Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno v naslednjih treh primerih:

• organizacija je javni organ;
• glavne dejavnosti organizacije vključujejo redno in sistematično spremljanje posameznikov v velikem obsegu, na primer geolokacijo prek mobilne aplikacije, ali nadzor nad nakupovalnimi centri in javnimi prostori preko videonadzora;
• glavne dejavnosti organizacije vključujejo obsežno obdelavo občutljivih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji.

Pooblaščeno osebo za varstvo podatkov lahko vedno imenujete prostovoljno, tudi če to ni zakonsko predpisano. Upoštevajte, da morate v tem primeru upoštevati vse določbe Splošne uredbe o varstvu podatkov v zvezi z nalogami in položajem pooblaščene osebe za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Ne, ni nujno, da je vaša evidenca dejavnosti obdelave javna. Vendar morate na zahtevo omogočiti dostop do evidence organu za varstvo podatkov.

Več informacij:

• Bodite skladni s predpisi

Ali pozivate Evropski odbor za varstvo podatkov, naj razišče in ukrepa proti organizaciji, za katero menite, da krši zakonodajo EU, tudi s posebnimi tehnologijami, kot so umetna inteligenca, družbeni mediji ali storitve sporočanja?

V okviru pravil o varstvu podatkov lahko vložite pritožbo pri svojem organu za varstvo podatkov (seznam teh podatkov najdete na naši spletni strani: https://edpb.europa.eu/about-edpb/our-members). Za izvrševanje pravil o varstvu podatkov so odgovorni organi za varstvo podatkov. Obrnete se lahko na primer na organ za varstvo podatkov v kraju, kjer živite ali delate, ali v kraju, kjer je prišlo do domnevne kršitve.

Druga možnost je, da se obrnete na nacionalna sodišča, kjer živite ali kjer ima upravljavec ali obdelovalec sedež. 

Če se v vašem primeru uporablja splošna uredba o varstvu podatkov, vendar nimate sedeža v Evropi, se lahko še vedno pritožite pri organu za varstvo podatkov v Evropi in/ali se obrnete na sodišče.

EOVP ni pristojen za obravnavo posebnih posameznih zahtev ali pritožb niti za zagotavljanje posameznih svetovalnih storitev. EOVP ni nadnacionalni organ, ki bi lahko preiskoval pritožbe.

Če se želite pritožiti glede tega, kako institucija, agencija ali organ EU uporablja vaše osebne podatke, lahko vložite pritožbo pri Evropskem nadzorniku za varstvo podatkov (glej kontaktne podatke na našem spletišču: https://edpb.europa.eu/about-edpb/our-members).

Vašega sporočila ne posredujemo nacionalnim organom za varstvo podatkov ali Evropskemu nadzorniku za varstvo podatkov. Zato jih morate kontaktirati neposredno.

Da se privolitev šteje za veljavno, mora biti:

• prosto dana;
• specifična;
• informirana in
• nedvoumna.

To pomeni, da morajo imeti posamezniki resnično svobodno izbiro glede tega, ali se strinjajo z obdelavo svojih osebnih podatkov ali ne; potrebujejo dovolj informacij, da lahko razumejo, kateri podatki se obdelujejo, za kakšen namen in kako se to izvaja; prav tako morajo biti nameni dovolj razčlenjeni v obrazcih za privolitev.

Poleg tega mora posameznik podati jasno pritrditev (brez vnaprej označenih polj in ločeno od veljavnih splošnih pogojev).

Poleg tega morajo posamezniki imeti možnost, da svobodno umaknejo svojo privolitev (brez kakršnih koli negativnih posledic), če si pozneje premislijo.

Več informacij:

• Obdelujte osebne podatke zakonito

Če vaša organizacija zbira osebne podatke neposredno od posameznikov, mora potrebne informacije zagotoviti v času zbiranja.

V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se lahko skrajša:

• če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika, na katerega se nanašajo osebni podatki, obvestiti najpozneje ob prvem komuniciranju s posameznikom, na katerega se nanašajo osebni podatki;
• če se podatki posredujejo drugemu prejemniku, mora organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.

Več informacij:

• Spoštujte pravice posameznikov

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Vsaka organizacija, ne glede na njeno velikost ali sektor, s sedežem v Evropskem gospodarskem prostoru (EGP) ali ponuja izdelke ali storitve posameznikom v EGP, obdeluje osebne podatke z avtomatiziranimi sredstvi ali ne, mora biti skladna s Splošno uredbo o varstvu podatkov. Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v arhivski omari.

Primeri postopkov obdelave vključujejo zbiranje, beleženje, urejanje, uporabo, prilagajanje, shranjevanje, razkrivanje, spreminjanje in brisanje osebnih podatkov posameznikov.

Kljub temu je uporaba Splošne uredbe o varstvu podatkov prilagojena glede na naravo, kontekst, namene in tveganja izvedenih dejanj obdelave. Za MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, so lahko obveznosti manj stroge kot za veliko podjetje.

Več informacij:

• Osnove varstva podatkov

Naloge pooblaščene osebe za varstvo podatkov med drugim vključujejo:

• obveščanje organizacije in njenih zaposlenih ter svetovanje glede skladnosti z varstvom podatkov;
• spremljanje skladnosti z varstvom podatkov;
• svetovanje o zahtevah v zvezi z oceno učinka v zvezi z varstvom podatkov (DPIA);
• delovanje kot kontaktna točka za organ za varstvo podatkov in sodelovanje z njim;
• delovanje kot kontaktna točka za posameznike.

