Pogosto zastavljena vprašanja
Ali potrebujem privolitev za uporabo piškotkov na spletni strani moje organizacije?
Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.
Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.
Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.
Več informacij:
Kaj je treba vključiti v pogodbo o pogodbeni obdelavi?
Pogodba o pogodbeni obdelavi mora določati, da obdelovalec:
- obdeluje osebne podatke samo po navodilih upravljavca, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
- zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
- zagotavlja varnost obdelave;
- ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca;
- pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
- pomaga upravljavcu pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju ocene učinka v zvezi z varstvom podatkov;
- po izbiri upravljavca izbriše ali vrne vse osebne podatke upravljavcu po koncu opravljanja storitev;
- upravljavcu daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
- omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga pooblasti upravljavec in pri njih sodeluje.
Poleg tega obdelovalec nemudoma obvesti upravljavca, če meni, da navodila kršijo Splošno uredbo o varstvu podatkov ali druge določbe EU ali nacionalne določbe o varstvu podatkov.
Več informacij:
Kakšne so sankcije, če moja organizacija ne ravna v skladu s Splošno uredbo o varstvu podatkov ali če moja obdelava krši Splošno uredbo o varstvu podatkov?
Skladnost s Splošno uredbo o varstvu podatkov spremljajo nacionalni organi za varstvo podatkov. Organi za varstvo podatkov lahko po potrebi izvajajo preiskave in naložijo sankcije. Organi za varstvo podatkov imajo na voljo številna orodja, vključno z globami v višini do 20 milijonov EUR ali 4 % svetovnega letnega prometa, kar je višje, opomine ter začasno ali trajno prepoved obdelave.
Kontaktni podatki vseh organov za varstvo podatkov iz EGP so na voljo na spletni strani EOVP: Člani
Več informacij:
Ali lahko namestim videonadzor v poslovnih prostorih, da zaščitim svojo lastnino?
Prvi korak pri namestitvi videonadzora je opredelitev namena oz. namenov za izvajanje videonadzora. Nameni za namestitev videonadzora se lahko razlikujejo, kot so zagotavljanje varnosti prostorov, pomoč pri preprečevanju in odkrivanju kraje in drugih kaznivih dejanj ali zaščita življenj in zdravja zaposlenih zaradi narave dela.
Tako kot pri vsaki obdelavi osebnih podatkov mora imeti snemanje posameznikov pravno podlago v skladu s Splošno uredbo o varstvu podatkov. Privolitev je lahko pravna podlaga za takšno obdelavo podatkov. Vendar je malo verjetno, da bi to veljalo za uporabo videonadzora v večini primerov, saj bo težko pridobiti prostovoljno privolitev vseh, za katere je verjetno, da bodo posneti. Najpogostejša pravna podlaga za tovrstno obdelavo osebnih podatkov je zakoniti interes. Če obdelava temelji na zakonitem interesu, boste morali opraviti test tehtanja, da ugotovite, ali vaši zakoniti interesi prevladajo nad posameznikovimi pravicami.
Posameznike boste morali obvestiti, da so snemani. To je mogoče storiti tako, da se na vidnih mestih namestijo enostavno berljiva obvestila. Poleg tega bi bilo treba na vseh vhodih namestiti obvestilo, ki označuje namen sistema videonadzora in identiteto ter kontaktne podatke upravljavca.
Posameznikom, nad katerimi se izvaja videonadzor, je treba zagotoviti naslednje informacije:
- identiteto in kontaktne podatke upravljavca;
- namene obdelave;
- pravno podlago za obdelavo (če je zakonit interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kdo zasleduje vsak zakoniti interes);
- kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
- prejemnike ali kategorije prejemnikov podatkov;
- varnostne ukrepe glede posnetkov;
- obdobje hrambe posnetkov;
- obstoj pravic posameznikov na podlagi Splošne uredbe o varstvu podatkov in pravice do vložitve pritožbe pri nacionalnem organu za varstvo podatkov.
Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.
Več informacij:
Ali lahko prenesem osebne podatke izven Evropskega gospodarskega prostora (EGP)?
V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike.
Več informacij:
Kaj je ocena učinka v zvezi z varstvom podatkov in kdaj je obvezna?
Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.
Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.
To velja zlasti, kadar predvidena obdelava vključuje:
- obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;
- sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
- sistematično spremljanje javno dostopnega območja v velikem obsegu.
EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.
Več informacij:
Ali mora moja organizacija ravnati v skladu s Splošno uredbo o varstvu podatkov?
Vsaka organizacija, ne glede na njeno velikost ali sektor, s sedežem v Evropskem gospodarskem prostoru (EGP) ali ponuja izdelke ali storitve posameznikom v EGP, obdeluje osebne podatke z avtomatiziranimi sredstvi ali ne, mora biti skladna s Splošno uredbo o varstvu podatkov. Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v arhivski omari.
Primeri postopkov obdelave vključujejo zbiranje, beleženje, urejanje, uporabo, prilagajanje, shranjevanje, razkrivanje, spreminjanje in brisanje osebnih podatkov posameznikov.
Kljub temu je uporaba Splošne uredbe o varstvu podatkov prilagojena glede na naravo, kontekst, namene in tveganja izvedenih dejanj obdelave. Za MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, so lahko obveznosti manj stroge kot za veliko podjetje.
Več informacij:
Ali moram biti certificiran, da lahko postanem pooblaščena oseba za varstvo podatkov?
Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.
Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.
Več informacij:
Če želim shraniti življenjepise kandidatov za prihodnje postopke zaposlovanja, ali moram zaprositi za njihovo privolitev?
Privolitev bi dejansko lahko bila veljavna pravna podlaga za hrambo življenjepisov kandidatov za zaposlitev. Druga možna pravna podlaga bi lahko bil zakonit interes. V tem primeru bi morali opraviti test tehtanja, da dokažete, da zakoniti interesi vaše organizacije prevladajo nad pravicami kandidatov.
V vsakem primeru boste morali kandidate obvestiti, da nameravate shraniti njihove podatke in za katere namene.
Več informacij:
Kaj pomeni obdelava osebnih podatkov?
Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.