Pogosto zastavljena vprašanja

Organizacije morajo v primeru neposrednega zbiranja osebnih podatkov od zadevnih posameznikov zagotoviti informacije o postopkih obdelave na jedrnat in pregleden način v razumljivem, lahko dostopnem, jasnem in preprostem jeziku. To je mogoče storiti v pisni obliki (npr. na hrbtni strani ponudbe) ali z elektronskimi sredstvi (npr. na spletni strani). Če zadevna oseba to zahteva, lahko te informacije predložite tudi ustno, vendar morate to biti zmožni pozneje dokazati.

Tudi ko so bili podatki zbrani posredno, tj. če osebnih podatkov ne zbirate neposredno od posameznika, ampak na primer prek tretje osebe, morate posameznikom zagotoviti enako podrobne informacije.

Posamezniki imajo pravico zahtevati izbris osebnih podatkov, ki se nanašajo nanje in v tem primeru je upravljavec dolžan osebne podatke izbrisati. Odgovoriti morate brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dodatna dva meseca, če je zahteva preveč zapletena in je za obravnavo zahteve potrebno več časa, pod pogojem, da je posameznik o tem obveščen v enem mesecu po prejemu zahteve.

Pomembno je opozoriti, da pravica do izbrisa ni absolutna. Ne uporablja se, kadar so zadevni podatki potrebni za:

• uveljavljanje pravice do svobode izražanja in obveščanja (npr. za novinarske namene);
• izpolnjevanje zakonske obveznosti, ki zahteva obdelavo osebnih podatkov (npr. obdelava evidenc o delovnem času zaposlenih);
• razloge javnega interesa na področju javnega zdravja;
• namene arhiviranja v javnem interesu ali znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene in
• uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Če so bili osebni podatki, ki jih je treba izbrisati, predhodno preneseni drugim organizacijam, morate te prejemnike obvestiti, da je posameznik zahteval izbris, razen če se to izkaže za nemogoče ali bi zahtevalo nesorazmerna prizadevanja.

Več informacij:

• Spoštujte pravice posameznikov

Da, vaše stranke morajo biti ob telefonskem klicu obveščene o namenu snemanja, prejemnikih posnetkov, njihovi pravici do ugovora in pravici do dostopa do posnetkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

• Obdelujte osebne podatke zakonito

Obdelava osebnih podatkov pomeni vsako vrsto dejavnosti (postopek obdelave), ki se izvaja na osebnih podatkih posameznikov ali z njimi. To vključuje zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, poizvedbo, uporabo, razkritje s posredovanjem, razširjanjem ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje osebnih podatkov.

Ne, obdelava občutljivih podatkov je na splošno prepovedana, razen v zelo izjemnih okoliščinah:

• Posameznik je izrecno privolil v obdelavo svojih občutljivih podatkov.
• Obdelava občutljivih podatkov je potrebna, da upravljavec izpolni svoje obveznosti, zlasti v zvezi z zaposlovanjem, socialno varnostjo in socialno zaščito. Upravljavec bo na primer morda moral obdelovati občutljive podatke osebe, da bi lahko ugotovil, ali je upravičen do nekaterih dajatev socialne varnosti ali do zaposlitvenih štipendij.
• Obdelava občutljivih podatkov je potrebna za zaščito življenjskih interesov osebe, kadar posameznik fizično ali pravno ni sposoben dati privolitve. Na primer, če je posameznik zaradi nezgode nezavesten in potrebuje takojšnjo zdravstveno oskrbo, bo morda treba njegove zdravstvene podatke obdelati, da se zagotovi ustrezna zdravstvena oskrba.
• Obdelava občutljivih podatkov se izvaja v okviru zakonitih dejavnosti fundacije, združenja ali druge neprofitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem in samo za obdelavo osebnih podatkov njihovih članov, nekdanjih članov ali oseb, ki imajo redne stike z njimi.
• Občutljive podatke je posameznik očitno objavil.
• Obdelava občutljivih podatkov je potrebna v okviru sodnih postopkov.
• Obdelava občutljivih podatkov je potrebna v zadevah bistvenega javnega interesa.
• Obdelava občutljivih podatkov je potrebna v okviru preventivne medicine ali medicine dela. Na primer, ocena občutljivih podatkov posameznika, kot so zdravstveni podatki, je lahko potrebna za določitev njegove delovne sposobnosti.
• Obdelava občutljivih podatkov je potrebna v zadevah javnega zdravja na podlagi prava EU ali nacionalnega prava. Na primer, obdelava občutljivih podatkov posameznikov je lahko potrebna za zagotovitev visoke kakovosti zdravstvenega varstva in visoke kakovosti medicinskih izdelkov ali za boj proti resnim nevarnostim za zdravje, kot so virusi.
• Obdelava občutljivih podatkov je potrebna za namene arhiviranja v javnem interesu ali za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Obdelava občutljivih podatkov je lahko na primer potrebna za zagotovitev točnih statističnih podatkov o razmerah v državi na določenem področju.

