Mala šola ZVOP-2 in GDPR

1. SKLOP • četrtek, 9. april

Pravne podlage in (pogodbena) obdelava po določbah GDPR in ZVOP-2

2. SKLOP • petek 10. april

Neposredno trženje po določbah GDPR, ZVOP-2 in ZEKom-2

3. SKLOP • torek, 14. april

Spletne strani po določbah GDPR, ZVOP-2 in ZEKom-2 ter prenos osebnih podatkov ven iz Evropske unije

4. SKLOP • petek, 17. april

Umetna inteligenca – kako deluje v ozadju (s stališča pravnikov) in kako jo uporabiti kot pomočnika (s primerom)

5. SKLOP • četrtek, 7. maj

Izdelava ocene učinka v zvezi z varstvom osebnih podatkov (DPIA) in ocene zakonitega interesa (LIA)

6. SKLOP • četrtek, 14. maj

Videonadzor in biometrija po določbah GDPR in ZVOP-2

7. SKLOP • četrtek, 21. maj

Varstvo osebnih podatkov v delovnih razmerjih

1. SKLOP

Izbira pravne podlage za obdelavo osebnih podatkov po GDPR in ZVOP-2 je eno najzahtevnejših opravil tako za upravljavce (obdelovalce) kot za njihove pooblaščene osebe za varstvo osebnih podatkov (DPO). Če pred začetkom obdelave izberemo napačno pravno podlago, bo namreč nezakonita celotna obdelava, kar ima lahko več negativnih posledic, od izreka globe prek odškodninskih zahtevkov do izgube ugleda ali dobrega imena pri strankah.

V to tematiko se bomo poglobili na prvem seminarju v sklopu Male šole ZVOP-2 in GDPR ter prikazali tudi konkretne primere, še zlasti mejne in na prvi pogled zavajajoče. Podrobno bomo pojasnili, kako uspešno izbrati ustrezno pravno podlago in na kaj pri tem paziti.

Podobno je pri (pogodbeni) obdelavi, saj v praksi lahko vidimo, koliko različnih oblik te pogodbe kroži med nami. Razmeroma preprost proces nekateri tako zapletejo, da končna verzija ni več (najbolj) ustrezna. Pojasnili bomo, zakaj je v zadnjem času smiselno uporabljati standardne pogodbene klavzule (in kako jih prilagoditi, kjer jih smemo). Dotaknili se bomo tudi vprašanja, kdaj oseba postane obdelovalec in kdaj bi jo bilo mogoče šteti za samostojnega upravljavca. Razmejevanje med tema dvema oblikama v različnih življenjskih situacijah pogosto ni enolično, zato je koristno poznati vsaj osnovna izhodišča za določanje vlog različnih subjektov pri obdelavi osebnih podatkov.

Seminar Pravne podlage in (pogodbena) obdelava po določbah GDPR in ZVOP-2 je namenjen zlasti:

• pooblaščenim osebam za varstvo osebnih podatkov (DPO),

• vodjem pravnih služb,

• vsem, ki se pri delu ukvarjajo z varstvom osebnih podatkov,

• vodjem IT-oddelkov,

• drugim odločevalcem na področju varstva osebnih podatkov.

2. SKLOP

Neposredno trženje je že nekaj časa v središču pozornosti evropskih nadzornih organov. Bolj ko se trženje seli v e-svet, več je pravil in teže je oglaševati storitve. Pri tem seveda prav nič ne pomaga, da je prenos osebnih podatkov ven iz Evropske unije ves čas na udaru presoje Sodišča EU (trenutno Okvir za zaščito zasebnosti EU-ZDA). Zaradi umetne inteligence se trženje tudi močno spreminja. V večini slovenskih podjetij pa še vedno preštevajo e-naslove v svojih bazah. H gordijskemu vozlu svoje prispevata še nejasnost glede e-trženja pravnim osebam in stroga slovenska ustava, ki denimo ne dopušča merjenja števila klikov v e-sporočilu.

