Pošta Slovenije pripravljena na GDPR

Datum: 24.4.2018
Pošta Slovenije se zaveda pomembnosti zaščite in varovanja osebnih podatkov, ne glede na to, ali se obdelujejo na zakonski ali pogodbeni podlagi ali na podlagi privolitve, in je že do sedaj dosledno upoštevala določila Zakona o varstvu osebnih podatkov.
Pošta Slovenije pripravljena na GDPR

Pošta Slovenije se zaveda pomembnosti zaščite in varovanja osebnih podatkov, ne glede na to, ali se obdelujejo na zakonski ali pogodbeni podlagi ali na podlagi privolitve, in je že do sedaj dosledno upoštevala določila Zakona o varstvu osebnih podatkov. S 25. majem 2018 se bo na področju varovanja osebnih podatkov pričela uporabljati nova Splošna uredba o varovanju osebnih podatkov (Uredba GDPR).

Novosti, ki jih Uredba GDPR prinaša, so opredeljene in pojasnjene na spletni strani informacijskega pooblaščenca, v nadaljevanju pa vas želimo seznaniti, kako je v Pošti Slovenije urejena varnost in zaščita osebnih podatkov ter kako se pripravljamo na spremembe v prihodnje.

 

Pošta Slovenije na trgu ponudnika storitev nastopa kot izvajalec

  • poštnih storitev,
  • logističnih storitev,
  • denarnih storitev,
  • varnih elektronskih poštnih storitev,
  • storitev uporabe globalnega poštnega informacijskega in komunikacijskega omrežja in
  • prodaje trgovskega blaga ter drugih storitev.

Z vidika obdelave osebnih podatkov velja Pošta Slovenije tako za enega večjih upravljavcev osebnih podatkov na zakonski in/ali pogodbeni podlagi na območju Republike Slovenije, kot tudi za enega večjih obdelovalcev osebnih podatkov, odvisno od poslovnega odnosa, ki ga vzpostavi z uporabniki storitev (posamezniki in pravnimi osebami).

Novosti, ki jih prinaša Uredba GDPR in njihov vpliv na izvajanje storitev Pošte Slovenije

Varnost in zavarovanje osebnih podatkov

Pošta Slovenije skrbi v vlogi upravljavca osebnih podatkov za zasebnost in ustrezen nivo varovanja teh podatkov, ko zagotavlja lastne storitve in določa razloge in metode za obdelavo osebnih podatkov na zakonski podlagi ali na podlagi sklenjenih pogodbenih razmerij.

Pošta Slovenije pa nastopi v vlogi obdelovalca osebnih podatkov, ko izvaja določene storitve v sodelovanju z drugimi pravni subjekti, ki obdelujejo osebne podatke iz svoje dejavnosti: pri plačilnih transakcijah odkupnin in drugih denarnih storitvah sodeluje z banko, pri sklepanju zavarovalnih paketov z zavarovalnico ipd.

Za vzpostavitev ustreznih tehničnih, organizacijskih in drugih ukrepov za varovanje pošiljk, omrežja in informacijskih sistemov, pri katerih se obdelujejo osebni podatki, je Pošta Slovenije pridobila različne certifikate in potrdila, skladna z evropskimi in nacionalnimi predpisi, ki zahtevajo določeno stopnjo varovanja objektov, prevoznih poti ter omrežja in informacijskih sistemov. Raven varstva osebnih podatkov tako dokazujejo naslednji pridobljeni certifikati in potrdila pristojnih zunanjih presojevalcev (našteti so najpomembnejši):

  • certifikat ISO/IEC27001 – sistem upravljanja z informacijsko varnostjo za storitve najemanja kapacitet v podatkovnih centrih,
  • certifikat skladnosti z Uredbo eIDAS za storitve certifikatske agencije POŠTA®CA in
  • certificirana storitev eArhiv.

Pošta Slovenije je certifikate pridobila na podlagi uspešno prestanih presoj, ki so jih opravile neodvisne organizacije. S tem svojim uporabnikom in strankam daje dodatna, neodvisna zagotovila, glede postopkov in ravnanj pri varovanju osebnih podatkov

Pravice posameznikov, na katere se podatki nanašajo, in določitev osebe, pooblaščene za varovanje podatkov

Posameznik bo lahko pri Pošti Slovenije skladno z novostmi Uredbe GDPR uveljavljal dodatno pravico do pozabe, omejitve obdelave in prenosljivosti podatkov, ostajajo pa posamezniku že zagotovljene in uveljavljene pravice do dostopa oziroma seznanitve o obdelavi osebnih podatkov, izbrisa in ugovora. Posameznik pa bo lahko ugovor podal tudi neposredno nadzornemu organu – informacijskemu pooblaščencu.