Poleg tega je prisotnost pooblaščene osebe za varstvo podatkov na splošno priporočljiva, kadar se sprejemajo odločitve, ki vplivajo na varstvo podatkov. Po kršitvi varstva podatkov ali drugem incidentu bi se bilo treba nemudoma posvetovati tudi s pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Splošna uredba o varstvu podatkov določa obveznosti za vse organizacije, ki obdelujejo osebne podatke, ne glede na to, ali so upravljavci ali obdelovalci.

Zlasti morate narediti naslednje:

• Vprašajte se, ali je namen, za katerega se lahko zbirajo osebni podatki upravičen in zbirajte samo osebne podatke, ki so potrebni za določene predvidene namene.
• Ohranjajte točne in ažurne osebne podatke posameznikov ter jih izbrišite, ko to ni več potrebno.
• Spoštujte pravice posameznikov, tako da jih obveščate o tem, kako in zakaj se njihovi podatki obdelujejo, ter jim omogočite uveljavljanje njihovih pravic.
• Preverite, ali imate ustrezno pravno podlago za obdelavo osebnih podatkov. V primeru, da se nameravate zanesti na privolitev posameznikov, zaprosite za njihovo privolitev pred obdelavo njihovih osebnih podatkov.
• Zagotovite varno ravnanje z osebnimi podatki posameznikov.
• Vodite evidenco dejavnosti obdelave.

Obdelovalci bodo morali spoštovati odgovornosti, določene v pogodbi o pogodbeni obdelavi in podatkov ne smejo obdelovati drugače kot v skladu z navodili upravljavca.

Več informacij:

• Bodite skladni s predpisi
• Upravljavec ali obdelovalec
• Osnove varstva podatkov

• Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna.
• Osebne podatke zbirajte samo za določene, izrecne in zakonite namene. Obdelava podatkov posameznika mora biti strogo omejena na prvotno določene namene in se zato ne sme obdelati za kasnejše ali druge namene, ki niso združljivi s prvotnimi nameni.
• Obdelujte samo osebne podatke, ki so potrebni in sorazmerni glede na predvideni namen.
• Vsi osebni podatki, ki jih obdelujete, morajo biti točni in posodobljeni. Netočne osebne podatke je treba popraviti ali izbrisati.
• Hramba osebnih podatkov posameznikov mora biti časovno omejena glede na namen, za katerega so bili ti podatki zbrani in obdelani. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti niso več potrebni.
• Obdelava podatkov posameznikov mora potekati na varen način. V tem smislu je treba vzpostaviti zanesljiv nadzor kibernetske varnosti, da se zagotovi ustrezna zaščita podatkov posameznikov.

In končno, upravljavec je odgovoren za skladnost. To pomeni, da je odgovoren in mora biti sposoben dokazati skladnost z zgoraj navedenimi načeli.

Več informacij:

• Osnove varstva podatkov

Osebnih podatkov ne morete shraniti za vedno.

Praviloma se lahko osebni podatki hranijo le toliko časa, kolikor je potrebno glede na namene, za katere se obdelujejo.

V nekaterih primerih se lahko obdobje hrambe določi s posebnimi zakoni, na primer, delovni predpisi določajo obdobje hrambe za plačilne liste.

Organizacije bi morale vzpostaviti politike hrambe, da bi zagotovile, da se osebni podatki ne hranijo dlje, kot je potrebno. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti podatki niso več potrebni za namen, za katerega so bili obdelani.

Več informacij:

• Osnove varstva podatkov

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

EOVP ni pristojen za izvajanje nadzora nad dejavnostmi organov za varstvo podatkov na zahtevo posameznikov.

Upoštevajte, da pristojnosti za izdajo splošnih smernic ni mogoče razumeti kot mehanizem, s katerim EOVP izvaja nadzor nad tem, kako organi za varstvo podatkov obravnavajo vaš posamezni primer. 

Če menite, da je bila kršena splošna uredba o varstvu podatkov, in niste zadovoljni z odgovorom organa za varstvo podatkov, je preostala rešitev, da sprožite sodni postopek.

Na splošno bi morala vsaka organizacija voditi evidenco o svojih dejavnostih obdelave. To je popis vseh postopkov obdelave in vam lahko pomaga pri pravilnih predpostavkah o svojih odgovornostih v skladu s Splošno uredbo o varstvu podatkov in morebitnih tveganjih.

Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:

• namen obdelave (npr. zvestoba strank);
• kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
• kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
• kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP),
• kjer je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja),
• kjer je mogoče, splošen opis varnostnih ukrepov.

Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije.

Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.

Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatke, obdelane za enkratne dogodke, kot je odprtje trgovine).

Več informacij:

• Bodite skladni s predpisi

Pooblaščene osebe za varstvo podatkov lahko opravljajo druge naloge v organizaciji, vendar to ne sme povzročiti nasprotja interesov. To pomeni, da pooblaščena oseba za varstvo podatkov ne sme imeti položaja, v katerem določi namene in sredstva dejavnosti obdelave. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja IT, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.

Pooblaščena oseba za varstvo podatkov mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:

• pooblaščeni osebi za varstvo podatkov ne sme dajati navodil v zvezi z opravljanjem njenih nalog;
• ne sme kaznovati ali razrešiti pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog.

Več informacij:

• Pooblaščena oseba za varstvo podatkov