Naj takoj razblinimo morebitne iluzije: spletna mesta, strani ali forumi, ki od uporabnikov (obiskovalcev) na kakršenkoli način zbirajo imena, priimke, e-naslove, telefonske številke ipd. ali beležijo datum, predmet in znesek nakupa in druge osebne podatke (OP), so zavezanci po zakonu o varstvu osebnih podatkov. Osebni podatek je namreč katerikoli podatek, ne glede na obliko, v kateri je izražen (fizično, elektronsko), ki se nanaša na posameznika, to je na določeno ali določljivo fizično osebo; zavezanec za varstvo OP pa je kdorkoli, ki te podatke obdeluje: pridobi, hrani, ureja, spreminja, posreduje, izbriše ali kaj podobnega.

Splošno razširjena zabloda je, da od lanske spremembe zakona podjetjem z do 50 zaposlenimi ni več treba imeti urejenega področja varstva osebnih podatkov. Tudi taka podjetja morajo še vedno sprejeti postopke in ukrepe za zavarovanje OP (kdo lahko dostopa do katerih podatkov, kako se varujejo prostori ter strojna in programska oprema, s katero se obdelujejo OP, kako je z dodeljevanjem gesel ipd.), niso pa več dolžna teh postopkov in ukrepov zapisati v pravilnik o zavarovanju OP. A kako lahko podjetje uredi to področje, ne da bi ukrepe tudi zapisalo v nek akt, s katerim se lahko delavci (ali inšpektorji, če pridejo na »obisk«) seznanijo, ostaja uganka. Pravilnik o zavarovanju OP je torej za vsako racionalno podjetje, tudi spletno, še vedno »obvezna oprema«.

Za spletne subjekte je izredno pomembno, da za obdelavo OP pridobijo osebno privolitev posameznikov, od katerih te podatke pridobivajo. Osebna privolitev je lahko dana na način »S klikom na … potrjujete, da soglašate, da …«, vendar pa mora biti, da je taka privolitev pravno veljavna, posameznik seznanjen z nameni, za katere se bodo njegovi OP obdelovali. Z doslednim navajanjem namenov obdelave (npr. »tedensko pošiljanje ugodnih ponudb tretjih podjetij po e-pošti«) seveda zmanjšujemo verjetnost, da bomo tako privolitev dobili, a kasnejša uporaba OP za namen, s katerim posameznik ni bil seznanjen, je nezakonita in ima lahko hude posledice.

Še ena težava v zvezi z varstvom OP je značilna prav za spletne subjekte: strežniki in druga strojna oprema, na kateri se obdelujejo (hranijo, …) OP, ki se nahaja izven držav članic EU (predvsem v ZDA). Gre za t.i. iznos OP v tretje države, ki je dovoljen samo, če je za to pridobljena posebna privolitev posameznika (ki je seznanjen s posledicami iznosa) ali če Informacijski pooblaščenec izda odločbo, s katero dovoli tak iznos. Gostovanje čez lužo se v luči te zahteve morda ne kaže več kot zelo dobra možnost.

Marjan Pratnekar, Pravozatelebane.com

Komentarji

Dodaj Išči

Napiši komentar
Ime:
E-naslov:	Ne opomniOpomni
Spletna stran:
Naslov:
	Vpišite proti-spam kodo, ki se nahaja v slikici.