Več informacij:

• Obdelujte osebne podatke zakonito

Veljavna pogodba med upravljavcem in obdelovalcem je obvezna v skladu s Splošno uredbo o varstvu podatkov. Kršitev se lahko kaznuje z upravno globo v višini do 10 milijonov EUR ali do 2 % skupnega letnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Da bi vam pomagali pri oblikovanju sporazuma o pogodbeni obdelavi, so danski in slovenski organi za varstvo podatkov ter Evropska komisija pripravili predloge sporazumov.

Več informacij:

• Upravljavec ali obdelovalec

Posamezniki vas lahko vprašajo, ali obdelujete njihove podatke in če jih obdelujete, imajo pravico do dostopa do teh podatkov. Če obdelujete njihove podatke, morate na primer brezplačno zagotoviti kopijo njihovih osebnih podatkov, skupaj z vsemi potrebnimi dodatnimi informacijami. Če je zahteva vložena v elektronski obliki, mora vaša organizacija zagotoviti zahtevane informacije v splošno uporabljani elektronski obliki, razen če posameznik ne zahteva drugače.

Več informacij:

• Spoštujte pravice posameznikov

Odgovoriti morate brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dodatna dva meseca, če je zahtevek preveč zapleten in je za odgovor potrebno več časa, pod pogojem, da je posameznik o tem obveščen v enem mesecu po prejemu zahtevka.

To morate storiti brezplačno.

Več informacij:

• Spoštujte pravice posameznikov

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito

Psevdonimizacija pomeni preoblikovanje osebnih podatkov, tako da jih ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov za zagotovitev, da se osebni podatki ne morejo pripisati posamezniku. V praksi lahko pomeni zamenjavo osebnih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov.

Anonimizirani podatki so podatki, ki so anonimizirani na tak način, da posameznik ni ali ni več določljiv na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen. Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke.

Več informacij:

• Zavarujte osebne podatke

Splošna uredba o varstvu podatkov razlikuje med dvema glavnima vlogama: upravljavca in obdelovalca. To razlikovanje je ključnega pomena, saj ima upravljavec večjo odgovornost in mora izpolnjevati več obveznosti kot obdelovalec.

Upravljavci in obdelovalci so lahko fizične ali pravne osebe, na primer: MSP, javni organ, podjetje, organizacija, državni organ, združenje itd.

Upravljavec določi namene in sredstva postopka obdelave. Z drugimi besedami, upravljavec odloči »kako« in »zakaj« v zvezi s  postopkom obdelave. Obdelovalci obdelujejo osebne podatke v imenu upravljavca. Obdelavo, ki jo izvajajo obdelovalci, mora urejati pogodba z upravljavcem ali drug pravni akt.

Primeri upravljavcev:

• podjetja, ki obdelujejo osebne podatke v zvezi s prodajo;
• finančne institucije, ki obdelujejo osebne podatke svojih strank;
• združenja, ki obdelujejo podatke svojih članov;
• šole ali univerze, ki obdelujejo osebne podatke študentov in učiteljev;
• bolnišnice, ki obdelujejo osebne podatke svojih pacientov;
• vladne agencije, ki obdelujejo osebne podatke državljanov.

Primeri obdelovalcev:

• MSP najame knjigovodski servis za vodenje svojih knjig in evidenc, MSP je upravljavec, knjigovodski servis pa obdelovalec.
• Podjetje za obračun plač obdeluje osebne podatke za MSP. Podjetje za obračun plač bo delovalo kot obdelovalec, če obdeluje le osebne podatke v imenu MSP. MSP določa namene in sredstva obdelave podatkov in je zato upravljavec.
• MSP naroči marketinškemu podjetju, da zbira e-poštne naslove prek spletnih strani tretjih oseb.  Marketinško podjetje to počne v skladu z izrecnimi navodili MSP in izključno za namene MSP. Marketinško podjetje deluje kot obdelovalec za to zbirko.

Več informacij:

• Upravljavec ali obdelovalec

Nekatere vrste osebnih podatkov spadajo v posebne vrste osebnih podatkov, kar pomeni, da si zaslužijo več varstva, tako imenovani občutljivi podatki. Občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:

• zdravju posameznika;
• spolni usmerjenosti posameznika;
• rasnem ali etničnem poreklu posameznika;
• posameznikovem političnem, verskem ali filozofskem prepričanju;
• članstvu posameznika v sindikatu;
• biometričnih in genetskih podatkih posameznika.

Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo.

