DPO On Demand

GDPR bo že letos dobil polno paro

Tovorni vlaki potrebujejo kar nekaj časa da naredijo paro. To je prava metafora za to, kar se bo v letu 2019 zgodilo na področju GDPR.

Nadzorni organi za varstvo osebnih podatkov (DPA) po vsej Evropi imajo polne roke dela pri sprejemanju velikega števila pritožb. Njihovo število se je še posebej povečalo od začetka veljavnosti GDPR maja lani. Poleti je tako britanski pooblaščenec poročal o 160-odstotnem povečanju števila pritožb zaradi kršitev varstva osebnih podatkov. »Na splošno se je med prebivalstvom očitno povečala ozaveščenost o GDPR,« je povedal Ronan Tigner iz odvetniške družbe Morrison & Foerster.

Prioritete in še enkrat prioritete

Države članice so si 2018 vzele čas za izvajanje raznih dejavnosti v zvezi z novo uredbo, predvsem v smeri preventive. Konec leta pa so se že resno približale njenemu dejanskemu izvajanju.

"Za reformo takega obsega in razsežnosti se pričakuje, da bo minilo nekaj mesecev, preden bo izvrševanje prišlo v ospredje," je povedal Omer Tene, podpredsednik in glavni vodja izobraževanj pri Mednarodnem združenju strokovnjakov za zasebnost.

V letu 2018 so nadzorni organi največ časa namenili varnosti podatkov in obstojem ustreznih privolitev, še posebej, ko gre za oglaševanje in sledenje lokaciji. Francoski organ za varstvo podatkov (CNIL) je v drugi polovici leta izdal serijo štirih opozoril proti francoskim geolokacijsko usmerjenim podjetjem za oglaševanje, ker niso zbrali ustreznega soglasja. Tri družbe - Teemo, Fidzup in SingleSpot - so spremenile svoje sisteme in jih ustrezno prilagodile.

"Pričakujem, da bodo nadzorni organi v letu 2019 v ospredje svojih preiskav postavili ustreznost privolitev posameznikov in postavili višje zahteve glede varnosti obdelave," je dejal Tene. Tako se pričakuje, da bodo nadzorni organi v letu 2019 verjetno preizkusili tudi industrijske standarde s tega področja.

Kaj konkretno nas torej čaka?

Glede na to, da je GDPR v veljavi že skoraj 8 mesecev, lahko pričakujemo, da nadzorni organi ne bodo več zgolj opozarjali nepravilnosti in bodo tudi dejansko začeli uporabljati svoje pristojnosti, ki jim jih daje tako GDPR, kakor tudi nacionalna zakonodaja. Tako bomo v 2019 verjetno priča marsikateri (tudi visoki) globi, ki jo bodo nadzorni organi izrekli. Kljub temu pa je večina nadzornih organov še vedno bolj naklonjena preventivi, kot pa kaznovanju. Armand Heslot iz CNIL je tako poudaril, si bodo vzeli čas, da podjetjem najprej pojasnijo, kako morajo stvari urediti, če jim GDPR še vedno ni razumljiv. "Kazni bodo prišle kasneje," je še dejal Heslot. Večini podjetij, ki so jih preiskali, so dali priložnost, da se uskladijo. Tako je bilo tudi s prej omenjenimi geolokacijskimi podjetji. Vendar to ne pomeni, da bodo evropski organi za varstvo podatkov večno potrpežljivi in lahko pričakujemo, da bodo ukrepali zoper podjetja, ki si ne prizadevajo, da bodo skladni z uredbo.

"Ena stvar je, da nadzorniku in javnosti poveš naredili smo vse, kar lahko, vendar še vedno je bila najdena kršitev, "in povsem drugo je, če rečeš," Oprostite, še vedno nismo pripravljeni oz. skladni z uredbo," je še dodal Tene.

Predvsem v teh zadnjih primerih lahko pričakujemo visoke globe, do 4% skupnega svetovnega letnega prometa v preteklem proračunskem letu.

Tudi v Sloveniji lahko letos pričakujemo povečano število nadzorov, ki jih Informacijska pooblaščenka že izvaja. Le, da bo pri nas leto toliko bolj zanimivo, ker (poleg čakanja na ZVOP-2) državni nadzorniki še vedno uvajajo prekškovne postopke po 8. členu ZVOP-1 (in še nekaterih drugih členih, ki jih je GDPR derogiral), kar je po naši oceni precej sporno.

Vir: ADexchanger