Kljub vsem predstavljenim izzivom trženje seveda ni zamrlo, le več pravil in prakse moramo upoštevati. Kako krmariti med vsemi temi čermi, bomo podrobneje razložili na drugem seminarju Male šole ZVOP-2 in GDPR. Ne bomo pozabili niti na druge oblike trženja, kakršno je na primer trženje po navadni pošti. Pojasnili bomo tudi, zakaj pravilo content is king pomaga k skladnosti in kateri so zadnji trendi na področju oglaševanja.

Seminar Neposredno trženje po določbah GDPR, ZVOP-2 in ZEKom-2 je namenjen zlasti:

• vodjem pravnih služb,

• vodjem marketinga oziroma oglaševanja,

• oglaševalskim in marketinškim agencijam,

• pooblaščenim osebam za varstvo osebnih podatkov (DPO),

• vsem drugim, ki jih to področje zanima.

3. SKLOP

Piškotki, politike zasebnosti, kontaktni obrazci, vtičniki, spletno oglaševanje, sledenje uporabnikom po spletni strani, re-marketing ... Na tem področju prej ali slej vsi trčimo ob določbe GDPR, ZVOP-2 in ZEKom-2. Praksa se v zadnjih letih izjemno hitro spreminja tudi zaradi odločitev Evropskega nadzornega odbora za varstvo osebnih podatkov (EDPB), Sodišča EU in posameznih nadzornih organov v EU. Tako na primer glede piškotkov velja že vsaj četrta generacija ureditve, pričakujemo pa že peto, ki jo bo – če se medtem ne zgodi še kaj – prinesla prihajajoča uredba o e-zasebnosti.

Pri vsem tem pa moramo pozorno spremljati še prakso na področju varnosti osebnih podatkov na spletnih straneh (information security), da ne bomo (prehitro) žrtve hekerjev, saj ti ne napadajo več samo spletnih strani velikih organizacij, temveč je v nevarnosti skoraj vsaka spletna stran. Zato bomo na seminarju predstavili nekaj osnovnih korakov, kako zavarovati spletno stran in na kaj moramo pri tem biti pozorni.

To področje je zaradi hitro spreminjajoče se prakse izjemno zanimivo, vendar morda prav zaradi tega tudi izjemno zahtevno. Zlasti če se ob tem zavedamo, da je naša spletna stran prvi odraz naše skrbnosti na področju varstva osebnih podatkov, ki ga z lahkoto prebere tudi državni nadzornik za varstvo osebnih podatkov.

Seminar Spletne strani po določbah GDPR, ZVOP-2 in ZEKom-2 ter prenos osebnih podatkov ven iz Evropske unije je namenjen:

• vodjem pravnih služb,

• vodjem marketinga oziroma oglaševanja,

• vodjem IT-oddelkov

• oglaševalskim in marketinškim agencijam,

• pooblaščenim osebam za varstvo osebnih podatkov (DPO),

• vsem drugim, ki jih to področje zanima.

4. SKLOP

Umetna inteligenca je v pravni praksi postala vsakdan: osnutki dokumentov, povzetki, primerjave določb, priprava kontrolnih seznamov, hiter pregled sodne prakse in novih predpisov. V zadnjem letu pa se je zgodil preskok, ki je za pravnike posebej zanimiv: danes lahko svojega pravnega pomočnika “naredite” podobno, kot bi ga naročili. Brez programiranja, brez tehničnega predznanja, z jasnimi navodili v običajnem jeziku.

Ta pristop se imenuje vibe coding. V praksi pomeni, da pravnik ne piše kode, ampak opiše, kaj želi, kakšna so pravila, kje so meje in kako naj pomočnik odgovarja. Umetna inteligenca potem te zahteve pretvori v delujoč mini app. To je skoraj idealno za pravnike: končno imamo način, da dobimo lastno orodje, prilagojeno našemu delu, brez tega, da bi postali “IT”.

Na seminarju bomo pokazali, kako pravni pomočnik v resnici nastane: kako ga zastavimo, da je uporaben, predvidljiv in dokazljiv. Posebej se bomo posvetili temu, kar je za pravnike ključno: da rezultat ni samo lep tekst, ampak da ima smiselno strukturo, da se da preverjati, in da je jasno, kaj je podlaga. Hkrati bomo ves čas opozarjali na varstvo osebnih in zaupnih podatkov ter na tipične napake, zaradi katerih lahko “pametna rešitev” hitro postane tveganje.

