Osebni podatki so po novi uredbi tudi spletni identifikatorji, ID piškotkov, RFID oznake in IP naslovi/genetski in biometrični podatki.
Novost so psevdonimni podatki.
Vpeljan je pojem nedvoumne privolitve.
Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje moči med upravljalcem in posameznikom (primer javni sektor). Izvzeti so organi pregona.
Neposredno trženje ni nujno zakoniti interes upravljavca. Do sedaj je IP zahteval izrecno privolitev.
Piškotki niso del te uredbe. To področje bo urejal novi zakon. Prisiljevanje v vse piškotke ni primeren pristop. Nadzor v vseh državah ni bil povsod enak in je ponekod razvodenel. Pojavilo se je vprašanje kako naprej. Nadomestil naj bi se del ZEKom-a. Smer bo enaka vendar bo končno stališče še ni oblikovano. Urejeno naj bi bilo enako kot do sedaj.
Pravice posameznika
Pravico do pozabe ureja 17. člen
- Če posameznik ne želi, da se njegovi osebni podatki obdelujejo in ne če obstaja zakonit razlog, da jih podjetje obdrži, morajo biti izbrisani brez neupravičene zamude.
- Izjeme so povezane s svobodo govora in javnim interesom (zdravje, statistični in zaziskovalni nameni, zakonske obveze za hrambo).
Pravica prenosljivosti – 18. člen
Uredba nalaga več odgovornosti upravljavcev
- Manj birokratkih bremen: ni več registra, dovoljenj za iznos podakotv pri uporabi SPK
- Ocena vpliva na VOP in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (33. člen)
- pomembno je, da pogodbe vsebujejo standardne klavzule glede VOP
- jasna mora biti odgovornost, da nič ne nasprotuje odgovornosti v celotni verigi odnosov, ki jih urejajo pogodbe
- Oseba, zadolžena za VOP (35. in 37. člen)
- Vgrajeno varstvo osebnih podatkov, zasebnosti prijazne začetne nastavitve (23. člen)
Upravljavec mora biti sedaj sam sposoben ugotavljati tveganja, predvideti ukrepe in jih implementirati. Ocena vpliva na VOP mora pokazati, če morebiti vsi predvideni ukrepi ne pokrijejo vseh tveganj. V tem primeru je nujen (priporočen) posvet z IP.
Osebi zadolženi za VOP uredba predpisuje pomembno vlogo.
Sankcije po trenutni ureditvi gredo na ramena odgovorne osebe pri pravni osebi. Uredba dopušča državam članicam, da si specifike uredijo same. V Sloveniji to področje ureja Ministrstvo za pravosodje.
Poročanje zahtevajo 4 organi. Z zahtevami o poročanju se določa tudi časovni okvir. Glavni okvir mora definirati Ministrstvo za pravosodje.
Sorazmernost predstavlja veliko polje za interpretacijo vendar je osnova za presojanje upravičenosti obdelave VOP in veljavnosti privolitev posameznika, da lahko upravljavec obdeluje njegove osebne podatke.
Nadzor
- omogočena je širša ozemeljska pristojnost
Certificiranje – 43. in 44. člen Uredbe
- priznava certificiranje kot način izkazovanja skladnost ravnanja upravljavcev z določbami Uredbe
- certifikat lahko izdajo organi za potrjevanje ali pristojni nadzorni organi
- potrdilo se izda upravljavcu
- izvajala se bo akreditacija izvajalcev certificiranja
- organ za potrjevanje mora imeti ustrezno raven strokovnega znanja v zvezi z varstvom podatkov in biti pooblaščen s strani nadzornega organa ali nacionalnega akreditacijskega organa
- dodatni pogoji za pridobitev pooblastila vključujejo ustrezne notranje postopke, neodvisnost, potrjena merila za certificiranje, ipd.
- certificiranje bo prostovoljno