkovnega slovarja) in pot do te vrednosti (data lineage), lahko v vmesnem

obdobju naredimo podatkovno jezero (data lake), kjer s pomočjo vpogledov (views)

"simuliramo" končno rešitev. Zakaj samo simuliramo? Ker taka rešitev pripelje do pravih

rezultatov, vendar je performančno zelo potratna in kot taka torej služi le kot začasni

korak oz. kot "POC - proof of concept". Na ta način boste maja mirno spali in imeli

konkretne temelje za nadaljnje ukrepanje in celovito, trajno rešitev.

5

GDPR - Q&A

Kaj se bo zgodilo z javno objavljenimi katalogi zbirk osebnih podatkov, ki jih od

maja dalje ne bo več potrebno pošiljati na IP?

Osnutek ZVOP-2 v 99. členu predvideva bodisi prenehanje delovanja registra zbirk

osebnih podatkov bodisi njegov nadaljnji obstoj, pri čemer je za javni sektor pri tej drugi

varianti predvidno za javni sektor obvezno sporočanje podatkov, za zasebni sektor pa

prostovoljno.

***

6

Živjo, kako je s kontakti v pametnih telefonih, kjer imam številke in maile, telefon je

pa privat?

Osnutek ZVOP-2 izrecno predvideva, da se pravila glede (varstva) osebnih podatkov ne

uporabljajo za obdelavo osebnih podatkov, ki jih izvajajo fizične osebe »izključno za

osebno uporabo, družinsko življenje ali za druge domače potrebe«.

GDPR - Q&A

Zdravo. Če lastnik OP upravljavcu dovoli obdelavo OP, ga je dolžan obveščati o

spremembah? Kako sicer upravljavec odgovarja za točnost podatkov?

GDPR predvideva »razumne ukrepe za zagotovitev, da se netočni osebni podatki brez

odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo«, ne

vzpostavlja pa izrecne dolžnosti posameznika, da sporoča spremembe. Pameten

upravljavec bo to od posameznikov vsekakor zahteval, naše mnenje pa je, da ne more

trpeti negativnih posledic, če bo posameznik dal napačne podatke ali če ne bo

(pravočasno) sporočil spremembe.

7

GDPR - Q&A

Zanima me primer klicnega centra, ki do sedaj hrani podatke; ogromno

strank/potencialnih strank. Kakšen je potek skladnosti z GDPRjem, bo treba od

vsakega posameznika dobiti privolitev, kar se mi zdi abusurdno zamudno .. ?

Imate kakšno lažjo rešitev ? hvala za odgovor

Potrebno bo pridobiti tudi za nazaj soglasje oz. izrecno privolitev od vsakega

posameznika za točno določen namen obdelave njegovih podatkov, v kolikor tega klicni

center še nima. Lažje rešitve vam žal ne moremo predlagati.

8

GDPR - Q&A

Pozdravljeni. Končno rešitev ste predstavili v orodju Qlik, če sem pravilno zaznal,

ker je »hitrejša« oz. omogoča bližnjico? Zanima me, zakaj točno naj bi bilo temu

tako in ali vendarle ni vseeno katero »končno« aplikacijo uporabljamo?

S Qlikovim asociativnim pristopom do podatkov, lahko hitro pridemo do povezav med

podatki v vseh podatkovnih virih, ki so vam na voljo. Torej lahko na enem mestu vidite

celotno zgodbo nastopanja oz. pojavljanja podatkov v vaših podatkovnih virih (kateri

podatki, kje in tudi zakaj in kako so povezani, če sploh so). Qlik Sense zmore torej

samostojno povezati polja z enako vsebinsko definicijo. Zato pravimo, da je hitra in

učinkovita pot do GDPR skladnosti. Torej v osnovi potrebujete urejen podatkovni slovar z

definicijami in pot do teh (data lineage), kar pomeni, da v samem začetku (še) ne

potrebujete 100% urejenega podatkovnega skladišča, da ugotovite, kje vse se nahajajo

podatki in kakšni so.