Več informacij:

• Osnove varstva podatkov

Pooblaščena oseba za varstvo podatkov je lahko obstoječi zaposleni z zadostnim poznavanjem Splošne uredbe o varstvu podatkov (če so poklicne naloge zaposlenega združljive z nalogami pooblaščene osebe za varstvo podatkov in to ne vodi v nasprotje interesov) ali zunanja oseba. Pooblaščena oseba za varstvo podatkov bi morala imeti možnost, da naloge opravlja neodvisno in da lahko poroča neposredno najvišjemu vodstvu.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika. Določljiv posameznik je vsakdo, ki ga je mogoče neposredno ali posredno identificirati. Osebni podatki so lahko tudi različni podatki, ki bi lahko skupno privedli do identifikacije določene osebe.

Primeri osebnih podatkov so:

• ime in priimek;
• domači naslov;
• elektronski naslov;
• številka osebne izkaznice;
• podatki o lokaciji;
• IP naslov;
• ID piškotka;
• bančni računi;
• davčna poročila;
• biometrični podatki (kot so prstni odtisi);
• številka socialnega zavarovanja;
• številka potnega lista;
• rezultati testov;
• ocene v šoli;
• zgodovina brskanja;
• fotografija posameznika;
• registrska številka vozila itd.

Več informacij:

• Osnove varstva podatkov

1. Prepričajte se, da so bili podatki, ki ste jih prejeli, zbrani zakonito in da so bili zadevni posamezniki obveščeni o obdelavi svojih osebnih podatkov.
2. V primeru, da tretja oseba obdeluje osebne podatke v vašem imenu, se prepričajte, da ste sklenili pogodbo o pogodbeni obdelavi, v kateri so podrobno opisani postopki obdelave in sredstva za obdelavo osebnih podatkov.

In seveda, izpolnite vse obveznosti, ki jih imate kot upravljavec.

Več informacij:

• Upravljavec ali obdelovalec

Potrebni varnostni ukrepi se lahko razlikujejo glede na naravo osebnih podatkov, ki jih obdelujete in s tem povezana tveganja za posameznike. V vsakem primeru obstaja nekaj minimalnih ukrepov, ki jih morate sprejeti:

• zavarujte dostop do prostorov;
• uporabljajte redno posodobljeno protivirusno programsko opremo;
• skrbno izberite svoja gesla;
• zagotovite, da se uporabniki pred uporabo računalniške opreme avtentificirajo;
• vzpostavite politiko varnostnega kopiranja in pridobivanja podatkov v primeru incidenta.

Poleg tega so na mestu nekateri osnovni ukrepi, kot so zaklepanje zaslona, medtem ko ste odsotni in zaklepanje pisarne ob koncu dneva.

Več informacij:

• Zavarujete osebne podatke

Objava imen zmagovalcev natečaja na vaši spletni strani se lahko šteje za zakonit interes, če lahko dokažete z izvedbo testa tehtanja, da vaši zakoniti interesi prevladajo nad pravicami posameznikov.

Dobra praksa bi bila vzpostavitev notranjega postopka, v katerem bi bila pojasnjena pravila o objavi osebnih podatkov zmagovalcev.

Poleg tega bi morala biti obdelava osebnih podatkov za te namene del politike zasebnosti, tako da so udeleženci vnaprej obveščeni o tem, kako bodo njihovi podatki obdelani.

Več informacij:

• Obdelujte osebne podatke zakonito

Da, lahko, vendar Splošna uredba o varstvu podatkov nalaga določene obveznosti podjetjem, ki delijo osebne podatke. Vaša organizacija mora posameznike obvestiti, da boste njihove podatke delili s tretjo osebo. Prav tako jih morate obvestiti o svojih namenih, varnosti, dostopu in ukrepih glede hrambe, ki bodo veljali.

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno v naslednjih treh primerih:

• organizacija je javni organ;
• glavne dejavnosti organizacije vključujejo redno in sistematično spremljanje posameznikov v velikem obsegu, na primer geolokacijo prek mobilne aplikacije, ali nadzor nad nakupovalnimi centri in javnimi prostori preko videonadzora;
• glavne dejavnosti organizacije vključujejo obsežno obdelavo občutljivih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji.

Pooblaščeno osebo za varstvo podatkov lahko vedno imenujete prostovoljno, tudi če to ni zakonsko predpisano. Upoštevajte, da morate v tem primeru upoštevati vse določbe Splošne uredbe o varstvu podatkov v zvezi z nalogami in položajem pooblaščene osebe za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Ne, ni nujno, da je vaša evidenca dejavnosti obdelave javna. Vendar morate na zahtevo omogočiti dostop do evidence organu za varstvo podatkov.

Več informacij:

• Bodite skladni s predpisi