• Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna.
• Osebne podatke zbirajte samo za določene, izrecne in zakonite namene. Obdelava podatkov posameznika mora biti strogo omejena na prvotno določene namene in se zato ne sme obdelati za kasnejše ali druge namene, ki niso združljivi s prvotnimi nameni.
• Obdelujte samo osebne podatke, ki so potrebni in sorazmerni glede na predvideni namen.
• Vsi osebni podatki, ki jih obdelujete, morajo biti točni in posodobljeni. Netočne osebne podatke je treba popraviti ali izbrisati.
• Hramba osebnih podatkov posameznikov mora biti časovno omejena glede na namen, za katerega so bili ti podatki zbrani in obdelani. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti niso več potrebni.
• Obdelava podatkov posameznikov mora potekati na varen način. V tem smislu je treba vzpostaviti zanesljiv nadzor kibernetske varnosti, da se zagotovi ustrezna zaščita podatkov posameznikov.

In končno, upravljavec je odgovoren za skladnost. To pomeni, da je odgovoren in mora biti sposoben dokazati skladnost z zgoraj navedenimi načeli.

Več informacij:

• Osnove varstva podatkov

Upravljavci lahko osebne podatke obdelujejo le v eni od naslednjih okoliščin:

• s privolitvijo zadevnih posameznikov;
• kadar je obdelava potrebna za izvajanje pogodbe (pogodba med vašo organizacijo in posameznikom);
• zaradi izpolnjevanja pravne obveznosti v skladu z zakonodajo EU ali nacionalno zakonodajo;
• kadar je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu v skladu z zakonodajo EU ali nacionalno zakonodajo;
• zaradi varovanja življenjskih interesov posameznika;
• za zakonite interese vaše organizacije, razen če nad njimi prevladajo pravice in svoboščine posameznikov.

Poleg tega Splošna uredba o varstvu podatkov določa dodatne pogoje za obdelavo občutljivih podatkov.

Več informacij:

• Obdelujte osebne podatke zakonito

Skladnost s Splošno uredbo o varstvu podatkov spremljajo nacionalni organi za varstvo podatkov. Organi za varstvo podatkov lahko po potrebi izvajajo preiskave in naložijo sankcije. Organi za varstvo podatkov imajo na voljo številna orodja, vključno z globami v višini do 20 milijonov EUR ali 4 % svetovnega letnega prometa, kar je višje, opomine ter začasno ali trajno prepoved obdelave.

Kontaktni podatki vseh organov za varstvo podatkov iz EGP so na voljo na spletni strani EOVP: Člani

Več informacij:

• Organ za varstvo podatkov & vi

Naloge pooblaščene osebe za varstvo podatkov med drugim vključujejo:

• obveščanje organizacije in njenih zaposlenih ter svetovanje glede skladnosti z varstvom podatkov;
• spremljanje skladnosti z varstvom podatkov;
• svetovanje o zahtevah v zvezi z oceno učinka v zvezi z varstvom podatkov (DPIA);
• delovanje kot kontaktna točka za organ za varstvo podatkov in sodelovanje z njim;
• delovanje kot kontaktna točka za posameznike.

Poleg tega je prisotnost pooblaščene osebe za varstvo podatkov na splošno priporočljiva, kadar se sprejemajo odločitve, ki vplivajo na varstvo podatkov. Po kršitvi varstva podatkov ali drugem incidentu bi se bilo treba nemudoma posvetovati tudi s pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Veljavna pogodba med upravljavcem in obdelovalcem je obvezna v skladu s Splošno uredbo o varstvu podatkov. Kršitev se lahko kaznuje z upravno globo v višini do 10 milijonov EUR ali do 2 % skupnega letnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Da bi vam pomagali pri oblikovanju sporazuma o pogodbeni obdelavi, so danski in slovenski organi za varstvo podatkov ter Evropska komisija pripravili predloge sporazumov.

Več informacij:

• Upravljavec ali obdelovalec

Pooblaščene osebe za varstvo podatkov lahko opravljajo druge naloge v organizaciji, vendar to ne sme povzročiti nasprotja interesov. To pomeni, da pooblaščena oseba za varstvo podatkov ne sme imeti položaja, v katerem določi namene in sredstva dejavnosti obdelave. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja IT, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.

Pooblaščena oseba za varstvo podatkov mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:

• pooblaščeni osebi za varstvo podatkov ne sme dajati navodil v zvezi z opravljanjem njenih nalog;
• ne sme kaznovati ali razrešiti pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.

Splošna uredba o varstvu podatkov posameznikom omogoča nadzor nad obdelavo njihovih osebnih podatkov. Pri tem je ključnega pomena preglednost. To pomeni, da morate posameznike, katerih podatke obdelujete, obvestiti o vaših postopkih obdelave in namenih. Z drugimi besedami, morate pojasniti, kdo obdeluje njihove podatke, pa tudi kako in zakaj. Le če je uporaba osebnih podatkov za vpletene „pregledna“, lahko ocenijo morebitna tveganja in sprejemajo odločitve o svojih osebnih podatkih.

V skladu s Splošno uredbo o varstvu podatkov ste dolžni deliti naslednje informacije s posamezniki:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakoniti interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kateri subjekt zasleduje vsak zakoniti interes).
• kontaktne podatke upravljavca;
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• Informacije o tem, ali bodo podatki preneseni zunaj Evropskega gospodarskega prostora (EGP) (kjer je ustrezno: obstoj ali neobstoj sklepa o ustreznosti ali sklicevanje na ustrezne zaščitne ukrepe in kako se lahko te informacije dajo na voljo posameznikom, na katere se nanašajo osebni podatki);
• vrste osebnih podatkov, ki se obdelujejo, kadar podatki niso pridobljeni od posameznika.

Poleg tega Splošna uredba o varstvu podatkov zahteva, da vaša organizacija zagotovi naslednje informacije za zagotovitev poštene in pregledne obdelave:

• obdobje hrambe ali, če to ni mogoče, merila, ki se uporabljajo za določitev tega obdobja;
• pravico zahtevati dostop, izbris, popravek, omejitev, ugovor in prenosljivost osebnih podatkov;
• pravico do vložitve pritožbe pri organu za varstvo podatkov;
• če je pravna podlaga za obdelavo privolitev: pravico, da kadar koli prekliče privolitev;
• v primeru avtomatiziranega odločanja ustrezne informacije o osnovni logiki in predvidenih posledicah obdelave za posameznika, na katerega se nanašajo osebni podatki;
• vir osebnih podatkov (če jih niste prejeli neposredno od zadevnega posameznika);
• ali je posameznik dolžan posredovati osebne podatke (ali je to zakonska ali pogodbena obveznost) in kakšne so posledice zavrnitve posredovanja podatkov.

Več informacij:

• Spoštujte pravice posameznikov

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.

• Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.

Več informacij:

• Upravljavec ali obdelovalec