Obdelava osebnih podatkov je dovoljena, če za to obstaja pravna podlaga. Poleg svobodne, specifične, informirane in nedvoumne privolitve se lahko uporabijo tudi druge pravne podlage za obdelavo.

Z drugimi besedami, privolitev je potrebna, kadar se ne uporablja nobena od drugih pravnih podlag.

 

Več informacij:

• Obdelujte osebne podatke zakonito

Objava imen zmagovalcev natečaja na vaši spletni strani se lahko šteje za zakonit interes, če lahko dokažete z izvedbo testa tehtanja, da vaši zakoniti interesi prevladajo nad pravicami posameznikov.

Dobra praksa bi bila vzpostavitev notranjega postopka, v katerem bi bila pojasnjena pravila o objavi osebnih podatkov zmagovalcev.

Poleg tega bi morala biti obdelava osebnih podatkov za te namene del politike zasebnosti, tako da so udeleženci vnaprej obveščeni o tem, kako bodo njihovi podatki obdelani.

Več informacij:

• Obdelujte osebne podatke zakonito

Da, vaše stranke morajo biti ob telefonskem klicu obveščene o namenu snemanja, prejemnikih posnetkov, njihovi pravici do ugovora in pravici do dostopa do posnetkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito

Prvi korak pri namestitvi videonadzora je opredelitev namena oz. namenov za izvajanje videonadzora. Nameni za namestitev videonadzora se lahko razlikujejo, kot so zagotavljanje varnosti prostorov, pomoč pri preprečevanju in odkrivanju kraje in drugih kaznivih dejanj ali zaščita življenj in zdravja zaposlenih zaradi narave dela.

Tako kot pri vsaki obdelavi osebnih podatkov mora imeti snemanje posameznikov pravno podlago v skladu s Splošno uredbo o varstvu podatkov. Privolitev je lahko pravna podlaga za takšno obdelavo podatkov. Vendar je malo verjetno, da bi to veljalo za uporabo videonadzora v večini primerov, saj bo težko pridobiti prostovoljno privolitev vseh, za katere je verjetno, da bodo posneti. Najpogostejša pravna podlaga za tovrstno obdelavo osebnih podatkov je zakoniti interes. Če obdelava temelji na zakonitem interesu, boste morali opraviti test tehtanja, da ugotovite, ali vaši zakoniti interesi prevladajo nad posameznikovimi pravicami.

Posameznike boste morali obvestiti, da so snemani. To je mogoče storiti tako, da se na vidnih mestih namestijo enostavno berljiva obvestila. Poleg tega bi bilo treba na vseh vhodih namestiti obvestilo, ki označuje namen sistema videonadzora in identiteto ter kontaktne podatke upravljavca.

Posameznikom, nad katerimi se izvaja videonadzor, je treba zagotoviti naslednje informacije:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakonit interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kdo zasleduje vsak zakoniti interes);
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• varnostne ukrepe glede posnetkov;
• obdobje hrambe posnetkov;
• obstoj pravic posameznikov na podlagi Splošne uredbe o varstvu podatkov in pravice do vložitve pritožbe pri nacionalnem organu za varstvo podatkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito
• Spoštujte pravice posameznikov

Da, lahko, vendar Splošna uredba o varstvu podatkov nalaga določene obveznosti podjetjem, ki delijo osebne podatke. Vaša organizacija mora posameznike obvestiti, da boste njihove podatke delili s tretjo osebo. Prav tako jih morate obvestiti o svojih namenih, varnosti, dostopu in ukrepih glede hrambe, ki bodo veljali.

V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike.

Več informacij:

• Mednarodni prenosi

Da, obdelovalci (tj. posamezniki ali organi, ki obdelujejo podatke v imenu upravljavca) imajo obveznosti v skladu s Splošno uredbo o varstvu podatkov. Vendar obstajajo nekatere razlike med odgovornostmi upravljavcev in obdelovalcev.

Obdelovalci morajo upoštevati odgovornosti, ki so določene v pogodbi o pogodbeni obdelavi, v kateri so podrobno opredeljena dejanja obdelave in sredstva za obdelavo osebnih podatkov. Obdelovalec bo moral na primer postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi po navodilih upravljavca. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju Splošne uredbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Na splošno bi morala vsaka organizacija voditi evidenco o svojih dejavnostih obdelave. To je popis vseh postopkov obdelave in vam lahko pomaga pri pravilnih predpostavkah o svojih odgovornostih v skladu s Splošno uredbo o varstvu podatkov in morebitnih tveganjih.

Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:

• namen obdelave (npr. zvestoba strank);
• kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
• kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
• kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP),
• kjer je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja),
• kjer je mogoče, splošen opis varnostnih ukrepov.

Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije.

Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.

Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatke, obdelane za enkratne dogodke, kot je odprtje trgovine).

Več informacij:

• Bodite skladni s predpisi

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito

Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.

Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov