Na kratko, GDPR morajo upoštevati fizične in pravne osebe, ki obdelujejo osebne podatke z avtomatskimi sredstvi. Podrobno: GDPRse uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. (1. odstavek 2. člena GDPR). Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik (uvodna izjava 15 GDPR). „Osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (1. točka 4. člen GDPR). Pri tem je vseeno, ali so podatki take narave, da jih je potrebno dodatno obravnavati kot zaščite potrebne, zaščite vredne ali občutljive. Podatki pravnih oseb z GDPR niso zaščiteni. Da ne bo pomote, GDPR se ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti. Čeprav ta dokument (20 vprašanj 20 odgovorov) obravnava zasebni sektor moramo poudariti, da GDPR ne velja samo za zasebni sektor.
GDPR velja tudi za psevdonimizirane podatke (5. točka 4. člena GDPR), saj tudi veljajo za osebne podatke (uvodna izjava 26 GDPR). GDPR ne velja samo za anonimizirane podatke (1. odstavek 2. člena, uvodna izjava 26 GDPR). Ni mogoče dati dokončnega odgovora, ali so šifrirani podatki anonimizirani ali le psevdonimizirani, saj je ta odvisen od posamezne oblike šifriranja in tudi od tega. ali obstaja ključ za dešifriranje ter kdo ga poseduje. Kljub temu se psevdonimizacija in šifriranje obravnavata in spodbujata kot sredstvi za zmanjševanje tveganja obdelave, kjer je to primerno (uvodna izjava 83, pododstavek e 4. odstavka 6. člena, pododstavek a 1. odstavka 32. člena, pododstavek a 3. odstavka 34. člena GDPR).
GDPR velja tudi za moje varnostne kopije podatkov in/ali arhivske podatke. Ne določa nobene izjeme od svojega območja uporabe za varnostne kopije podatkov in/ali arhivske podatke.
GDPR morajo upoštevati zasebna podjetja (glejte tudi odgovor 1) pri obdelavi osebnih podatkov na avtomatiziran način v EU. Zadostuje, da se obdelava izvaja v okviru dejavnosti ustanove upravljavca ali obdelovalca v EU ne glede na to ali se obdelava izvaja v EU ali ne (1. odstavek 1. člena GDPR). GDPR se uporablja pri obdelavi osebnih podatkov v podjetjih izven EU samo v 2 posebnih konfiguracijah. GDPR se uporablja tudi pri obdelavi osebnih podatkov tistih oseb, na katere se podatki nanašajo, ki se nahajajo v EU pri pri upravljavcu ali obdelovalcu, ki nima sedeža v EU, če se dejavnosti obdelave nanašajo na:
(a) ponujanje blaga ali storitev, ne glede na to ali je zanje zahtevano plačilo oseb, na katere se podatki nanašajo ali ne, za takšne osebe, na katere se podatki nanašajo v Uniji; ali
(b) a spremljanjem njihovega obnašanja, v obsegu njihovega obnašanja v Uniji (2. odstavek 3. člena GDPR). Čeprav GDPR govori o državah članicah EU, morajo države Evropskega gospodarskega prostora (EGP), ki niso države članice EU, kot pogoj zato, da so sestavni del EGP,upoštevati GDPR.
GDPR ne razveljavlja sedanjih načel obdelave osebnih podatkov. GDPR še posebej zavezuje k spoštovanju štirih osnovnih načel Direktive 95/46/ES:
1. Prepoved obdelave, dokler ni doseženo soglasje ali pa obdelava temelji na drugem pravnem temelju (“Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev…”) (1. odstavek 6. člena GDPR);[OPOMBA ZA PREVAJALCA: prevod mora glasiti: Prepoved s pridržkom dovoljenja]
2. Omejitev namena (4. odstavek 6. člena, pododstavek b 1. odstavka 5. člena GDPR);
3. preglednost (13. in 14. člen GDPR);
4. Pravice oseb, na katere se nanašajo podatki (15. člen in naslednji členi, GDPR).
Pole tega prinaša GDPRv primerjavi z Direktivo 95/46/ES več obveznosti za upravljavce in obdelovalce podatkov v smislu obveznosti za dokumentiranje izpolnjevanja zahtev GDPR tako z organizacijskimi ukrepi, kot tudi s spremembo ozemeljske veljavnosti ureditve zasebnosti EU. Še posebej glede: ozemeljske veljavnosti (3. člen GDPR), odgovornosti (2. odstavek 5. člena GDPR), obveznosti organizacije glede pravic oseb, na katere se nanašajo podatki (12. člen GDPR), obveznosti organizacije upravljavca (24. člen GDPR), obvestilu o kršitvi varstva osebnih podatkov (33., 34. člen GDPR), oceni učinka v zvezi z varstvom podatkov (35. člen GDPR), posvetovanja z nadzornim organom (36. člen GDPR) in v določenem obsegu pooblaščeno osebo za varstvo podatkov (37. člen in naslednji členi GDPR), upravne sankcije (83. člen GDPR) in solidarne odgovornosti upravljavca in obdelovalca v skladu z zahtevamo 82. člena. To pomeni, da je bistven novi vidik načelo obsežnih obveznosti za dokumentiranje in organizacijo nadzora varnosti podatkov v podjetju.
