Upravljavci lahko osebne podatke obdelujejo le v eni od naslednjih okoliščin:

• s privolitvijo zadevnih posameznikov;
• kadar je obdelava potrebna za izvajanje pogodbe (pogodba med vašo organizacijo in posameznikom);
• zaradi izpolnjevanja pravne obveznosti v skladu z zakonodajo EU ali nacionalno zakonodajo;
• kadar je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu v skladu z zakonodajo EU ali nacionalno zakonodajo;
• zaradi varovanja življenjskih interesov posameznika;
• za zakonite interese vaše organizacije, razen če nad njimi prevladajo pravice in svoboščine posameznikov.

Poleg tega Splošna uredba o varstvu podatkov določa dodatne pogoje za obdelavo občutljivih podatkov.

Več informacij:

• Obdelujte osebne podatke zakonito

Pooblaščena oseba za varstvo podatkov ne more biti odgovorna za neupoštevanje Splošne uredbe o varstvu podatkov. Skladnost s Splošno uredbo o varstvu podatkov je odgovornost organizacije, ki je imenovala pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Prvi korak pri namestitvi videonadzora je opredelitev namena oz. namenov za izvajanje videonadzora. Nameni za namestitev videonadzora se lahko razlikujejo, kot so zagotavljanje varnosti prostorov, pomoč pri preprečevanju in odkrivanju kraje in drugih kaznivih dejanj ali zaščita življenj in zdravja zaposlenih zaradi narave dela.

Tako kot pri vsaki obdelavi osebnih podatkov mora imeti snemanje posameznikov pravno podlago v skladu s Splošno uredbo o varstvu podatkov. Privolitev je lahko pravna podlaga za takšno obdelavo podatkov. Vendar je malo verjetno, da bi to veljalo za uporabo videonadzora v večini primerov, saj bo težko pridobiti prostovoljno privolitev vseh, za katere je verjetno, da bodo posneti. Najpogostejša pravna podlaga za tovrstno obdelavo osebnih podatkov je zakoniti interes. Če obdelava temelji na zakonitem interesu, boste morali opraviti test tehtanja, da ugotovite, ali vaši zakoniti interesi prevladajo nad posameznikovimi pravicami.

Posameznike boste morali obvestiti, da so snemani. To je mogoče storiti tako, da se na vidnih mestih namestijo enostavno berljiva obvestila. Poleg tega bi bilo treba na vseh vhodih namestiti obvestilo, ki označuje namen sistema videonadzora in identiteto ter kontaktne podatke upravljavca.

Posameznikom, nad katerimi se izvaja videonadzor, je treba zagotoviti naslednje informacije:

• identiteto in kontaktne podatke upravljavca;
• namene obdelave;
• pravno podlago za obdelavo (če je zakonit interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kdo zasleduje vsak zakoniti interes);
• kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
• prejemnike ali kategorije prejemnikov podatkov;
• varnostne ukrepe glede posnetkov;
• obdobje hrambe posnetkov;
• obstoj pravic posameznikov na podlagi Splošne uredbe o varstvu podatkov in pravice do vložitve pritožbe pri nacionalnem organu za varstvo podatkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito
• Spoštujte pravice posameznikov

Skladnost s Splošno uredbo o varstvu podatkov spremljajo nacionalni organi za varstvo podatkov. Organi za varstvo podatkov lahko po potrebi izvajajo preiskave in naložijo sankcije. Organi za varstvo podatkov imajo na voljo številna orodja, vključno z globami v višini do 20 milijonov EUR ali 4 % svetovnega letnega prometa, kar je višje, opomine ter začasno ali trajno prepoved obdelave.

Kontaktni podatki vseh organov za varstvo podatkov iz EGP so na voljo na spletni strani EOVP: Člani

Več informacij:

• Organ za varstvo podatkov & vi

Da, obdelovalci (tj. posamezniki ali organi, ki obdelujejo podatke v imenu upravljavca) imajo obveznosti v skladu s Splošno uredbo o varstvu podatkov. Vendar obstajajo nekatere razlike med odgovornostmi upravljavcev in obdelovalcev.

Obdelovalci morajo upoštevati odgovornosti, ki so določene v pogodbi o pogodbeni obdelavi, v kateri so podrobno opredeljena dejanja obdelave in sredstva za obdelavo osebnih podatkov. Obdelovalec bo moral na primer postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi po navodilih upravljavca. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju Splošne uredbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Da, Splošna uredba o varstvu podatkov se uporablja, če so osebni podatki vsebovani ali naj bi bili vsebovani v zbirki podatkov. To pomeni, da se Splošna uredba o varstvu podatkov uporablja tudi za papirne zapise in ne samo za avtomatizirano obdelavo osebnih podatkov.

Več informacij:

• Osnove varstva podatkov

Privolitev bi dejansko lahko bila veljavna pravna podlaga za hrambo življenjepisov kandidatov za zaposlitev. Druga možna pravna podlaga bi lahko bil zakonit interes. V tem primeru bi morali opraviti test tehtanja, da dokažete, da zakoniti interesi vaše organizacije prevladajo nad pravicami kandidatov.

V vsakem primeru boste morali kandidate obvestiti, da nameravate shraniti njihove podatke in za katere namene.

Več informacij:

• Obdelujte osebne podatke zakonito

Nekatere vrste osebnih podatkov spadajo v posebne vrste osebnih podatkov, kar pomeni, da si zaslužijo več varstva, tako imenovani občutljivi podatki. Občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:

• zdravju posameznika;
• spolni usmerjenosti posameznika;
• rasnem ali etničnem poreklu posameznika;
• posameznikovem političnem, verskem ali filozofskem prepričanju;
• članstvu posameznika v sindikatu;
• biometričnih in genetskih podatkih posameznika.

Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo.

Več informacij:

• Osnove varstva podatkov

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.

• Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.

Več informacij:

• Upravljavec ali obdelovalec

Da, vendar boste za to morali najprej določiti pravno podlago za obdelavo tovrstnih osebnih podatkov. Obdelava se lahko na primer šteje za zakoniti interes za vašo organizacijo. Pri obdelavi osebnih podatkov na podlagi zakonitega interesa je vedno treba opraviti test tehtanja, da se ugotovi, ali vaši zakoniti interesi prevladajo nad pravicami posameznikov, zlasti če gre za otroke.

Druga možna pravna podlaga za takšno obdelavo bi lahko bila privolitev. V vsakem primeru je treba posameznike vedno vnaprej obvestiti, da se dogodek fotografira ali snema.

Več informacij:

• Obdelujte osebne podatke zakonito