Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi

Pogodba o pogodbeni obdelavi mora določati, da obdelovalec:

• obdeluje osebne podatke samo po navodilih upravljavca, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
• zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
• zagotavlja varnost obdelave;
• ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca;
• pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
• pomaga upravljavcu pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju ocene učinka v zvezi z varstvom podatkov;
• po izbiri upravljavca izbriše ali vrne vse osebne podatke upravljavcu po koncu opravljanja storitev;
• upravljavcu daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
• omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga pooblasti upravljavec in pri njih sodeluje.

Poleg tega obdelovalec nemudoma obvesti upravljavca, če meni, da navodila kršijo Splošno uredbo o varstvu podatkov ali druge določbe EU ali nacionalne določbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Skladnost s Splošno uredbo o varstvu podatkov spremljajo nacionalni organi za varstvo podatkov. Organi za varstvo podatkov lahko po potrebi izvajajo preiskave in naložijo sankcije. Organi za varstvo podatkov imajo na voljo številna orodja, vključno z globami v višini do 20 milijonov EUR ali 4 % svetovnega letnega prometa, kar je višje, opomine ter začasno ali trajno prepoved obdelave.

Kontaktni podatki vseh organov za varstvo podatkov iz EGP so na voljo na spletni strani EOVP: Člani

Več informacij:

• Organ za varstvo podatkov & vi

Prvi korak pri namestitvi videonadzora je opredelitev namena oz. namenov za izvajanje videonadzora. Nameni za namestitev videonadzora se lahko razlikujejo, kot so zagotavljanje varnosti prostorov, pomoč pri preprečevanju in odkrivanju kraje in drugih kaznivih dejanj ali zaščita življenj in zdravja zaposlenih zaradi narave dela.

Tako kot pri vsaki obdelavi osebnih podatkov mora imeti snemanje posameznikov pravno podlago v skladu s Splošno uredbo o varstvu podatkov. Privolitev je lahko pravna podlaga za takšno obdelavo podatkov. Vendar je malo verjetno, da bi to veljalo za uporabo videonadzora v večini primerov, saj bo težko pridobiti prostovoljno privolitev vseh, za katere je verjetno, da bodo posneti. Najpogostejša pravna podlaga za tovrstno obdelavo osebnih podatkov je zakoniti interes. Če obdelava temelji na zakonitem interesu, boste morali opraviti test tehtanja, da ugotovite, ali vaši zakoniti interesi prevladajo nad posameznikovimi pravicami.

Posameznike boste morali obvestiti, da so snemani. To je mogoče storiti tako, da se na vidnih mestih namestijo enostavno berljiva obvestila. Poleg tega bi bilo treba na vseh vhodih namestiti obvestilo, ki označuje namen sistema videonadzora in identiteto ter kontaktne podatke upravljavca.

Posameznikom, nad katerimi se izvaja videonadzor, je treba zagotoviti naslednje informacije:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakonit interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kdo zasleduje vsak zakoniti interes);
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• varnostne ukrepe glede posnetkov;
• obdobje hrambe posnetkov;
• obstoj pravic posameznikov na podlagi Splošne uredbe o varstvu podatkov in pravice do vložitve pritožbe pri nacionalnem organu za varstvo podatkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito
• Spoštujte pravice posameznikov

V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike.

Več informacij:

• Mednarodni prenosi

Objava imen zmagovalcev natečaja na vaši spletni strani se lahko šteje za zakonit interes, če lahko dokažete z izvedbo testa tehtanja, da vaši zakoniti interesi prevladajo nad pravicami posameznikov.

Dobra praksa bi bila vzpostavitev notranjega postopka, v katerem bi bila pojasnjena pravila o objavi osebnih podatkov zmagovalcev.

Poleg tega bi morala biti obdelava osebnih podatkov za te namene del politike zasebnosti, tako da so udeleženci vnaprej obveščeni o tem, kako bodo njihovi podatki obdelani.

Več informacij:

• Obdelujte osebne podatke zakonito

Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.

Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Veljavna pogodba med upravljavcem in obdelovalcem je obvezna v skladu s Splošno uredbo o varstvu podatkov. Kršitev se lahko kaznuje z upravno globo v višini do 10 milijonov EUR ali do 2 % skupnega letnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Da bi vam pomagali pri oblikovanju sporazuma o pogodbeni obdelavi, so danski in slovenski organi za varstvo podatkov ter Evropska komisija pripravili predloge sporazumov.

Več informacij:

• Upravljavec ali obdelovalec