9

GDPR - Q&A

So cloud providerji dolžni nadzirati tip podatkov, ki jih pri njih hranijo upravljavci

OP? Mora biti v primeru občutljivih OP o tem zaradi nujne vpeljave nadprednejših

varnostnih meril obveščen?

Iz GDPR to ni povsem jasno. V pogodbi, ki jo mora upravljavec (naročnik) obvezno

skleniti s pogodbenim obdelovalcem (cloud providerjem), je med drugim potrebno

opredeliti vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih

podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter

obveznosti in pravice upravljavca (naročnika). Iz tega bi izhajalo, da mora biti cloud

provider vsaj seznanjen s tipi podatkov, ki jih misli na njegovi infrastrukturi hraniti /

obdelovati naročnik. Po našem mnenju to ne pomeni, da bi moral aktivno nadzirati, ali

se naročnik drži dogovora; oziroma je dogovor, po katerem sploh nima take pravice

(četudi tehnično morda taka možnost obstaja, ker npr. podatki niso kriptirani ali

psevdonimizirani), lahko pomemben element zagotavljanja varnosti osebnih podatkov.

10

GDPR - Q&A

Ali so osebni podatki fizičnih oseb, ko nastopajo v vlogi predstavnika pravne osebe (npr.

zakoniti zastopniki družb), predmet zaščite po GDPR? Ali torej varstvo pripada vsem

posameznikom, katerih osebni podatki se pojavljajo npr. kot zastopniki in podpisniki

poslovnega partnerja na pogodbah, ki jih z njim sklene naša družba? Ali bi to veljalo le (da

torej varstvo zapade pod novo GDPR uredbo), v kolikor bi bili ti osebni podatki del zbirke ali

namenjeni, da postanejo del zbirke (15. odstavek uvodnih določb GDPR)? Ali velja enaka

logika tudi za osebne podatke zaposlenih (ime, priimek, službeni e-mail naslov; službeni

telefon) pri poslovnem partnerju naše družbe, ki jih ima (hrani) naša družba že za

zagotavljanje nemotenega poslovanja?

Če so podatki avtomatizirano obdelani (pri čemer "avtomatizirano" razumemo kot "v digitalni obliki"),

zanje velja GDPR, tudi če niso del zbirke oziroma niso namenjeni vključitvi v zbirko. Obenem

opozarjamo, da je tudi "navadna" preglednica ali celo tekstovna datoteka lahko zbirka osebnih

podatkov v smislu GDPR, torej ni nujno, da gre za nek CRM ali drugo podobno rešitev. Načelno so

torej tudi podatki, ki jih navajate, osebni podatki, pri čemer pa verjetno za njihovo obdelavo

(hrambo) ni potrebno pridobivati soglasij oseb, na katere se ti podatki nanašajo, saj zanjo obstaja

druga pravna podlaga, to je sklenjena pogodba. Pri tem pa je potrebno biti pozoren na to, ali morda

te podatke pri vas "obogatite", npr. s podatki o rojstnem dnevu, hobijih, otrocih ipd., ki so lahko

dragoceni z marketinškega vidika.

11

12

Na vaša vprašanja so odgovarjali

Jure JerajDWH & BI arhitekt v podjetju Result d.o.o.

e: jure.jeraj@result.sit: +386 1 542 17 80m: +386 40 519 232

www.result.si

Matija Jamnikpartner v JK Groupspecialist za področja IT prava, varstva osebnih podatkov in zasebnosti v informacijski družbi

e: matija.jamnik@jkgroup.sit: + 386 590 91 794

www.jkgroup.si

Qlik Sense®

Napredna platforma za vizualno analitiko

Nejc ŽupevecProduktni vodja

e: nejc.zupevec@result.sit: +386 1 542 17 80