GDPR poudarja obveznost varstva osebnih podatkov. V primerjavi z Direktivo 95/46/ES je ureditev varstva podatkov preoblikovana. Po GDPR je postal obstoj primernosti element presoje ali se podatki lahko obdelujejo, ali ne. Še posebej se mora v okviru ocene učinka zaščite podatkov oceniti in dokumentirati zagotavljanje primerne zaščite podatkov (35. člen GDPR).
Obveznosti glede preglednosti, ki se nanašajo na osebe, na katere se nanašajo podatki, so v GDPR bistveno razširjene. Obdelovalec je dolžan osebi, na katero se podatki nanašajo, zagotoviti določene zakonsko določene informacije v postopku na več ravneh (13. in 14. člen GDPR). Še posebej te informacije zdaj vsebujejo namen obdelave, pravno osnovo za obdelavo in interna pravila družbe glede brisanja podatkov. Vsebujejo tudi obveznost za informiranje osebe, na katere se podatki nanašajo, o njeni pravici do preklica soglasja (7. člen GDPR) in pravico do ugovora (21. člen GDPR) proti obdelavi podatkov. Obstaja tudi obveznost obvestila osebe, na katero se podatki nanašajo, o dogodkih kršitve varstva osebnih podatkov v določenih pogojih (34. člen GDPR).
Bistveno novi sta predvsem pravica do izbrisa (pravica do pozabe, 2. odstavek 20. člena GDPR) in pravica do prenosljivosti podatkov (20. člen GDPR). Po 2. odstavku 17. člena GDPR in podvržen določenim izjemam, ima oseba, na katero se nanašajo podatki, pravico zahtevati od upravljavca izbris osebnih podatkov, ki se nanašajo naj ali nanjo, vključno z izbrisom pri vseh tretjih osebah, ki jim je upravljavec posredoval podatke. Ta ureditev se razlikuje od “pravice do pozabe”, ki jo je določilo Evropsko sodišče, ki je končno normalen zahtevek za izbris. Po 20. členu GDPR ima oseba, na katero se nanašajo podatki, pravico do prenosa svojih osebnih podatkov neposredno od enega upravljavca k drugemu, kjer je to tehnično možno, razen v določenih okoliščinah.
Soglasja za obdelavo podatkov ni potrebno ponovno pridobiti, če je predhodno dano soglasje v skladu z zahtevami GDPR (uvodna izjava 171 GDPR). O tem ni mogoče odločiti abstraktno in za vse primere, ampak je potrebno presoditi vsak posamičen primer posebej.
Glavne razlike glede pridobivanja soglasja v primerjavi z Direktivo 95/46/ES so trije vidiki:
1. Preglednost je za osebo, na katero se nanašajo podatki, bolj poudarjena (primerjajte 11. točko 4. člena GDPR);
2. Obstajati mora obvestilo o pravici do preklica soglasja (primerjajte 3. odstavek 7. člena GDPR);
3. posebni pogoji veljajo za soglasje otrok, ki se nanaša na spletne storitve (primerjajte 8. člen GDPR). Poleg tega obstaja po določbah GDPR dvom, ali je domnevana privolitev zadostna. Če se obdelava izvaja za več namenov, mora biti soglasje pridobljeno za vse namene.
Soglasja za obdelavo podatkov ni potrebno ponovno pridobiti, če je predhodno dano soglasje v skladu z zahtevami GDPR (uvodna izjava 171 GDPR). O tem ni mogoče odločiti abstraktno in za vse primere, ampak je potrebno presoditi vsak posamičen primer posebej.
Tako imenovane evidence dejavnosti obdelave podatkov so register vseh dejavnosti obdelav, ki jih izvaja upravljavec podatkov (1. odstavek 30. člena GDPR) in obdelovalec podatkov (2. odstavek 30. člena GDPR). Služijo za zavedanje upravljavca in obdelovalca podatkov o njihovih dejavnostih obdelave in so namenjene poenostavitvi nadzoru teh dejavnosti s strani nadzornega organa. Evidence morajo vsebovati določene informacije, predpisane v GDPR za vsako dejavnost obdelave (primerjajte 1. in 2. odstavek 30. člena GDPR). 5. odstavek 30. člena GDPR osvobaja majhna in srednja podjetja te obveznosti pod določenimi pogoji; vendar pa je v praksi dvomljivo, ali ne bo obseg uporabe te izjeme zelo velik. Obdelovalec je dolžan vzdrževati posebno ločeno evidenco za svoje dejavnosti obdelave (2. odstavek 30. člena GDPR) in mora upravljavcu pomagati pri vzdrževanju njegovih evidenc (28. člen GDPR). Prav tako je potrebno opozoriti na to, da bodo morale biti, ne glede na zgoraj navedeno izjemo, evidence dejavnosti obdelave dejansko pogostokrat vzpostavljene zaradi možnosti izvedbe analize ocene učinkov zaščite podatkov.
Upravljavec in obdelovalec podatkov morata imenovati pooblaščeno osebo za varstvo podatkov v vsakem primeru, če:
(a) če obdelavo izvaja javni organ ali telo, razen sodišč v okviru njihovih sodnih usposobljenosti;
(b) jedrne dejavnosti upravljavca ali obdelovalca sestavljajo dejavnosti obdelave, ki zaradi svoje narave, obsega in/ali namena zahtevajo reden in sistematičen nadzor oseb, na katere se podatki nanašajo, v velikem obsegu; ali
(c) jedrne dejavnosti upravljavca ali obdelovalca sestavljajo dejavnosti obdelave velikega obsega posebnih kategorij podatkov v skladu z 9. členom GDPR in osebnih podatkov, ki se nanašajo na kazenske obsodbe in prekrške, navedene v 10. členu GDPR.
(1. odstavek 37. člena GDPR).
Nacionalna zakonodaja ima pravico določiti dodatne okoliščine, v katerih mora biti imenovana pooblaščena oseba za varstvo podatkov pod zgoraj navedenim pragom (na primer novi Zvezni zakon o varstvu podatkov v Nemčiji). Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca, ali pa opravlja te naloge na podlagi pogodbe o izvajanju storitvi (6. odstavek 37. člena GDPR). Seveda le pod pogojem, da pooblaščena oseba za varstvo podatkov izpolnjuje zahteve, ki jih v nadaljevanju določa GDPR in je sposobna izvajati svoje naloge brez kakršnegakoli nasprotja interesov. Ni obvezno, da vsako podjetje imenuje ločeno pooblaščeno osebo za varstvo podatkov. Skupina družb lahko imenuje skupno pooblaščeno osebo za varstvo podatkov. Tudi združenja in organizacije, katerih član je upravljavec ali obdelovalec lahko imenujejo pooblaščeno osebo za varstvo podatkov.
Vsak upravljavec je dolžan obvestiti pristojni uradni nadzorni organ o “kršitvi varstva osebnih podatkov” v roku 72 ur po seznanitvi s kršitvijo (1. odstavek 33. člena GDPR). V skladu s 33. členom mora biti kršitev prijavljena samo v primeru, če obstaja “nevarnost” za pravice in svoboščine fizičnih oseb. Vendar pa še ni jasno, kaj bodo uradni organi za nadzor varstva podatkov obravnavali kot doseženo mejo (spodnjo) za to zahtevo (“rizik”). V skladu z zahtevami 34. člena GDPR (predvsem:”visok rizik” za pravice in svoboščine fizičnih oseb) mora vsak upravljavec o kršitvi obvestiti tudi prizadeto osebo, na katero se nanašajo podatki. V skladu z 12. točko 4. člena GDPR “kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani. Če ni mogoče zagotoviti zgoraj navedenega roka za obvestilo, mora le-to vsebovati tudi utemeljitev zamude. Le upravljavec podatkov ne prijavi dogodka kršitve, mora biti prepričan in zmožen upravičiti zakaj kršitev ni bila prijavljena. Obdelovalec podatkov mora o kršitvi osebnih podatkov obvestiti zadevnega upravljavca podatkov, ne pa uradni organ za nadzor. Vsaka kršitev te obveznosti sporočanja je kazniva z denarno kaznijo so 10 milijonov EUR ali do 2 % skupnega svetovnega letnega prometa zadevne družbe za predhodno obračunsko leto (83. člen GDPR).
Upravljavec podatkov mora obvestiti uradni nadzorni organ in tudi prizadete osebe v skladu s 33. in 34. členom GDPR. Obdelovalec podatkov mora obvestiti upravljavca podatkov o vseh dogodkih. Vsaka pravna oseba je odgovorna za izpolnjevanje svojih obveznosti poročanja. Odgovornost za osnovni dogodek je odvisna od vrste dogodka. Glejte tudi pogosta vprašanja, ki zadevajo odgovornost.
