Frequently Asked Questions

Organizacije morajo v primeru neposrednega zbiranja osebnih podatkov od zadevnih posameznikov zagotoviti informacije o postopkih obdelave na jedrnat in pregleden način v razumljivem, lahko dostopnem, jasnem in preprostem jeziku. To je mogoče storiti v pisni obliki (npr. na hrbtni strani ponudbe) ali z elektronskimi sredstvi (npr. na spletni strani). Če zadevna oseba to zahteva, lahko te informacije predložite tudi ustno, vendar morate to biti zmožni pozneje dokazati.

Tudi ko so bili podatki zbrani posredno, tj. če osebnih podatkov ne zbirate neposredno od posameznika, ampak na primer prek tretje osebe, morate posameznikom zagotoviti enako podrobne informacije.

Posamezniki imajo pravico zahtevati izbris osebnih podatkov, ki se nanašajo nanje in v tem primeru je upravljavec dolžan osebne podatke izbrisati. Odgovoriti morate brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dodatna dva meseca, če je zahteva preveč zapletena in je za obravnavo zahteve potrebno več časa, pod pogojem, da je posameznik o tem obveščen v enem mesecu po prejemu zahteve.

Pomembno je opozoriti, da pravica do izbrisa ni absolutna. Ne uporablja se, kadar so zadevni podatki potrebni za:

• uveljavljanje pravice do svobode izražanja in obveščanja (npr. za novinarske namene);
• izpolnjevanje zakonske obveznosti, ki zahteva obdelavo osebnih podatkov (npr. obdelava evidenc o delovnem času zaposlenih);
• razloge javnega interesa na področju javnega zdravja;
• namene arhiviranja v javnem interesu ali znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene in
• uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Če so bili osebni podatki, ki jih je treba izbrisati, predhodno preneseni drugim organizacijam, morate te prejemnike obvestiti, da je posameznik zahteval izbris, razen če se to izkaže za nemogoče ali bi zahtevalo nesorazmerna prizadevanja.

Več informacij:

• Spoštujte pravice posameznikov

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Da, vaše stranke morajo biti ob telefonskem klicu obveščene o namenu snemanja, prejemnikih posnetkov, njihovi pravici do ugovora in pravici do dostopa do posnetkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

• your habitual residence;
• your place of work; or
• the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

• data processing takes place in more than one country;
• or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.

Ne, obdelava občutljivih podatkov je na splošno prepovedana, razen v zelo izjemnih okoliščinah:

• Posameznik je izrecno privolil v obdelavo svojih občutljivih podatkov.
• Obdelava občutljivih podatkov je potrebna, da upravljavec izpolni svoje obveznosti, zlasti v zvezi z zaposlovanjem, socialno varnostjo in socialno zaščito. Upravljavec bo na primer morda moral obdelovati občutljive podatke osebe, da bi lahko ugotovil, ali je upravičen do nekaterih dajatev socialne varnosti ali do zaposlitvenih štipendij.
• Obdelava občutljivih podatkov je potrebna za zaščito življenjskih interesov osebe, kadar posameznik fizično ali pravno ni sposoben dati privolitve. Na primer, če je posameznik zaradi nezgode nezavesten in potrebuje takojšnjo zdravstveno oskrbo, bo morda treba njegove zdravstvene podatke obdelati, da se zagotovi ustrezna zdravstvena oskrba.
• Obdelava občutljivih podatkov se izvaja v okviru zakonitih dejavnosti fundacije, združenja ali druge neprofitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem in samo za obdelavo osebnih podatkov njihovih članov, nekdanjih članov ali oseb, ki imajo redne stike z njimi.
• Občutljive podatke je posameznik očitno objavil.
• Obdelava občutljivih podatkov je potrebna v okviru sodnih postopkov.
• Obdelava občutljivih podatkov je potrebna v zadevah bistvenega javnega interesa.
• Obdelava občutljivih podatkov je potrebna v okviru preventivne medicine ali medicine dela. Na primer, ocena občutljivih podatkov posameznika, kot so zdravstveni podatki, je lahko potrebna za določitev njegove delovne sposobnosti.
• Obdelava občutljivih podatkov je potrebna v zadevah javnega zdravja na podlagi prava EU ali nacionalnega prava. Na primer, obdelava občutljivih podatkov posameznikov je lahko potrebna za zagotovitev visoke kakovosti zdravstvenega varstva in visoke kakovosti medicinskih izdelkov ali za boj proti resnim nevarnostim za zdravje, kot so virusi.
• Obdelava občutljivih podatkov je potrebna za namene arhiviranja v javnem interesu ali za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Obdelava občutljivih podatkov je lahko na primer potrebna za zagotovitev točnih statističnih podatkov o razmerah v državi na določenem področju.

Več informacij:

• Obdelujte osebne podatke zakonito

Veljavna pogodba med upravljavcem in obdelovalcem je obvezna v skladu s Splošno uredbo o varstvu podatkov. Kršitev se lahko kaznuje z upravno globo v višini do 10 milijonov EUR ali do 2 % skupnega letnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Da bi vam pomagali pri oblikovanju sporazuma o pogodbeni obdelavi, so danski in slovenski organi za varstvo podatkov ter Evropska komisija pripravili predloge sporazumov.

Več informacij:

• Upravljavec ali obdelovalec

Posamezniki vas lahko vprašajo, ali obdelujete njihove podatke in če jih obdelujete, imajo pravico do dostopa do teh podatkov. Če obdelujete njihove podatke, morate na primer brezplačno zagotoviti kopijo njihovih osebnih podatkov, skupaj z vsemi potrebnimi dodatnimi informacijami. Če je zahteva vložena v elektronski obliki, mora vaša organizacija zagotoviti zahtevane informacije v splošno uporabljani elektronski obliki, razen če posameznik ne zahteva drugače.

Več informacij:

• Spoštujte pravice posameznikov

Odgovoriti morate brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dodatna dva meseca, če je zahtevek preveč zapleten in je za odgovor potrebno več časa, pod pogojem, da je posameznik o tem obveščen v enem mesecu po prejemu zahtevka.

To morate storiti brezplačno.

Več informacij:

• Spoštujte pravice posameznikov

Seznanili smo se z vašim predlogom Evropskemu odboru za varstvo podatkov, naj to zadevo obravnava za prihodnje smernice. Teme, ki so trenutno vključene v delovni program EOVP, so na voljo na našem spletišču: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_sl 

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision¹. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito

Psevdonimizacija pomeni preoblikovanje osebnih podatkov, tako da jih ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov za zagotovitev, da se osebni podatki ne morejo pripisati posamezniku. V praksi lahko pomeni zamenjavo osebnih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov.

Anonimizirani podatki so podatki, ki so anonimizirani na tak način, da posameznik ni ali ni več določljiv na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen. Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke.

Več informacij:

• Zavarujte osebne podatke