Seminar je zasnovan praktično. V živo bomo izdelali primer pravnega pomočnika in ga nastavili tako, da bo deloval v pravni logiki: z jasnimi pravili, omejitvami, standardom odgovorov in varovalkami. Videli boste, kako se tak pomočnik prilagodi za tipične naloge pravne službe ali pisarne, in dobili jasen načrt, kako enak pristop ponovite pri sebi – tudi če nimate IT podpore.

Predavatelj bo izhajal iz konkretne poti gradnje pomočnika na več tisoč dokumentih: od prvih poskusov do rešitve, ki je danes bistveno bolj enostavna in dosegljiva. Pokazali bomo tudi, kako se v praksi izbira jezikovni model in zakaj “najbolj znano ime” pogosto ni najboljša izbira za pravna vprašanja. Vse skupaj bo predstavljeno v jeziku, ki ga pravniki razumemo: brez nepotrebnih tehničnih razlag, z jasnim fokusom na uporabnost, odgovornost in skladnost.

Seminar je namenjen vsem, ki želijo v pravni praksi delati hitreje in bolj standardizirano, brez izgube nadzora: pravnikom v podjetjih in javnem sektorju, odvetnikom, vodjem pravnih služb, DPO-jem ter vsem, ki morajo razumeti, kako takšna orodja nastanejo in kako jih varno uporabljati. Po seminarju boste vedeli, kako iz ideje priti do svojega pravnega pomočnika in kako postaviti pravila, da vam to orodje res služi.

5. SKLOP

»Še DPIA in LIA napišemo, pa začnemo projekt.« Tako nekako razmišlja večina upravljavcev ob pripravah na nov projekt, v katerem bo potekala tudi obdelava osebnih podatkov. Vendar se pri tem najpogosteje zaplete. Morda bosta DPIA, tj. ocena učinka v zvezi z varstvom osebnih podatkov, in/ali LIA, tj. ocena zakonitega interesa, pri projektu pokazali tolikšna tveganja, da sploh ne bi smel zaživeti, čeprav mu je upravljavec že namenil finančne in kadrovske vire. Ali pa postopek DPIA traja precej dlje, kot je bilo predvideno, in se zato začetek projekta odmakne od načrtovanega datuma.

TI dve oceni nista samo formalnost, ampak pomembna, pogosto ključna elementa za zagotovilo, da so osebni podatki varno upravljani in zaščiteni, s čimer se upravljavec izogne tudi morebitnim globam.

Na seminarju bomo osvetlili glavne izzive pri izdelavi DPIA in LIA, kot so:

• kako izdelati dokument (pogovorno napačno imenovan DPIA), ki bo dokaz o izvedbi DPIA in temelj za nadaljnje delo;

• razumevanje kompleksnosti podatkovnih tokov oziroma procesov obdelave osebnih podatkov – v številnih organizacijah imajo namreč težave pri zaznavanju in razumevanju kompleksnih tokov osebnih podatkov v svojih sistemih;

• ocenjevanje tveganj in vplivov – ugotavljanje in ocenjevanje potencialnih tveganj za pravice posameznikov, povezanih z obdelavo osebnih podatkov, je kompleksen postopek, ki zahteva razumevanje tehničnih in pravnih vidikov;

• vključevanje deležnikov;

• skladnost s prakso nadzornih organov – spreminjajoča se zakonodaja in različne interpretacije nadzornih organov zahtevajo nenehno posodabljanje znanja in pristopov;

• vključevanje rezultatov teh dveh ocen v poslovne procese – za številna podjetja je to precejšen izziv.

Pomembno je poudariti, da je DPIA nenehen proces. Ocenjevanje vpliva na varstvo podatkov mora biti dinamično in se prilagajati novim tehnologijam, spremembam v obdelavi podatkov in spremenjeni zakonodaji.

