Pogosto zastavljena vprašanja
Kdo je skupni upravljavec?
Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.
Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.
- Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.
Več informacij:
Organiziram dogodek kot del svojih poslovnih dejavnosti, ali lahko fotografiram in snemam dogodek in ljudi, ki se ga udeležijo?
Da, vendar boste za to morali najprej določiti pravno podlago za obdelavo tovrstnih osebnih podatkov. Obdelava se lahko na primer šteje za zakoniti interes za vašo organizacijo. Pri obdelavi osebnih podatkov na podlagi zakonitega interesa je vedno treba opraviti test tehtanja, da se ugotovi, ali vaši zakoniti interesi prevladajo nad pravicami posameznikov, zlasti če gre za otroke.
Druga možna pravna podlaga za takšno obdelavo bi lahko bila privolitev. V vsakem primeru je treba posameznike vedno vnaprej obvestiti, da se dogodek fotografira ali snema.
Več informacij:
Kaj naj storim v primeru kršitve varnosti podatkov?
Kršitev varnosti osebnih podatkov je kršitev varnosti, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov.
- Če kršitev varstva podatkov pomeni tveganje za zadevne posameznike, jo morate v 72 urah prijaviti pristojnemu organu za varstvo podatkov.
- Če je verjetno, da bo kršitev povzročila veliko tveganje za posameznike, morate to kršitev brez nepotrebnega odlašanja sporočiti tudi zadevnim posameznikom.
V vsakem primeru morate za vse kršitve – tudi tiste, ki niso priglašene organu za varstvo podatkov – zabeležiti vsaj osnovne podrobnosti o kršitvi, njeno oceno, njene učinke in sprejete ukrepe.
Več informacij:
Kaj pomeni nasprotje interesov za pooblaščeno osebo za varstvo podatkov?
Pooblaščene osebe za varstvo podatkov lahko opravljajo druge naloge v organizaciji, vendar to ne sme povzročiti nasprotja interesov. To pomeni, da pooblaščena oseba za varstvo podatkov ne sme imeti položaja, v katerem določi namene in sredstva dejavnosti obdelave. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja IT, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.
Pooblaščena oseba za varstvo podatkov mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:
- pooblaščeni osebi za varstvo podatkov ne sme dajati navodil v zvezi z opravljanjem njenih nalog;
- ne sme kaznovati ali razrešiti pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog.
Več informacij:
Kot upravljavec sem zbral osebne podatke posameznikov od tretje osebe, kaj moram storiti, da bom skladen?
- Prepričajte se, da so bili podatki, ki ste jih prejeli, zbrani zakonito in da so bili zadevni posamezniki obveščeni o obdelavi svojih osebnih podatkov.
- V primeru, da tretja oseba obdeluje osebne podatke v vašem imenu, se prepričajte, da ste sklenili pogodbo o pogodbeni obdelavi, v kateri so podrobno opisani postopki obdelave in sredstva za obdelavo osebnih podatkov.
In seveda, izpolnite vse obveznosti, ki jih imate kot upravljavec.
Več informacij:
Kaj pomeni obdelava osebnih podatkov?
Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.
Kako lahko pridobim veljavno privolitev?
Da se privolitev šteje za veljavno, mora biti:
- prosto dana;
- specifična;
- informirana in
- nedvoumna.
To pomeni, da morajo imeti posamezniki resnično svobodno izbiro glede tega, ali se strinjajo z obdelavo svojih osebnih podatkov ali ne; potrebujejo dovolj informacij, da lahko razumejo, kateri podatki se obdelujejo, za kakšen namen in kako se to izvaja; prav tako morajo biti nameni dovolj razčlenjeni v obrazcih za privolitev.
Poleg tega mora posameznik podati jasno pritrditev (brez vnaprej označenih polj in ločeno od veljavnih splošnih pogojev).
Poleg tega morajo posamezniki imeti možnost, da svobodno umaknejo svojo privolitev (brez kakršnih koli negativnih posledic), če si pozneje premislijo.
Več informacij:
Kako naj spoštujem pravice posameznikov do varstva podatkov?
Splošna uredba o varstvu podatkov predvideva posebne pravice posameznikov, ki jih je treba spoštovati. To lahko storite tako, da:
- obveščate posameznike, katerih podatke obdelujete, o vaših postopkih obdelave in namenih obdelave, ko zbirate njihove podatke, na primer z izjavo o zasebnosti na vaši spletni strani;
- z odzivanjem na zahteve posameznikov za uveljavljanje njihovih pravic, kot so zahteve za dostop, popravek, ugovor, izbris ali prenosljivost.
Za organizacije, ki so pregledne glede uporabe osebnih podatkov in ki spoštujejo pravice posameznikov, je manj verjetno, da bodo predmet pritožb.
Več informacij:
Kdaj naj zagotovim te informacije?
Če vaša organizacija zbira osebne podatke neposredno od posameznikov, mora potrebne informacije zagotoviti v času zbiranja.
V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se lahko skrajša:
- če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika, na katerega se nanašajo osebni podatki, obvestiti najpozneje ob prvem komuniciranju s posameznikom, na katerega se nanašajo osebni podatki;
- če se podatki posredujejo drugemu prejemniku, mora organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.
Več informacij:
Ali lahko objavim imena zmagovalcev natečaja na spletni strani moje organizacije?
Objava imen zmagovalcev natečaja na vaši spletni strani se lahko šteje za zakonit interes, če lahko dokažete z izvedbo testa tehtanja, da vaši zakoniti interesi prevladajo nad pravicami posameznikov.
Dobra praksa bi bila vzpostavitev notranjega postopka, v katerem bi bila pojasnjena pravila o objavi osebnih podatkov zmagovalcev.
Poleg tega bi morala biti obdelava osebnih podatkov za te namene del politike zasebnosti, tako da so udeleženci vnaprej obveščeni o tem, kako bodo njihovi podatki obdelani.
Več informacij: