Da, vendar boste za to morali najprej določiti pravno podlago za obdelavo tovrstnih osebnih podatkov. Obdelava se lahko na primer šteje za zakoniti interes za vašo organizacijo. Pri obdelavi osebnih podatkov na podlagi zakonitega interesa je vedno treba opraviti test tehtanja, da se ugotovi, ali vaši zakoniti interesi prevladajo nad pravicami posameznikov, zlasti če gre za otroke.

Druga možna pravna podlaga za takšno obdelavo bi lahko bila privolitev. V vsakem primeru je treba posameznike vedno vnaprej obvestiti, da se dogodek fotografira ali snema.

Več informacij:

• Obdelujte osebne podatke zakonito

Pooblaščena oseba za varstvo podatkov ne more biti odgovorna za neupoštevanje Splošne uredbe o varstvu podatkov. Skladnost s Splošno uredbo o varstvu podatkov je odgovornost organizacije, ki je imenovala pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Da, obdelovalci (tj. posamezniki ali organi, ki obdelujejo podatke v imenu upravljavca) imajo obveznosti v skladu s Splošno uredbo o varstvu podatkov. Vendar obstajajo nekatere razlike med odgovornostmi upravljavcev in obdelovalcev.

Obdelovalci morajo upoštevati odgovornosti, ki so določene v pogodbi o pogodbeni obdelavi, v kateri so podrobno opredeljena dejanja obdelave in sredstva za obdelavo osebnih podatkov. Obdelovalec bo moral na primer postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi po navodilih upravljavca. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju Splošne uredbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Da, Splošna uredba o varstvu podatkov se uporablja, če so osebni podatki vsebovani ali naj bi bili vsebovani v zbirki podatkov. To pomeni, da se Splošna uredba o varstvu podatkov uporablja tudi za papirne zapise in ne samo za avtomatizirano obdelavo osebnih podatkov.

Več informacij:

• Osnove varstva podatkov

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.

• Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.

Več informacij:

• Upravljavec ali obdelovalec

Splošna uredba o varstvu podatkov predvideva posebne pravice posameznikov, ki jih je treba spoštovati. To lahko storite tako, da:

• obveščate posameznike, katerih podatke obdelujete, o vaših postopkih obdelave in namenih obdelave, ko zbirate njihove podatke, na primer z izjavo o zasebnosti na vaši spletni strani;
• z odzivanjem na zahteve posameznikov za uveljavljanje njihovih pravic, kot so zahteve za dostop, popravek, ugovor, izbris ali prenosljivost.

Za organizacije, ki so pregledne glede uporabe osebnih podatkov in ki spoštujejo pravice posameznikov, je manj verjetno, da bodo predmet pritožb.

Več informacij:

• Spoštujte pravice posameznikov

Splošna uredba o varstvu podatkov določa obveznosti za vse organizacije, ki obdelujejo osebne podatke, ne glede na to, ali so upravljavci ali obdelovalci.

Zlasti morate narediti naslednje:

• Vprašajte se, ali je namen, za katerega se lahko zbirajo osebni podatki upravičen in zbirajte samo osebne podatke, ki so potrebni za določene predvidene namene.
• Ohranjajte točne in ažurne osebne podatke posameznikov ter jih izbrišite, ko to ni več potrebno.
• Spoštujte pravice posameznikov, tako da jih obveščate o tem, kako in zakaj se njihovi podatki obdelujejo, ter jim omogočite uveljavljanje njihovih pravic.
• Preverite, ali imate ustrezno pravno podlago za obdelavo osebnih podatkov. V primeru, da se nameravate zanesti na privolitev posameznikov, zaprosite za njihovo privolitev pred obdelavo njihovih osebnih podatkov.
• Zagotovite varno ravnanje z osebnimi podatki posameznikov.
• Vodite evidenco dejavnosti obdelave.

Obdelovalci bodo morali spoštovati odgovornosti, določene v pogodbi o pogodbeni obdelavi in podatkov ne smejo obdelovati drugače kot v skladu z navodili upravljavca.

Več informacij:

• Bodite skladni s predpisi
• Upravljavec ali obdelovalec
• Osnove varstva podatkov

Splošna uredba o varstvu podatkov posameznikom omogoča nadzor nad obdelavo njihovih osebnih podatkov. Pri tem je ključnega pomena preglednost. To pomeni, da morate posameznike, katerih podatke obdelujete, obvestiti o vaših postopkih obdelave in namenih. Z drugimi besedami, morate pojasniti, kdo obdeluje njihove podatke, pa tudi kako in zakaj. Le če je uporaba osebnih podatkov za vpletene „pregledna“, lahko ocenijo morebitna tveganja in sprejemajo odločitve o svojih osebnih podatkih.

V skladu s Splošno uredbo o varstvu podatkov ste dolžni deliti naslednje informacije s posamezniki:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakoniti interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kateri subjekt zasleduje vsak zakoniti interes).
• kontaktne podatke upravljavca;
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• Informacije o tem, ali bodo podatki preneseni zunaj Evropskega gospodarskega prostora (EGP) (kjer je ustrezno: obstoj ali neobstoj sklepa o ustreznosti ali sklicevanje na ustrezne zaščitne ukrepe in kako se lahko te informacije dajo na voljo posameznikom, na katere se nanašajo osebni podatki);
• vrste osebnih podatkov, ki se obdelujejo, kadar podatki niso pridobljeni od posameznika.

Poleg tega Splošna uredba o varstvu podatkov zahteva, da vaša organizacija zagotovi naslednje informacije za zagotovitev poštene in pregledne obdelave:

• obdobje hrambe ali, če to ni mogoče, merila, ki se uporabljajo za določitev tega obdobja;
• pravico zahtevati dostop, izbris, popravek, omejitev, ugovor in prenosljivost osebnih podatkov;
• pravico do vložitve pritožbe pri organu za varstvo podatkov;
• če je pravna podlaga za obdelavo privolitev: pravico, da kadar koli prekliče privolitev;
• v primeru avtomatiziranega odločanja ustrezne informacije o osnovni logiki in predvidenih posledicah obdelave za posameznika, na katerega se nanašajo osebni podatki;
• vir osebnih podatkov (če jih niste prejeli neposredno od zadevnega posameznika);
• ali je posameznik dolžan posredovati osebne podatke (ali je to zakonska ali pogodbena obveznost) in kakšne so posledice zavrnitve posredovanja podatkov.

Več informacij:

• Spoštujte pravice posameznikov

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno v naslednjih treh primerih:

• organizacija je javni organ;
• glavne dejavnosti organizacije vključujejo redno in sistematično spremljanje posameznikov v velikem obsegu, na primer geolokacijo prek mobilne aplikacije, ali nadzor nad nakupovalnimi centri in javnimi prostori preko videonadzora;
• glavne dejavnosti organizacije vključujejo obsežno obdelavo občutljivih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji.

Pooblaščeno osebo za varstvo podatkov lahko vedno imenujete prostovoljno, tudi če to ni zakonsko predpisano. Upoštevajte, da morate v tem primeru upoštevati vse določbe Splošne uredbe o varstvu podatkov v zvezi z nalogami in položajem pooblaščene osebe za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi