Popišite podatke v podjetju

Prvi korak do skladnosti z zakonskimi zahtevami je popis osebnih podatkov, s katerimi vaše podjetje razpolaga.

Osebni podatek je katerikoli podatek, ki se nanaša na osebo, ne glede na obliko in na podlagi katerega je osebo mogoče določiti oz. identificirati brez posebnega truda ali stroškov.

Ključno je torej vprašanje, ali lahko podatek pripišete določljivemu posamezniku.

Osebni podatek je lahko tudi fotografija, glas, podatek o članstvu v klubu, podatek o prilivih in pa različni spletni identifikatorji, npr. številka naslova IP, ID piškotka, vaša mobilna telefonska številka. Oblika in vir podatka pri tem nista pomembni – nekatere osebne podatke si izberemo sami (npr. nadimek), druge nam dodeli država (npr. EMŠO), nekatere pa delodajalec (npr. službeni e-naslov).

Višjo raven zaščite uživajo posebne vrste osebni podatki (ZVOP-1 jih poimenuje občutljivi osebni podatki), ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genski podatki, biometrični podatki, podatki v zvezi z zdravjem ali podatki v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Posebne vrste osebni podatki so še posebej zaščiteni zato, ker so po naravi taki, da razkrivajo zelo intimne podatke o posamezniku (npr. zdravstveno stanje ali spolna usmerjenost), vodijo v obsežne diskriminacije in različne nestrpnosti (na podlagi veroizpovedi, nacionalnosti…), njihova zloraba ali javno razkritje pa lahko za posameznika pomeni hudo, včasih celo nepopravljivo škodo.

Kje se nahajajo osebni podatki?

Praviloma v tabelah, informacijskih rešitvah, evidencah, razvidih, katalogih, šifrantih – z eno besedo v zbirkah osebnih podatkov. Obvladovanje področja varstva osebnih podatkov zahteva popis, katere podatke v podjetju obdelujete in kje se ti nahajajo. Pomislite na:

  • zaposlene (kadrovske mape zaposlenih, evidence delovnega časa, predstavitvene fotografije in elektronski naslovi zaposlenih na spletni strani podjetja itd.)

  • stranke oz. kupce (podatki v sistemu za upravljanje odnosov s strankami, elektronski naslovi za pošiljanje novic, podatki za registracijo v spletni trgovini, podatki o transakcijah, naslovi za dostavo blaga, naslovi IP obiskovalcev vaše spletne strani ali spletne trgovine, sodelujoči v nagradnih igrah itd.)

  • poslovne partnerje (pogodbe z najrazličnejšimi podizvajalci in partnerji, vabila na poslovne dogodke in fotografije udeležencev, vizitke itd.)

PRIPRAVITE AKCIJSKI NAČRT

V prvem koraku popišite vse osebne podatke, ki jih v podjetju obdelujete in tudi navedite, kje se ti nahajajo. Glede na obseg podatkov je to lahko že preprosta tabela, pomembno je, da so v popis vključeni tisti zaposleni, ki podrobno poznajo poslovne procese znotraj podjetja. Če podatkov ne bi popisali, jih tudi varovati ne bi mogli.

Kaj vse zajema obdelava osebnih podatkov?

Obdelava osebnih podatkov pomeni vsako dejanje, ki se izvaja v zvezi z osebnimi podatki, naj bo avtomatsko ali ročno (pri ročni obdelavi mora biti posredi zbirka osebnih podatkov). Obdelava je lahko zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje podatkov.