Na seminarju bomo te težave podrobno pregledali in ponudili praktične rešitve za uspešno izvajanje DPIA in LIA. Predstavili bomo orodja in tehnike za boljše razumevanje in obvladovanje podatkovnih tokov ter metode za oceno tveganj in vplivov. Prav tako bomo razpravljali o tem, kako učinkovito integrirati DPIA kot stalni proces v vaše poslovne prakse, zagotoviti sodelovanje med oddelki in razvijati kulturo nenehnega izobraževanja in izboljšav na področju varstva podatkov.

6. SKLOP

V zadnjih letih sta se videonadzor in uporaba biometričnih podatkov močno uveljavila in tehnično razvila, ob tem pa se je razvijala tudi pravna regulacija tega področja. Ob njuni uporabi je treba paziti na skladnost z določbami GDPR in ZVOP-2, pri čemer je smiselno upoštevati tudi bogato prakso nadzornih organov (leta 2023 je Informacijski pooblaščenec večino glob izrekel prav na področju videonadzora). Na seminarju bomo osrednjo pozornost namenili ključnim pravnim in tehničnim vidikom uporabe videonadzora in biometričnih tehnologij v skladu s trenutnimi predpisi o varstvu podatkov.

Glavni poudarki:

• pravni okvir po GDPR in ZVOP-2 – podroben pregled specifičnih zahtev in omejitev, ki jih GDPR in ZVOP-2 postavljata za uporabo videonadzora in biometrije;

• biometrični podatki – kaj so, zakaj so posebno občutljivi in kako jih varno obdelovati in shranjevati;

• pravne in etične razlike med uporabo videonadzora na javnih mestih in v zasebnih prostorih;

• ocenjevanje tveganj in skladnost – strategije za ocenjevanje tveganj, povezanih z uporabo videonadzora in biometrije, ter zagotavljanje skladnosti s predpisi;

• tehnični izzivi in rešitve – tehnični vidiki vključno z varnostjo podatkov, anonimizacijo in šifriranjem pri uporabi videonadzornih in biometričnih sistemov;

• izzivi, ki so jih prinesele določbe ZVOP-2 – na primer dnevniki obdelave ali avtomatizirani sistemi prepoznavanja registrskih tablic;

• primeri iz prakse.

Seminar je namenjen IT-strokovnjakom, strokovnjakom za varstvo osebnih podatkov in vsem, ki so pri delu odgovorni za uporabo videonadzornih in biometričnih sistemov.

7. SKLOP

»Delavec se strinja, da delodajalec njegove osebne podatke obdeluje za namen izvajanja pravic in obveznosti v okviru delovnega razmerja.« Takšen zapis lahko preberemo v marsikateri pogodbi o zaposlitvi, čeprav je pri tem nekaj zelo napačnega. O tem bomo govorili na seminarju, dotaknili pa se bomo še številnih drugih izzivov, kot so pravne podlage za obdelavo osebnih podatkov delavcev ter nadzor nad delom, uporabo interneta in e-pošto. Pojasnili bomo posebnosti varstva osebnih podatkov v kontekstu delovnih razmerij, s posebnim poudarkom na pravnih in praktičnih vidikih, ki jih morajo upoštevati delodajalci.

Glavni poudarki:

• pravne podlage – poglobljena obravnava pravnih podlag, ki jih urejajo določbe GDPR in slovenske delovnopravne zakonodaje;

• primeri najpogostejših napak – na katerih področjih delodajalci najpogosteje kršijo zakonodajo;

• vloga delodajalca – dolžnosti in odgovornosti delodajalcev pri zagotavljanju skladnosti s predpisi o varstvu osebnih podatkov ter na kaj posebej paziti;

• nadzor na delovnem mestu – izzivi in zakonitosti nadzora zaposlenih, vključno z uporabo videonadzora, e-pošte in drugih oblik elektronskega nadzora; pri tem se bomo oprli na sodbe ESČP in Sodišča EU.

Seminar je namenjen kadrovskim strokovnjakom, pooblaščenim osebam za varstvo osebnih podatkov, vodjem oddelkov, pravnim svetovalcem in vsem, ki so odgovorni za upravljanje osebnih podatkov zaposlenih v skladu s slovensko zakonodajo in GDPR.