Pooblaščene osebe za varstvo podatkov lahko opravljajo druge naloge v organizaciji, vendar to ne sme povzročiti nasprotja interesov. To pomeni, da pooblaščena oseba za varstvo podatkov ne sme imeti položaja, v katerem določi namene in sredstva dejavnosti obdelave. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja IT, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.

Pooblaščena oseba za varstvo podatkov mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:

• pooblaščeni osebi za varstvo podatkov ne sme dajati navodil v zvezi z opravljanjem njenih nalog;
• ne sme kaznovati ali razrešiti pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.

Splošna uredba o varstvu podatkov posameznikom omogoča nadzor nad obdelavo njihovih osebnih podatkov. Pri tem je ključnega pomena preglednost. To pomeni, da morate posameznike, katerih podatke obdelujete, obvestiti o vaših postopkih obdelave in namenih. Z drugimi besedami, morate pojasniti, kdo obdeluje njihove podatke, pa tudi kako in zakaj. Le če je uporaba osebnih podatkov za vpletene „pregledna“, lahko ocenijo morebitna tveganja in sprejemajo odločitve o svojih osebnih podatkih.

V skladu s Splošno uredbo o varstvu podatkov ste dolžni deliti naslednje informacije s posamezniki:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakoniti interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kateri subjekt zasleduje vsak zakoniti interes).
• kontaktne podatke upravljavca;
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• Informacije o tem, ali bodo podatki preneseni zunaj Evropskega gospodarskega prostora (EGP) (kjer je ustrezno: obstoj ali neobstoj sklepa o ustreznosti ali sklicevanje na ustrezne zaščitne ukrepe in kako se lahko te informacije dajo na voljo posameznikom, na katere se nanašajo osebni podatki);
• vrste osebnih podatkov, ki se obdelujejo, kadar podatki niso pridobljeni od posameznika.

Poleg tega Splošna uredba o varstvu podatkov zahteva, da vaša organizacija zagotovi naslednje informacije za zagotovitev poštene in pregledne obdelave:

• obdobje hrambe ali, če to ni mogoče, merila, ki se uporabljajo za določitev tega obdobja;
• pravico zahtevati dostop, izbris, popravek, omejitev, ugovor in prenosljivost osebnih podatkov;
• pravico do vložitve pritožbe pri organu za varstvo podatkov;
• če je pravna podlaga za obdelavo privolitev: pravico, da kadar koli prekliče privolitev;
• v primeru avtomatiziranega odločanja ustrezne informacije o osnovni logiki in predvidenih posledicah obdelave za posameznika, na katerega se nanašajo osebni podatki;
• vir osebnih podatkov (če jih niste prejeli neposredno od zadevnega posameznika);
• ali je posameznik dolžan posredovati osebne podatke (ali je to zakonska ali pogodbena obveznost) in kakšne so posledice zavrnitve posredovanja podatkov.

Več informacij:

• Spoštujte pravice posameznikov

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.

• Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.

Več informacij:

• Upravljavec ali obdelovalec

Organizacije morajo v primeru neposrednega zbiranja osebnih podatkov od zadevnih posameznikov zagotoviti informacije o postopkih obdelave na jedrnat in pregleden način v razumljivem, lahko dostopnem, jasnem in preprostem jeziku. To je mogoče storiti v pisni obliki (npr. na hrbtni strani ponudbe) ali z elektronskimi sredstvi (npr. na spletni strani). Če zadevna oseba to zahteva, lahko te informacije predložite tudi ustno, vendar morate to biti zmožni pozneje dokazati.

Tudi ko so bili podatki zbrani posredno, tj. če osebnih podatkov ne zbirate neposredno od posameznika, ampak na primer prek tretje osebe, morate posameznikom zagotoviti enako podrobne informacije.

Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika. Določljiv posameznik je vsakdo, ki ga je mogoče neposredno ali posredno identificirati. Osebni podatki so lahko tudi različni podatki, ki bi lahko skupno privedli do identifikacije določene osebe.

Primeri osebnih podatkov so:

• ime in priimek;
• domači naslov;
• elektronski naslov;
• številka osebne izkaznice;
• podatki o lokaciji;
• IP naslov;
• ID piškotka;
• bančni računi;
• davčna poročila;
• biometrični podatki (kot so prstni odtisi);
• številka socialnega zavarovanja;
• številka potnega lista;
• rezultati testov;
• ocene v šoli;
• zgodovina brskanja;
• fotografija posameznika;
• registrska številka vozila itd.

Več informacij:

• Osnove varstva podatkov

Nekatere vrste osebnih podatkov spadajo v posebne vrste osebnih podatkov, kar pomeni, da si zaslužijo več varstva, tako imenovani občutljivi podatki. Občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:

• zdravju posameznika;
• spolni usmerjenosti posameznika;
• rasnem ali etničnem poreklu posameznika;
• posameznikovem političnem, verskem ali filozofskem prepričanju;
• članstvu posameznika v sindikatu;
• biometričnih in genetskih podatkih posameznika.

Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo.

Več informacij:

• Osnove varstva podatkov

Psevdonimizacija pomeni preoblikovanje osebnih podatkov, tako da jih ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov za zagotovitev, da se osebni podatki ne morejo pripisati posamezniku. V praksi lahko pomeni zamenjavo osebnih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov.

Anonimizirani podatki so podatki, ki so anonimizirani na tak način, da posameznik ni ali ni več določljiv na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen. Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke.

Več informacij:

• Zavarujte osebne podatke

Splošna uredba o varstvu podatkov vzpostavlja usklajen sklop pravil, ki se uporabljajo za vso obdelavo osebnih podatkov s strani organizacij (javnih ali zasebnih, ne glede na njihovo velikost) s sedežem v Evropskem gospodarskem prostoru (EGP) ali za posameznike v EU. Glavni cilj Splošne uredbe o varstvu podatkov je zagotoviti, da so osebni podatki povsod v EGP deležni enakih visokih standardov varstva, s čimer se poveča pravna varnost za posameznike in organizacije, ki obdelujejo podatke, ter zagotavlja visoko stopnjo varstva posameznikov.

Uredba je začela veljati 24. maja 2016 in se uporablja od 25. maja 2018.