Mala šola ZVOP-2 in GDPR

1. SKLOP • torek, 19. marec

Izdelava ocene učinka v zvezi z varstvom osebnih podatkov (DPIA) in ocene zakonitega interesa (LIA)

2. SKLOP • torek, 26. marec

Videonadzor in biometrija po določbah GDPR in ZVOP-2

3. SKLOP • torek, 2. april

Varstvo osebnih podatkov v delovnih razmerjih

Izdelava ocene učinka v zvezi z varstvom osebnih podatkov (DPIA) in ocene zakonitega interesa (LIA)

»Še DPIA in LIA napišemo, pa začnemo projekt.« Tako nekako razmišlja večina upravljavcev ob pripravah na nov projekt, v katerem bo potekala tudi obdelava osebnih podatkov. Vendar se pri tem najpogosteje zaplete. Morda bosta DPIA, tj. ocena učinka v zvezi z varstvom osebnih podatkov, in/ali LIA, tj. ocena zakonitega interesa, pri projektu pokazali tolikšna tveganja, da sploh ne bi smel zaživeti, čeprav mu je upravljavec že namenil finančne in kadrovske vire. Ali pa postopek DPIA traja precej dlje, kot je bilo predvideno, in se zato začetek projekta odmakne od načrtovanega datuma.

TI dve oceni nista samo formalnost, ampak pomembna, pogosto ključna elementa za zagotovilo, da so osebni podatki varno upravljani in zaščiteni, s čimer se upravljavec izogne tudi morebitnim globam.

Na seminarju bomo osvetlili glavne izzive pri izdelavi DPIA in LIA, kot so:

• kako izdelati dokument (pogovorno napačno imenovan DPIA), ki bo dokaz o izvedbi DPIA in temelj za nadaljnje delo;

• razumevanje kompleksnosti podatkovnih tokov oziroma procesov obdelave osebnih podatkov – v številnih organizacijah imajo namreč težave pri zaznavanju in razumevanju kompleksnih tokov osebnih podatkov v svojih sistemih;

• ocenjevanje tveganj in vplivov – ugotavljanje in ocenjevanje potencialnih tveganj za pravice posameznikov, povezanih z obdelavo osebnih podatkov, je kompleksen postopek, ki zahteva razumevanje tehničnih in pravnih vidikov;

• vključevanje deležnikov;

• skladnost s prakso nadzornih organov – spreminjajoča se zakonodaja in različne interpretacije nadzornih organov zahtevajo nenehno posodabljanje znanja in pristopov;

• vključevanje rezultatov teh dveh ocen v poslovne procese – za številna podjetja je to precejšen izziv.

Pomembno je poudariti, da je DPIA nenehen proces. Ocenjevanje vpliva na varstvo podatkov mora biti dinamično in se prilagajati novim tehnologijam, spremembam v obdelavi podatkov in spremenjeni zakonodaji.

Na seminarju bomo te težave podrobno pregledali in ponudili praktične rešitve za uspešno izvajanje DPIA in LIA. Predstavili bomo orodja in tehnike za boljše razumevanje in obvladovanje podatkovnih tokov ter metode za oceno tveganj in vplivov. Prav tako bomo razpravljali o tem, kako učinkovito integrirati DPIA kot stalni proces v vaše poslovne prakse, zagotoviti sodelovanje med oddelki in razvijati kulturo nenehnega izobraževanja in izboljšav na področju varstva podatkov.

Videonadzor in biometrija po določbah GDPR in ZVOP-2

V zadnjih letih sta se videonadzor in uporaba biometričnih podatkov močno uveljavila in tehnično razvila, ob tem pa se je razvijala tudi pravna regulacija tega področja. Ob njuni uporabi je treba paziti na skladnost z določbami GDPR in ZVOP-2, pri čemer je smiselno upoštevati tudi bogato prakso nadzornih organov (leta 2023 je Informacijski pooblaščenec večino glob izrekel prav na področju videonadzora). Na seminarju bomo osrednjo pozornost namenili ključnim pravnim in tehničnim vidikom uporabe videonadzora in biometričnih tehnologij v skladu s trenutnimi predpisi o varstvu podatkov.

Glavni poudarki:

• pravni okvir po GDPR in ZVOP-2 – podroben pregled specifičnih zahtev in omejitev, ki jih GDPR in ZVOP-2 postavljata za uporabo videonadzora in biometrije;

• biometrični podatki – kaj so, zakaj so posebno občutljivi in kako jih varno obdelovati in shranjevati;

• pravne in etične razlike med uporabo videonadzora na javnih mestih in v zasebnih prostorih;

• ocenjevanje tveganj in skladnost – strategije za ocenjevanje tveganj, povezanih z uporabo videonadzora in biometrije, ter zagotavljanje skladnosti s predpisi;

• tehnični izzivi in rešitve – tehnični vidiki vključno z varnostjo podatkov, anonimizacijo in šifriranjem pri uporabi videonadzornih in biometričnih sistemov;

• izzivi, ki so jih prinesele določbe ZVOP-2 – na primer dnevniki obdelave ali avtomatizirani sistemi prepoznavanja registrskih tablic;

• primeri iz prakse.

Seminar je namenjen IT-strokovnjakom, strokovnjakom za varstvo osebnih podatkov in vsem, ki so pri delu odgovorni za uporabo videonadzornih in biometričnih sistemov.

Varstvo osebnih podatkov v delovnih razmerjih

»Delavec se strinja, da delodajalec njegove osebne podatke obdeluje za namen izvajanja pravic in obveznosti v okviru delovnega razmerja.« Takšen zapis lahko preberemo v marsikateri pogodbi o zaposlitvi, čeprav je pri tem nekaj zelo napačnega. O tem bomo govorili na seminarju, dotaknili pa se bomo še številnih drugih izzivov, kot so pravne podlage za obdelavo osebnih podatkov delavcev ter nadzor nad delom, uporabo interneta in e-pošto. Pojasnili bomo posebnosti varstva osebnih podatkov v kontekstu delovnih razmerij, s posebnim poudarkom na pravnih in praktičnih vidikih, ki jih morajo upoštevati delodajalci.

Glavni poudarki:

• pravne podlage – poglobljena obravnava pravnih podlag, ki jih urejajo določbe GDPR in slovenske delovnopravne zakonodaje;

• primeri najpogostejših napak – na katerih področjih delodajalci najpogosteje kršijo zakonodajo;

• vloga delodajalca – dolžnosti in odgovornosti delodajalcev pri zagotavljanju skladnosti s predpisi o varstvu osebnih podatkov ter na kaj posebej paziti;

• nadzor na delovnem mestu – izzivi in zakonitosti nadzora zaposlenih, vključno z uporabo videonadzora, e-pošte in drugih oblik elektronskega nadzora; pri tem se bomo oprli na sodbe ESČP in Sodišča EU.

Seminar je namenjen kadrovskim strokovnjakom, pooblaščenim osebam za varstvo osebnih podatkov, vodjem oddelkov, pravnim svetovalcem in vsem, ki so odgovorni za upravljanje osebnih podatkov zaposlenih v skladu s slovensko zakonodajo in GDPR.