Pogosto zastavljena vprašanja

Da se privolitev šteje za veljavno, mora biti:

• prosto dana;
• specifična;
• informirana in
• nedvoumna.

To pomeni, da morajo imeti posamezniki resnično svobodno izbiro glede tega, ali se strinjajo z obdelavo svojih osebnih podatkov ali ne; potrebujejo dovolj informacij, da lahko razumejo, kateri podatki se obdelujejo, za kakšen namen in kako se to izvaja; prav tako morajo biti nameni dovolj razčlenjeni v obrazcih za privolitev.

Poleg tega mora posameznik podati jasno pritrditev (brez vnaprej označenih polj in ločeno od veljavnih splošnih pogojev).

Poleg tega morajo posamezniki imeti možnost, da svobodno umaknejo svojo privolitev (brez kakršnih koli negativnih posledic), če si pozneje premislijo.

Več informacij:

• Obdelujte osebne podatke zakonito

Če vaša organizacija zbira osebne podatke neposredno od posameznikov, mora potrebne informacije zagotoviti v času zbiranja.

V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se lahko skrajša:

• če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika, na katerega se nanašajo osebni podatki, obvestiti najpozneje ob prvem komuniciranju s posameznikom, na katerega se nanašajo osebni podatki;
• če se podatki posredujejo drugemu prejemniku, mora organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.

Več informacij:

• Spoštujte pravice posameznikov

Vsaka organizacija, ne glede na njeno velikost ali sektor, s sedežem v Evropskem gospodarskem prostoru (EGP) ali ponuja izdelke ali storitve posameznikom v EGP, obdeluje osebne podatke z avtomatiziranimi sredstvi ali ne, mora biti skladna s Splošno uredbo o varstvu podatkov. Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v arhivski omari.

Primeri postopkov obdelave vključujejo zbiranje, beleženje, urejanje, uporabo, prilagajanje, shranjevanje, razkrivanje, spreminjanje in brisanje osebnih podatkov posameznikov.

Kljub temu je uporaba Splošne uredbe o varstvu podatkov prilagojena glede na naravo, kontekst, namene in tveganja izvedenih dejanj obdelave. Za MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, so lahko obveznosti manj stroge kot za veliko podjetje.

Več informacij:

• Osnove varstva podatkov

Naloge pooblaščene osebe za varstvo podatkov med drugim vključujejo:

• obveščanje organizacije in njenih zaposlenih ter svetovanje glede skladnosti z varstvom podatkov;
• spremljanje skladnosti z varstvom podatkov;
• svetovanje o zahtevah v zvezi z oceno učinka v zvezi z varstvom podatkov (DPIA);
• delovanje kot kontaktna točka za organ za varstvo podatkov in sodelovanje z njim;
• delovanje kot kontaktna točka za posameznike.

Poleg tega je prisotnost pooblaščene osebe za varstvo podatkov na splošno priporočljiva, kadar se sprejemajo odločitve, ki vplivajo na varstvo podatkov. Po kršitvi varstva podatkov ali drugem incidentu bi se bilo treba nemudoma posvetovati tudi s pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Splošna uredba o varstvu podatkov določa obveznosti za vse organizacije, ki obdelujejo osebne podatke, ne glede na to, ali so upravljavci ali obdelovalci.

Zlasti morate narediti naslednje:

• Vprašajte se, ali je namen, za katerega se lahko zbirajo osebni podatki upravičen in zbirajte samo osebne podatke, ki so potrebni za določene predvidene namene.
• Ohranjajte točne in ažurne osebne podatke posameznikov ter jih izbrišite, ko to ni več potrebno.
• Spoštujte pravice posameznikov, tako da jih obveščate o tem, kako in zakaj se njihovi podatki obdelujejo, ter jim omogočite uveljavljanje njihovih pravic.
• Preverite, ali imate ustrezno pravno podlago za obdelavo osebnih podatkov. V primeru, da se nameravate zanesti na privolitev posameznikov, zaprosite za njihovo privolitev pred obdelavo njihovih osebnih podatkov.
• Zagotovite varno ravnanje z osebnimi podatki posameznikov.
• Vodite evidenco dejavnosti obdelave.

Obdelovalci bodo morali spoštovati odgovornosti, določene v pogodbi o pogodbeni obdelavi in podatkov ne smejo obdelovati drugače kot v skladu z navodili upravljavca.