Vsi podatki in informacije o obdelavi osebnih podatkov so vedno del pogodbenega razmerja (npr. v obliki pogodbe, splošnih pogojev, oddaje naročila prek spleta ali v poštnih poslovalnicah ipd.), ki ga je posameznik sklenil s Pošto Slovenije za izvajanje storitev.

Za pošiljanje komercialnih sporočil direktnega marketinga (npr. neposredno trženje in obveščanje o ponudbah, nagradnih igrah ipd.) na elektronski naslov posameznika, Pošta Slovenije obdeluje osebne podatke posameznika ločeno od evidenc dejavnosti in zahteva (potrebuje) posameznikovo privolitev v obliki pritrdilnega dejanja.

Če bo Pošta Slovenije pri obdelovanju osebnih podatkov posameznika presodila, da ni na zadosten način podal svoje privolitve ali da ni bil na zadosten način obveščen o pravni podlagi obdelave osebnih podatkov, bo posameznika skladno z Uredbo GDPR o tem pisno seznanila po ustreznih komunikacijskih kanalih in se z njim dogovorila o nadaljnjem sodelovanju in obdelavi osebnih podatkov.

Pošta Slovenije je že imenovala osebo pooblaščeno za varstvo podatkov.

Vodenje evidenc dejavnosti o obdelovanju osebnih podatkov

Pošta Slovenije ima kot upravljavec osebnih podatkov skladno s sedaj veljavnim Zakonom o varstvu osebnih podatkov pri informacijskem pooblaščencu prijavljene zbirke osebnih podatkov, kjer se obdelujejo osebni podatki. S 25. majem 2018 Uredba GDPR odpravlja obveznost javne registracije, zato Pošti Slovenije po tem datumu zbirk osebnih podatkov v javnem registru pri informacijskem pooblaščencu ne bo več treba osveževati z dejanskim stanjem.

Evidence obdelave osebnih podatkov bo v prihodnje vzdrževala in osveževala z dejanskim stanjem izvajanja dejavnosti sama, skladno z Uredbo GDPR, in sicer bo vodila evidence, v katerih deluje kot upravljavec in evidence, kjer deluje v vlogi obdelovalca (procesorja osebnih podatkov).

Izvajanje ocene učinka na varstvo osebnih podatkov

Uredba GDPR nalaga Pošti Slovenije in ostalim pravnim subjektom, ki pri svoji dejavnosti obdelujejo osebne podatke, dolžnost, da pred uporabo novih tehnologij opravijo oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov, kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov. Pošta Slovenije bo pri obdelavah osebnih podatkov, kjer bo ocenila, da bi lahko prišlo do velikega tveganja za pravice in svoboščine posameznikov, opravila oceno učinka.

Poročanje o kršitvah varnosti osebnih podatkov nadzornemu organu za varstvo osebnih podatkov in obveščanje posameznikov o kršitvah, povezanih z njihovimi osebnimi podatki

Uredba GDPR prinaša pravnim subjektom novo dolžnost, da morebitne vdore v sisteme in druge hujše kršitve, do katerih bi prišlo pri varovanju in obdelavi osebnih podatkov in bi ogrožale pravice in svoboščine posameznikov, prijavijo nadzornemu organu (sedanjemu informacijskemu pooblaščencu) v 72 urah. O vdoru ali drugi hujši kršitvi so dolžni obvestiti tudi posameznike, katerih osebne podatke so nezakonito obdelale nepooblaščene osebe.

Dolžnost obvestitve posameznika pa velja le v primeru presoje, da bi lahko incident imel velik negativen vpliv in pomenil tveganje za pravice in svoboščine posameznika, čigar osebni podatki so bili nezakonito obdelani.

Pošta Slovenije uporabnike svoji storitev na pregleden način obvešča o možnostih uveljavljanja pravic v skladu z Zakonom o varstvu osebnih podatkov in Uredbo GDPR, morebitna vprašanja pa nam lahko posredujete s pomočjo spletnega obrazca ali na elektronski naslov dpo@posta.si


Imate vprašanje glede Uredbe GDPR? Pišite nam.

Hvala za vaše vprašanje. Odgovorili vam bomo v najkrajšem možnem času.