________________________________________________

Barbara Kolenko Helbl je univerzitetna diplomirana pravnica, od leta 2009 odvetnica, z diplomo Pravne fakultete Univerze v Mariboru, smer »gospodarsko pravo«. Področja, s katerimi se najintenzivneje ukvarja, so gospodarsko pravo, pogodbena razmerja, konkurenčno pravo in pravo intelektualnih pravic, sodelovanje pri ustanavljanju družb in izvajanju statusnih sprememb ter področje korporativnega upravljanja. Ob navedenem se ukvarja tudi z delovnopravnimi vprašanji in postopki ter s svetovanjem na področju varstva osebnih podatkov.

Pri izvajanju odvetniškega dela sledi sodobnim trendom odvetništva in svoje delo sproti prilagaja strankam, in to na način, po katerem je odvetnik dejavni soustvarjalec pozitivnega, urejenega poslovnega okolja ter poslovnih odnosov in ne izključno reševalec že nastalih sporov oziroma nesoglasij med vključenimi strankami. Dnevno je v stiku tako z domačim kot tudi mednarodnim okoljem in redno sodeluje z odvetniškimi družbami v tujini.

Svoje prostore je pred kratkim našla na naslovu Zagrebška 104. Pravi, da pri izbiri lokacije za nadaljnje opravljanje odvetniškega dela ni oklevala. »Cona Tezno ima bogato zgodovino poslovanja in dela in oboje jo prežema tudi danes, trdno pa verjamem, da bo vsaj tako še v prihodnje. Pečat dajemo Coni vsi, ki tukaj ustvarjamo. Kot svoj prispevek k uspešnemu delu nas vseh pa samo nekaj kratkih nasvetov s področja, ki je bilo v zadnjih nekaj letih zelo izpostavljeno in ki se tiče nas vseh – varstvo osebnih podatkov.«

_______________________________________________________

Od sistema do politike »čiste mize« in »čistega zaslona«

Odvetnica Barbara Kolenko Helbl podaja v nadaljevanju kratek pregled nekaterih vprašanj varstva osebnih podatkov.

25.maja 2016 je začela veljati, s 25. majem 2018 pa se je v državah članicah začela neposredno uporabljati Splošna uredba o varstvu podatkov (General Data Protection Regulation – GDPR, v nadaljevanju tudi: Uredba). Ob njej v Sloveniji trenutno velja Zakon o varstvu osebnih podatkov (ZVOP-1), čakamo pa na ZVOP-2, ki bo z Uredbo usklajen.

Kje vse so v družbi osebni podatki? Najbrž povsod, je pa intenzivnost njihovega pojavljanja po segmentih dela različna. Veliko jih bo na kadrovskem področju, pa pri obračunu plač, financah, nekaj tudi v marketingu, prodaji, varnostni službi. Seveda je to odvisno od dejavnosti, načina dela, poslovnih partnerjev in drugih značilnosti poslovanja družbe.

Glede na navedeno vam svetujem, da se v družbi po segmentih oziroma oddelkih ugotovi, kateri osebni podatki se obdelujejo (prav dosledno: ime, priimek, naslov, EMŠO, strokovna izobrazba zaposlenega, njegova delovna doba, podatki o družinskih članih, fotografija, evidentiranje prihodov in odhodov iz objekta, beleženje izrednih dogodkov, videonadzor …). Nato se ob upoštevanju načel GDPR-ja kritično oceni, ali družba vse te podatke res potrebuje (zbiranje podatkov na zalogo je prepovedano) in ali obstajajo za obdelavo ustrezne podlage. Če podatkov družba ne potrebuje nujno za poslovanje, če jih obdeluje brez ustrezne podlage (vključujoč tudi predolgo hrambo), se bo od teh osebnih podatkov treba posloviti (pa čeprav je bilo morda prav priročno in ob priliki morda celo koristno hraniti pred leti prejete življenjepise in prošnje za zaposlitev, telefonske številke nekdanjih zaposlenih in podobno).

Pri tem poudarjam načela varstva osebnih podatkov, ki naj delujejo kot vodilo pri odločanju: zakonita, poštena in pregledna obdelava ter obdelava v skladu z namenom, za katerega so bili podatki zbrani. Obdelujte najmanjši možen obseg podatkov, relevantne in točne podatke, obdelava pa naj poteka na način, ki vseskozi zagotavlja njihovo varnost, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter zlonamerno izgubo, uničenjem ali poškodbo. V ta namen je treba predvideti ustrezne tehnične in organizacijske ukrepe.

Podatke lahko obdelujete le, če imate za obdelavo ustrezno podlago oziroma razloge, med katerimi bodo najbrž prišli v poštev predvsem privolitev, izvajanje pogodbe, izpolnitev zakonske obveznosti, izvajanje nalog v javnem interesu in obstoj zakonitega interesa. Podlage je treba razumeti in razčleniti, brez ustrezne podlage pa podatkov ne smete obdelovati.

Morda ste med tistimi, za katere obstaja obveznost vzpostavitve z Uredbo točno določene evidence dejavnosti obdelave. Obveznost vodenja teh evidenc načeloma ne velja za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen v izjemnih, točno določenih primerih. Ne glede na siceršnjo zavezanost ali nezavezanost k vodenju predvidenih evidenc vam svetujem, da vzpostavite pregleden sistem obdelav, torej tudi evidence.

Nasploh je pomembno, da postane pravilno rokovanje z osebnimi podatki del poslovne kulture in zavesti vseh v družbi, saj se boste le na ta način lahko izognili nepravilnemu ravnanju s podatki ter nedopustnim razkritjem, ki so v veliki meri posledica nepoučenosti. Družba naj vzpostavi tako notranjo organizacijo dela, pri kateri bo vsak zaposleni lahko dostopal le do tistih podatkov, ki jih zares potrebuje, podatki o zaposlenih in drugi osebni podatki pa naj se obdelujejo le tam in toliko, kolikor je to nujno potrebno. Svoje smernice in načine varstva osebnih podatkov povzamete v Pravilniku o varstvu osebnih podatkov in z njim seznanite zaposlene, obenem pa ne pozabite, da ste osebe, katerih osebne podatke obdelujete, o tem dolžni obvestiti. Uredba določa, kaj naj obvestilo vsebuje. Pozorni bodite tudi na morebitne kršitve in dolžnost obveščanja o njih.

Potrebno je, da poznate pravice posameznikov v zvezi z varstvom osebnih podatkov in da sklenete ustrezne in z Uredbo določene pogodbe s pogodbenimi obdelovalci (npr. računovodske, IT-storitve …). Urejenost področja varstva osebnih podatkov bo pri vas pričakovano na višji ravni, če boste imenovali pooblaščeno osebo za varstvo osebnih podatkov (Data Protection Officer oziroma DPO). V določenih primerih je takšno imenovanje po Uredbi obvezno.