Frequently Asked Questions

Splošna uredba o varstvu podatkov razlikuje med dvema glavnima vlogama: upravljavca in obdelovalca. To razlikovanje je ključnega pomena, saj ima upravljavec večjo odgovornost in mora izpolnjevati več obveznosti kot obdelovalec.

Upravljavci in obdelovalci so lahko fizične ali pravne osebe, na primer: MSP, javni organ, podjetje, organizacija, državni organ, združenje itd.

Upravljavec določi namene in sredstva postopka obdelave. Z drugimi besedami, upravljavec odloči »kako« in »zakaj« v zvezi s  postopkom obdelave. Obdelovalci obdelujejo osebne podatke v imenu upravljavca. Obdelavo, ki jo izvajajo obdelovalci, mora urejati pogodba z upravljavcem ali drug pravni akt.

Primeri upravljavcev:

• podjetja, ki obdelujejo osebne podatke v zvezi s prodajo;
• finančne institucije, ki obdelujejo osebne podatke svojih strank;
• združenja, ki obdelujejo podatke svojih članov;
• šole ali univerze, ki obdelujejo osebne podatke študentov in učiteljev;
• bolnišnice, ki obdelujejo osebne podatke svojih pacientov;
• vladne agencije, ki obdelujejo osebne podatke državljanov.

Primeri obdelovalcev:

• MSP najame knjigovodski servis za vodenje svojih knjig in evidenc, MSP je upravljavec, knjigovodski servis pa obdelovalec.
• Podjetje za obračun plač obdeluje osebne podatke za MSP. Podjetje za obračun plač bo delovalo kot obdelovalec, če obdeluje le osebne podatke v imenu MSP. MSP določa namene in sredstva obdelave podatkov in je zato upravljavec.
• MSP naroči marketinškemu podjetju, da zbira e-poštne naslove prek spletnih strani tretjih oseb.  Marketinško podjetje to počne v skladu z izrecnimi navodili MSP in izključno za namene MSP. Marketinško podjetje deluje kot obdelovalec za to zbirko.

Več informacij:

• Upravljavec ali obdelovalec

Nekatere vrste osebnih podatkov spadajo v posebne vrste osebnih podatkov, kar pomeni, da si zaslužijo več varstva, tako imenovani občutljivi podatki. Občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:

• zdravju posameznika;
• spolni usmerjenosti posameznika;
• rasnem ali etničnem poreklu posameznika;
• posameznikovem političnem, verskem ali filozofskem prepričanju;
• članstvu posameznika v sindikatu;
• biometričnih in genetskih podatkih posameznika.

Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo.

Več informacij:

• Osnove varstva podatkov

Pooblaščena oseba za varstvo podatkov je lahko obstoječi zaposleni z zadostnim poznavanjem Splošne uredbe o varstvu podatkov (če so poklicne naloge zaposlenega združljive z nalogami pooblaščene osebe za varstvo podatkov in to ne vodi v nasprotje interesov) ali zunanja oseba. Pooblaščena oseba za varstvo podatkov bi morala imeti možnost, da naloge opravlja neodvisno in da lahko poroča neposredno najvišjemu vodstvu.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika. Določljiv posameznik je vsakdo, ki ga je mogoče neposredno ali posredno identificirati. Osebni podatki so lahko tudi različni podatki, ki bi lahko skupno privedli do identifikacije določene osebe.

Primeri osebnih podatkov so:

• ime in priimek;
• domači naslov;
• elektronski naslov;
• številka osebne izkaznice;
• podatki o lokaciji;
• IP naslov;
• ID piškotka;
• bančni računi;
• davčna poročila;
• biometrični podatki (kot so prstni odtisi);
• številka socialnega zavarovanja;
• številka potnega lista;
• rezultati testov;
• ocene v šoli;
• zgodovina brskanja;
• fotografija posameznika;
• registrska številka vozila itd.

Več informacij:

• Osnove varstva podatkov

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Prepričajte se, da so bili podatki, ki ste jih prejeli, zbrani zakonito in da so bili zadevni posamezniki obveščeni o obdelavi svojih osebnih podatkov.
2. V primeru, da tretja oseba obdeluje osebne podatke v vašem imenu, se prepričajte, da ste sklenili pogodbo o pogodbeni obdelavi, v kateri so podrobno opisani postopki obdelave in sredstva za obdelavo osebnih podatkov.

In seveda, izpolnite vse obveznosti, ki jih imate kot upravljavec.

Več informacij:

• Upravljavec ali obdelovalec

Potrebni varnostni ukrepi se lahko razlikujejo glede na naravo osebnih podatkov, ki jih obdelujete in s tem povezana tveganja za posameznike. V vsakem primeru obstaja nekaj minimalnih ukrepov, ki jih morate sprejeti:

• zavarujte dostop do prostorov;
• uporabljajte redno posodobljeno protivirusno programsko opremo;
• skrbno izberite svoja gesla;
• zagotovite, da se uporabniki pred uporabo računalniške opreme avtentificirajo;
• vzpostavite politiko varnostnega kopiranja in pridobivanja podatkov v primeru incidenta.

Poleg tega so na mestu nekateri osnovni ukrepi, kot so zaklepanje zaslona, medtem ko ste odsotni in zaklepanje pisarne ob koncu dneva.

Več informacij:

• Zavarujete osebne podatke

Objava imen zmagovalcev natečaja na vaši spletni strani se lahko šteje za zakonit interes, če lahko dokažete z izvedbo testa tehtanja, da vaši zakoniti interesi prevladajo nad pravicami posameznikov.

Dobra praksa bi bila vzpostavitev notranjega postopka, v katerem bi bila pojasnjena pravila o objavi osebnih podatkov zmagovalcev.

Poleg tega bi morala biti obdelava osebnih podatkov za te namene del politike zasebnosti, tako da so udeleženci vnaprej obveščeni o tem, kako bodo njihovi podatki obdelani.

Več informacij:

• Obdelujte osebne podatke zakonito

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

EOVP državljanom ali zasebnim/javnim organizacijam ne zagotavlja prilagojenega pravnega svetovanja o tem, kako uporabljati pravo o varstvu podatkov v posebnih primerih. 

Glavna vloga EOVP je izdaja splošnih smernic in mnenj. Vse sprejete smernice in mnenja so na voljo na spletni strani: Smernice, priporočila, najboljše prakse in mnenja. Priporočamo tudi, da preberete vodnik o varstvu podatkov za mala podjetja. Ta vodnik vam bo pomagal razumeti ključne koncepte varstva podatkov, pravice posameznikov v skladu z GDPR, zahteve glede skladnosti, varnostne ukrepe in kako ravnati v primeru kršitev varstva podatkov.

Dodatne informacije o vlogi Evropskega odbora za varstvo podatkov in uporabi splošne uredbe o varstvu podatkov so na voljo tudi tukaj: Frequently Asked Questions.

Vabimo vas tudi, da si ogledate spletne strani organa za varstvo podatkov v svoji državi. Povezave do spletnih strani naših članov so na voljo tukaj: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Da, lahko, vendar Splošna uredba o varstvu podatkov nalaga določene obveznosti podjetjem, ki delijo osebne podatke. Vaša organizacija mora posameznike obvestiti, da boste njihove podatke delili s tretjo osebo. Prav tako jih morate obvestiti o svojih namenih, varnosti, dostopu in ukrepih glede hrambe, ki bodo veljali.