Potrjevanja po GDPR niso obvezna. Potrjevanja se lahko vzpostavijo (42. in 43. člen GDPR). Še več, v skladu z GDPR je potrebno mehanizme potrjevanja spodbujati. Primerna potrjevanja morajo biti namenjena poenostavitvi potrjevanja skladnosti z zahtevami GDPR glede namen potrjevanja. Vendar opravljena potrditev ne more ščititi družbe pred predpisanimi sankcijami.
Ocena učinka varstva podatkov je namenjena oceni tveganja glede varstva osebnih podatkov. Še posebej mora biti izvedena, kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov (1. odstavek 35. člena GDPR). Ta presoja in izvedba ocene učinka varstva podatkov sta kompleksna procesa, z katera se trenutno razvija več različnih modelov. Ocena učinka varstva podatkov je osnovno orodje za varstvo podatkov v GDPR, ki ne sme biti neupoštevano. Na primer: ocena učinka varstva podatkov mora biti izvedena v primeru obdelave velike količine posebnih kategorij podatkov, ki so navedene v 1. odstavku 9. člena GDPR (glejte 3. odstavek 35. člena GDPR).
Načeloma vsak, vključno z upravljavci podatkov in obdelovalci podatkov odgovarja za svoja lastna dejanja. Za zaščito osebe, na katero se nanašajo podatki, GDPR določa, da je obdelovalec podatkov prav tako neposredno odgovoren osebi, na katero se nanašajo podatki (2. odstavek 79. člena GDPR). Vendar gre pri tem GDPR še korak dalje z določbo, da sta upravljavec podatkov in obdelovalec podatkov skupno in solidarno odgovorna za vse dogodke kršitve (4. odstavek 82. člena GDPR). Vendar pa GDPR vsebuje nekaj omejitev glede odgovornosti obdelovalca podatkov (4. odstavek 82. člena GDPR). To pomeni, da so obdelovalci podatkov zlasti izpostavljeni povečanemu riziku. Ta ureditev odgovornosti se neposredno uporablja samo za odškodninske zahtevke osebe, na katere se nanašajo podatki po civilnem pravu in obdelovalec podatkov je odgovoren za škodo, povzročeno fizični osebi kot posledico obdelave, če obdelovalec podatkov ni izpolnjeval zahtev GDPR, določenih posebej za obdelovalce ali kjer je obdelovalec podatkov ravnal izven ali v nasprotju z zakonitimi navodili upravljavca podatkov (2. točka 82. člena GDPR).
GDPR neposredno velja v vseh državah članicah EU od vključno 25. maja 2018 naprej (99. člen GDPR). To velja tudi za predvidene kazni. GDPR obravnava čas med začetkom veljavnosti dne 25. maja 2017 in začetkom njene uporabe dne 25. maja 2018 za prehodno obdobje za prilagoditev njenim določbam (uvodna izjava 171 GDPR). Po 25. maju 2018 ni več zaščite zatečenega stanja in nobenih dodatnih prehodnih obdobij ali obdobij odloga. To pomeni, da je skrajni rok za uveljavitev predpisov 24. maj 2018 ob 00:00 zjutraj. Pristojni vodilni nadzorni uradni organ je nadzorni uradni organ pristojen za območje glavnega ali edinega sedeža upravljavca ali obdelovalca podatkov (1. odstavek 56. člena GDPR). Vendar je potrebno počakati, kako bodo uradni organi za varstvo podatkov v vsej EU začeli uveljavljati GDPR. Vsaj nemški Zakon o varstvu podatkov je nedvoumno pojasnil, da ne bo nobenega dodatnega prehodnega obdobja ali obdobja odloga. Vendar pa je za kaznovanje potrebna vsaj malomarnost. Zato bo ostalo nekaj prostora za podrobno izpolnjevanje obveznosti po GDPR.
Kot Direktiva EU je Splošna uredba o varstvu podatkov GDPR zavezujoča in neposredno uporabljiva v vseh državah članicah EU (99. člen GDPR). Odstopajoče nacionalne zakonodaje so so dovoljene samo na področjih, ki so opredeljena v GDPR in v obsegu, ki je določen s GDPR. Podrobneje, za obdelavo osebnih podatkov v smislu zaposlovanja imajo države članice več pristojnosti za uvedbo nacionalne zakonodaje (glejte 88. člen GDPR). Vendar pa ni veljavna kakršnakoli nacionalna zakonodaja, ki presega te omejitve, saj jo GDPR nadomešča.