Več informacij:

• Bodite skladni s predpisi
• Upravljavec ali obdelovalec
• Osnove varstva podatkov

• Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna.
• Osebne podatke zbirajte samo za določene, izrecne in zakonite namene. Obdelava podatkov posameznika mora biti strogo omejena na prvotno določene namene in se zato ne sme obdelati za kasnejše ali druge namene, ki niso združljivi s prvotnimi nameni.
• Obdelujte samo osebne podatke, ki so potrebni in sorazmerni glede na predvideni namen.
• Vsi osebni podatki, ki jih obdelujete, morajo biti točni in posodobljeni. Netočne osebne podatke je treba popraviti ali izbrisati.
• Hramba osebnih podatkov posameznikov mora biti časovno omejena glede na namen, za katerega so bili ti podatki zbrani in obdelani. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti niso več potrebni.
• Obdelava podatkov posameznikov mora potekati na varen način. V tem smislu je treba vzpostaviti zanesljiv nadzor kibernetske varnosti, da se zagotovi ustrezna zaščita podatkov posameznikov.

In končno, upravljavec je odgovoren za skladnost. To pomeni, da je odgovoren in mora biti sposoben dokazati skladnost z zgoraj navedenimi načeli.

Več informacij:

• Osnove varstva podatkov

Osebnih podatkov ne morete shraniti za vedno.

Praviloma se lahko osebni podatki hranijo le toliko časa, kolikor je potrebno glede na namene, za katere se obdelujejo.

V nekaterih primerih se lahko obdobje hrambe določi s posebnimi zakoni, na primer, delovni predpisi določajo obdobje hrambe za plačilne liste.

Organizacije bi morale vzpostaviti politike hrambe, da bi zagotovile, da se osebni podatki ne hranijo dlje, kot je potrebno. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti podatki niso več potrebni za namen, za katerega so bili obdelani.

Več informacij:

• Osnove varstva podatkov

Na splošno bi morala vsaka organizacija voditi evidenco o svojih dejavnostih obdelave. To je popis vseh postopkov obdelave in vam lahko pomaga pri pravilnih predpostavkah o svojih odgovornostih v skladu s Splošno uredbo o varstvu podatkov in morebitnih tveganjih.

Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:

• namen obdelave (npr. zvestoba strank);
• kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
• kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
• kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP),
• kjer je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja),
• kjer je mogoče, splošen opis varnostnih ukrepov.

Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije.

Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.

Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatke, obdelane za enkratne dogodke, kot je odprtje trgovine).

Več informacij:

• Bodite skladni s predpisi

Pooblaščene osebe za varstvo podatkov lahko opravljajo druge naloge v organizaciji, vendar to ne sme povzročiti nasprotja interesov. To pomeni, da pooblaščena oseba za varstvo podatkov ne sme imeti položaja, v katerem določi namene in sredstva dejavnosti obdelave. Nasprotujoče si funkcije vključujejo predvsem vodstvene položaje (izvršni direktor, operativni direktor, finančni direktor, vodja kadrovske službe, vodja IT, generalni direktor), lahko pa vključujejo tudi druge funkcije, če vodijo do določitve namenov in sredstev obdelave.

Pooblaščena oseba za varstvo podatkov mora imeti možnost, da svoje dolžnosti in naloge opravlja neodvisno. To pomeni, da vaša organizacija:

• pooblaščeni osebi za varstvo podatkov ne sme dajati navodil v zvezi z opravljanjem njenih nalog;
• ne sme kaznovati ali razrešiti pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Kršitev varnosti osebnih podatkov je kršitev varnosti, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov.

• Če kršitev varstva podatkov pomeni tveganje za zadevne posameznike, jo morate v 72 urah prijaviti pristojnemu organu za varstvo podatkov.
• Če je verjetno, da bo kršitev povzročila veliko tveganje za posameznike, morate to kršitev brez nepotrebnega odlašanja sporočiti tudi zadevnim posameznikom.

V vsakem primeru morate za vse kršitve – tudi tiste, ki niso priglašene organu za varstvo podatkov – zabeležiti vsaj osnovne podrobnosti o kršitvi, njeno oceno, njene učinke in sprejete ukrepe.

Več informacij:

• Kršitve varstva podatkov

Splošna uredba o varstvu podatkov predvideva posebne pravice posameznikov, ki jih je treba spoštovati. To lahko storite tako, da:

• obveščate posameznike, katerih podatke obdelujete, o vaših postopkih obdelave in namenih obdelave, ko zbirate njihove podatke, na primer z izjavo o zasebnosti na vaši spletni strani;
• z odzivanjem na zahteve posameznikov za uveljavljanje njihovih pravic, kot so zahteve za dostop, popravek, ugovor, izbris ali prenosljivost.

Za organizacije, ki so pregledne glede uporabe osebnih podatkov in ki spoštujejo pravice posameznikov, je manj verjetno, da bodo predmet pritožb.

Več informacij:

• Spoštujte pravice posameznikov

EOVP redno objavlja sporočila za javnost, novice, bloge in druge vsebine na spletnem mestu EOVP in na kanalih družbenih medijev (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) da skupnost za varstvo podatkov in širšo javnost obvešča o svojem delu.

Na spletišču EOVP sta tudi dva vira RSS, na katera se lahko naročite za samodejne novosti glede novic EOVP in najnovejših publikacij EOVP.

Splošna uredba o varstvu podatkov vzpostavlja usklajen sklop pravil, ki se uporabljajo za vso obdelavo osebnih podatkov s strani organizacij (javnih ali zasebnih, ne glede na njihovo velikost) s sedežem v Evropskem gospodarskem prostoru (EGP) ali za posameznike v EU. Glavni cilj Splošne uredbe o varstvu podatkov je zagotoviti, da so osebni podatki povsod v EGP deležni enakih visokih standardov varstva, s čimer se poveča pravna varnost za posameznike in organizacije, ki obdelujejo podatke, ter zagotavlja visoko stopnjo varstva posameznikov.

Uredba je začela veljati 24. maja 2016 in se uporablja od 25. maja 2018.

Da, Splošna uredba o varstvu podatkov se uporablja, če so osebni podatki vsebovani ali naj bi bili vsebovani v zbirki podatkov. To pomeni, da se Splošna uredba o varstvu podatkov uporablja tudi za papirne zapise in ne samo za avtomatizirano obdelavo osebnih podatkov.

Več informacij:

• Osnove varstva podatkov

Kadar obstajata dva ali več upravljavcev, ki skupaj določijo namen in sredstva obdelave, se štejejo za skupne upravljavce. Skupaj se odločijo za obdelavo osebnih podatkov za skupni namen. Skupno upravljanje je lahko v več oblikah, sodelovanje različnih upravljavcev pa je lahko neenako. Skupni upravljavci morajo zato določiti svoje odgovornosti za skladnost s Splošno uredbo o varstvu podatkov.

Pomembno je opozoriti, da skupno upravljanje vodi do skupne odgovornosti za dejavnosti obdelave.

• Primer skupnega upravljanja: Podjetji A in B sta lansirali izdelek z blagovno znamko in želita organizirati dogodek za promocijo tega izdelka. V ta namen sta se odločili za izmenjavo podatkov iz svojih zbirk podatkov o strankah in potencialnih strankah, da bi se na tej podlagi odločili o seznamu povabljencev na dogodek. Dogovorita se tudi o načinih pošiljanja vabil na dogodek, načinih zbiranja povratnih informacij med dogodkom in nadaljnjih trženjskih akcijah. Družbi A in B se lahko štejeta za skupna upravljavca za obdelavo osebnih podatkov, povezanih z organizacijo promocijskega dogodka, saj skupaj odločata o skupno opredeljenem namenu in bistvenih sredstvih obdelave podatkov v tem okviru.

Več informacij:

• Upravljavec ali obdelovalec

Da, vendar boste za to morali najprej določiti pravno podlago za obdelavo tovrstnih osebnih podatkov. Obdelava se lahko na primer šteje za zakoniti interes za vašo organizacijo. Pri obdelavi osebnih podatkov na podlagi zakonitega interesa je vedno treba opraviti test tehtanja, da se ugotovi, ali vaši zakoniti interesi prevladajo nad pravicami posameznikov, zlasti če gre za otroke.

Druga možna pravna podlaga za takšno obdelavo bi lahko bila privolitev. V vsakem primeru je treba posameznike vedno vnaprej obvestiti, da se dogodek fotografira ali snema.

Več informacij:

• Obdelujte osebne podatke zakonito

Privolitev bi dejansko lahko bila veljavna pravna podlaga za hrambo življenjepisov kandidatov za zaposlitev. Druga možna pravna podlaga bi lahko bil zakonit interes. V tem primeru bi morali opraviti test tehtanja, da dokažete, da zakoniti interesi vaše organizacije prevladajo nad pravicami kandidatov.

V vsakem primeru boste morali kandidate obvestiti, da nameravate shraniti njihove podatke in za katere namene.

Več informacij:

• Obdelujte osebne podatke zakonito

Obdelava osebnih podatkov je dovoljena, če za to obstaja pravna podlaga. Poleg svobodne, specifične, informirane in nedvoumne privolitve se lahko uporabijo tudi druge pravne podlage za obdelavo.

Z drugimi besedami, privolitev je potrebna, kadar se ne uporablja nobena od drugih pravnih podlag.

 

Več informacij:

• Obdelujte osebne podatke zakonito

Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.

Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi