Data protection guide for small business logo
Close menu
Back to EDPB

Pogosto zastavljena vprašanja

Filter on
Filter on topic

Katere so pravne podlage za obdelavo v skladu s Splošno uredbo o varstvu podatkov?

Upravljavci lahko osebne podatke obdelujejo le v eni od naslednjih okoliščin:

  • s privolitvijo zadevnih posameznikov;
  • kadar je obdelava potrebna za izvajanje pogodbe (pogodba med vašo organizacijo in posameznikom);
  • zaradi izpolnjevanja pravne obveznosti v skladu z zakonodajo EU ali nacionalno zakonodajo;
  • kadar je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu v skladu z zakonodajo EU ali nacionalno zakonodajo;
  • zaradi varovanja življenjskih interesov posameznika;
  • za zakonite interese vaše organizacije, razen če nad njimi prevladajo pravice in svoboščine posameznikov.

Poleg tega Splošna uredba o varstvu podatkov določa dodatne pogoje za obdelavo občutljivih podatkov.

Več informacij:

Ali morajo obdelovalci spoštovati tudi Splošno uredbo o varstvu podatkov?

Da, obdelovalci (tj. posamezniki ali organi, ki obdelujejo podatke v imenu upravljavca) imajo obveznosti v skladu s Splošno uredbo o varstvu podatkov. Vendar obstajajo nekatere razlike med odgovornostmi upravljavcev in obdelovalcev.

Obdelovalci morajo upoštevati odgovornosti, ki so določene v pogodbi o pogodbeni obdelavi, v kateri so podrobno opredeljena dejanja obdelave in sredstva za obdelavo osebnih podatkov. Obdelovalec bo moral na primer postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi po navodilih upravljavca. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju Splošne uredbe o varstvu podatkov.

Več informacij:

Kaj je treba vključiti v pogodbo o pogodbeni obdelavi?

Pogodba o pogodbeni obdelavi mora določati, da obdelovalec:

  • obdeluje osebne podatke samo po navodilih upravljavca, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
  • zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
  • zagotavlja varnost obdelave;
  • ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca;
  • pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
  • pomaga upravljavcu pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju ocene učinka v zvezi z varstvom podatkov;
  • po izbiri upravljavca izbriše ali vrne vse osebne podatke upravljavcu po koncu opravljanja storitev;
  • upravljavcu daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
  • omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga pooblasti upravljavec in pri njih sodeluje.

Poleg tega obdelovalec nemudoma obvesti upravljavca, če meni, da navodila kršijo Splošno uredbo o varstvu podatkov ali druge določbe EU ali nacionalne določbe o varstvu podatkov.

Več informacij:

Ali lahko prenesem osebne podatke izven Evropskega gospodarskega prostora (EGP)?

V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike.

Več informacij:

Ali je pooblaščena oseba za varstvo podatkov odgovorna za skladnost s Splošno uredbo o varstvu podatkov?

Pooblaščena oseba za varstvo podatkov ne more biti odgovorna za neupoštevanje Splošne uredbe o varstvu podatkov. Skladnost s Splošno uredbo o varstvu podatkov je odgovornost organizacije, ki je imenovala pooblaščeno osebo za varstvo podatkov.

Več informacij:

Ali lahko namestim videonadzor v poslovnih prostorih, da zaščitim svojo lastnino?

Prvi korak pri namestitvi videonadzora je opredelitev namena oz. namenov za izvajanje videonadzora. Nameni za namestitev videonadzora se lahko razlikujejo, kot so zagotavljanje varnosti prostorov, pomoč pri preprečevanju in odkrivanju kraje in drugih kaznivih dejanj ali zaščita življenj in zdravja zaposlenih zaradi narave dela.

Tako kot pri vsaki obdelavi osebnih podatkov mora imeti snemanje posameznikov pravno podlago v skladu s Splošno uredbo o varstvu podatkov. Privolitev je lahko pravna podlaga za takšno obdelavo podatkov. Vendar je malo verjetno, da bi to veljalo za uporabo videonadzora v večini primerov, saj bo težko pridobiti prostovoljno privolitev vseh, za katere je verjetno, da bodo posneti. Najpogostejša pravna podlaga za tovrstno obdelavo osebnih podatkov je zakoniti interes. Če obdelava temelji na zakonitem interesu, boste morali opraviti test tehtanja, da ugotovite, ali vaši zakoniti interesi prevladajo nad posameznikovimi pravicami.

Posameznike boste morali obvestiti, da so snemani. To je mogoče storiti tako, da se na vidnih mestih namestijo enostavno berljiva obvestila. Poleg tega bi bilo treba na vseh vhodih namestiti obvestilo, ki označuje namen sistema videonadzora in identiteto ter kontaktne podatke upravljavca.

Posameznikom, nad katerimi se izvaja videonadzor, je treba zagotoviti naslednje informacije:

  • identiteto in kontaktne podatke upravljavca;
  • namene obdelave;
  • pravno podlago za obdelavo (če je zakonit interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kdo zasleduje vsak zakoniti interes);
  • kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
  • prejemnike ali kategorije prejemnikov podatkov;
  • varnostne ukrepe glede posnetkov;
  • obdobje hrambe posnetkov;
  • obstoj pravic posameznikov na podlagi Splošne uredbe o varstvu podatkov in pravice do vložitve pritožbe pri nacionalnem organu za varstvo podatkov.

Opomba: slovenska nacionalna zakonodaja glede tega vprašanja določa bolj podrobne zahteve.

Več informacij:

Katere informacije naj posredujem oz. delim s posamezniki?

Splošna uredba o varstvu podatkov posameznikom omogoča nadzor nad obdelavo njihovih osebnih podatkov. Pri tem je ključnega pomena preglednost. To pomeni, da morate posameznike, katerih podatke obdelujete, obvestiti o vaših postopkih obdelave in namenih. Z drugimi besedami, morate pojasniti, kdo obdeluje njihove podatke, pa tudi kako in zakaj. Le če je uporaba osebnih podatkov za vpletene „pregledna“, lahko ocenijo morebitna tveganja in sprejemajo odločitve o svojih osebnih podatkih.

V skladu s Splošno uredbo o varstvu podatkov ste dolžni deliti naslednje informacije s posamezniki:

  • identiteto in kontaktne podatke upravljavca;
  • namene obdelave;
  • pravno podlago za obdelavo (če je zakoniti interes, posebne informacije o tem, kateri zakoniti interesi se nanašajo na določeno obdelavo in kateri subjekt zasleduje vsak zakoniti interes).
  • kontaktne podatke upravljavca;
  • kontaktne podatke pooblaščene osebe za varstvo podatkov (če je imenovana);
  • prejemnike ali kategorije prejemnikov podatkov;
  • Informacije o tem, ali bodo podatki preneseni zunaj Evropskega gospodarskega prostora (EGP) (kjer je ustrezno: obstoj ali neobstoj sklepa o ustreznosti ali sklicevanje na ustrezne zaščitne ukrepe in kako se lahko te informacije dajo na voljo posameznikom, na katere se nanašajo osebni podatki);
  • vrste osebnih podatkov, ki se obdelujejo, kadar podatki niso pridobljeni od posameznika.

Poleg tega Splošna uredba o varstvu podatkov zahteva, da vaša organizacija zagotovi naslednje informacije za zagotovitev poštene in pregledne obdelave:

  • obdobje hrambe ali, če to ni mogoče, merila, ki se uporabljajo za določitev tega obdobja;
  • pravico zahtevati dostop, izbris, popravek, omejitev, ugovor in prenosljivost osebnih podatkov;
  • pravico do vložitve pritožbe pri organu za varstvo podatkov;
  • če je pravna podlaga za obdelavo privolitev: pravico, da kadar koli prekliče privolitev;
  • v primeru avtomatiziranega odločanja ustrezne informacije o osnovni logiki in predvidenih posledicah obdelave za posameznika, na katerega se nanašajo osebni podatki;
  • vir osebnih podatkov (če jih niste prejeli neposredno od zadevnega posameznika);
  • ali je posameznik dolžan posredovati osebne podatke (ali je to zakonska ali pogodbena obveznost) in kakšne so posledice zavrnitve posredovanja podatkov.

Več informacij:

Kaj so piškotki?

Piškotki so majhne datoteke, shranjene v napravi, npr. na računalniku, mobilni napravi ali kateri koli drugi napravi, ki lahko shranjuje informacije. Piškotki služijo številnim pomembnim funkcijam, vključno s pomnjenjem uporabnikov in njihovih prejšnjih interakcij s spletno stranjo. Uporabljajo se lahko za sledenje artiklov v spletni nakupovalni košarici ali za sledenje informacij, ko so podrobnosti vnesene v spletni prijavni obrazec.

Piškotki za preverjanje pristnosti so pomembni tudi za identifikacijo uporabnikov, ko se prijavijo v bančne storitve in druge spletne storitve. Informacije, shranjene v piškotkih, lahko vključujejo osebne podatke, kot so IP naslov, uporabniško ime, edinstveni identifikator ali e-poštni naslov.

Kakšne so sankcije, če moja organizacija ne ravna v skladu s Splošno uredbo o varstvu podatkov ali če moja obdelava krši Splošno uredbo o varstvu podatkov?

Skladnost s Splošno uredbo o varstvu podatkov spremljajo nacionalni organi za varstvo podatkov. Organi za varstvo podatkov lahko po potrebi izvajajo preiskave in naložijo sankcije. Organi za varstvo podatkov imajo na voljo številna orodja, vključno z globami v višini do 20 milijonov EUR ali 4 % svetovnega letnega prometa, kar je višje, opomine ter začasno ali trajno prepoved obdelave.

Kontaktni podatki vseh organov za varstvo podatkov iz EGP so na voljo na spletni strani EOVP: Člani

Več informacij: