Življenje in potovanje
Nazadnje pregledano: 26/05/2020

Varstvo podatkov v okviru splošne uredbe o varstvu podatkov

Splošna uredba o varstvu podatkov natančno opredeli zahteve za podjetja in organizacije glede zbiranja, shranjevanja in upravljanja osebnih podatkov. Velja tako za evropske organizacije, ki obdelujejo osebne podatke posameznikov v EU (V tem primeru 27 držav članic EU in Združeno kraljestvo (do konca prehodnega obdobja) ter Islandija, Lihtenštajn in Norveška), kot za organizacije zunaj EU, ki svoje storitve ponujajo posameznikom v EU.

Kdaj se uporablja splošna uredba o varstvu podatkov

Splošna uredba se uporablja, kadar:

Podjetja s sedežem zunaj EU, ki obdelujejo podatke državljanov EU, morajo imenovati zastopnika v EU.

Kdaj se splošna uredba o varstvu podatkov ne uporablja?

Splošna uredba se ne uporablja, kadar:

Kaj so osebni podatki?

Osebni podatki so vse informacije o določeni identificirani osebi ali osebi, ki jo je mogoče identificirati, tj. osebi, na katero se nanašajo podatki. Osebni podatki so:

Posebne kategorije podatkov

Ne smejo se obdelovati osebni podatki, ki se nanašajo na:

Kdo obdeluje osebne podatke

Podatki lahko med obdelavo prehajajo med različnimi podjetji in organizacijami, ki sodijo v dva različna osnovna profila:

Kdo nadzoruje obdelavo osebnih podatkov v podjetju

Uradna oseba za varstvo podatkov – če jo podjetje imenuje – je pristojna za spremljanje obdelave osebnih podatkov ter za seznanjanje osebja, ki obdeluje osebne podatke, z njihovimi dolžnostmi. Uradna oseba sodeluje z organom za varstvo podatkov in je kontaktna točka za organ in posameznike.

Kdaj mora podjetje imenovati uradno osebo za varstvo podatkov

Uradno osebo za varstvo podatkov morate imenovati, kadar:

Če na primer obdelujete osebne podatke, da bi na podlagi vedenja posameznikov na spletu pripravili ciljno usmerjene oglase prek iskalnikov, potem morate imenovati uradno osebo za varstvo podatkov. Če pa svojim strankam pošiljate promocijsko gradivo enkrat na leto, potem uradna oseba ni potrebna. In podobno, zdravnik, ki zbira in hrani podatke o zdravju svojih pacientov, uradne osebe za varstvo podatkov verjetno ne potrebuje. Toda če obdelujete genetske in zdravstvene podatke posameznikov za bolnišnico, potem je uradna oseba obvezna.

Za uradno osebo za varstvo podatkov lahko imenujete zaposlenega v svoji organizaciji ali zunanjega izvajalca na podlagi podjemne pogodbe. Uradna oseba je lahko posameznik ali služba.

Obdelava podatkov za drugo podjetje

Upravljavec podatkov lahko uporabi samo tistega obdelovalca podatkov, ki lahko ponudi zadostna jamstva. Ta jamstva morajo biti navedena v pisni pogodbi, ki ju skleneta. Pogodba mora vsebovati tudi vrsto zakonsko določenih obveznih določb, npr. da obdelovalec podatkov obdeluje osebne podatke, samo kadar mu to naroči upravljavec podatkov.

Prenos podatkov iz EU

Splošna uredba o varstvu podatkov velja tudi pri prenosu podatkov iz EU (V tem primeru 27 držav članic EU in Združeno kraljestvo (do konca prehodnega obdobja) ter Islandija, Lihtenštajn in Norveška). Če bo podjetje izvozilo podatke v tujino, bo moralo upoštevati eno naslednjih določb:

Kdaj je obdelava podatkov dovoljena

Pravila EU o varstvu podatkov določajo, da je treba podatke obdelati pošteno in zakonito in za opredeljen in legitimen namen ter obdelati samo podatke, ki so potrebni za ta namen. Pri obdelavi osebnih podatkov morate izpolniti enega naslednjih pogojev:

Privolitev za obdelavo osebnih podatkov – soglasje

Splošna uredba o varstvu podatkov uvaja stroga pravila glede obdelave podatkov na podlagi soglasja posameznika. Namen teh pravil je zagotoviti, da posameznik razume, kaj njegovo soglasje pomeni. Soglasje mora torej dati prostovoljno in na podlagi informacij ter kot specifičen in nedvoumen odgovor na jasen in razumljiv zahtevek. Soglasje mora biti v obliki pritrditve, denimo z odkljukanjem okenca na spletu ali podpisom papirnega obrazca.

Obdelava osebnih podatkov na podlagi soglasja mora biti samo za namene, za katere je soglasje dano. Posameznik mora imeti tudi možnost, da soglasje prekliče.

Transparentnost obdelave podatkov

Posameznikom morate dati jasne informacije o tem, kdo obdeluje njihove osebne podatke in zakaj. Obvezne informacije so:

V nekaterih primerih je treba navesti tudi:

Navedene informacije morajo biti jasne in razumljive.

Posebna pravila glede otrok

Kadar zbirate podatke o otrocih na podlagi soglasja, na primer na družbenih omrežjih ali straneh za snemanje glasbe in iger, morate najprej pridobiti soglasje staršev, tako da staršem ali skrbniku pošljete obvestilo. Starost, pri kateri še govorimo o otroku, se razlikuje po državah, a je navadno 13 do 16 let.

Pravica do dostopa do podatkov in njihove prenosljivosti

Posameznikom morate zagotoviti brezplačen dostop do osebnih podatkov. Na zahtevo morate posamezniku:

Kadar obdelava podatkov temelji na soglasju ali pogodbi, ima posameznik tudi pravico zahtevati, da njegove podatke pošljete njemu osebno ali prenesete na drugo podjeje. To imenujemo pravica do prenosljivosti podatkov. Podatki morajo biti v splošno rabljeni in strojno berljivi obliki.

Pravica do popravka podatkov in pravica do ugovora

Če posameznik meni, da so njegovi podatki nepravilni, nepopolni ali netočni, ima pravico zahtevati, da jih čim prej popravite ali dopolnite.

O spremembi ali izbrisu podatkov morate obvestiti vse prejemnike teh podatkov. Če ste drugim sporočili podatke, ki so nepravilni, jih boste verjetno morali o tem obvestiti (razen če bi to terjalo nesorazmeren trud).

Posameznik lahko tudi vedno nasprotuje obdelavi svojih osebnih podatkov, kadar podjetje obdeluje podatke zaradi svojega legitimnega interesa ali naloge v javnem interesu. Obdelavo podatkov morate prekiniti, razen če vaš legitimni interes prevlada nad interesom posameznika.

Med postopkom ugotavljanja, ali prevladuje legitimni interes podjetja ali interes posameznika, lahko posameznik zahteva omejitev obdelave svojih osebnih podatkov. Toda kadar gre za neposredno oglaševanje, mora podjetje na zahtevo posameznika vedno ustaviti obdelavo njegovih osebnih podatkov.

Pravica do izbrisa (pravica do pozabe)

V nekaterih okoliščinah lahko posameznik upravljavca podatkov zaprosi za izbris svojih osebnih podatkov, na primer kadar osebni podatki niso več potrebni za izpolnitev namena zbiranja. Podjetje podatkov ni dolžno izbrisati v naslednjih primerih:

Avtomatizirano sprejemanje odločitev in oblikovanje profilov

Posameznik ima pravico zavrniti odločitev, ki temelji izključno na avtomatizirani obdelavi podatkov. Pri tem veljajo določene izjeme, denimo če je posameznik izrecno soglašal z avtomatizirano obdelavo podatkov. Če avtomatizirano odločanje ne temelji na pravni podlagi, mora podjetje:

Če na primer banka o posojilu posamezniku odloča na podlagi avtomatizirane obdelave podatkov, mora posameznika o tem obvestiti in mu omogočiti, da odločitev izpodbija oziroma zahteva, da odločitev pregleda človek.

Kršitve varstva osebnih podatkov – notificiranje in obveščanje

O kršitvi govorimo, kadar se osebni podatki, za katere ste odgovorni, razkrijejo po naključju ali nezakonito nepooblaščenim prejemnikom ali so začasno nedostopni ali so spremenjeni.

V primeru kršitve in kadar ta ogroža posameznikove pravice in svoboščine, mora podjetje v 72 urah od seznanitve s kršitvijo o tem obvestiti organ za varstvo podatkov.

Glede na to, kako veliko je tveganje zaradi kršitve varstva podatkov, mora podjetje o njej obvestiti tudi vse zadevne posameznike.

Ukrepanje ob zahtevkih posameznikov

Če vaše podjetje prejme zahtevek posameznika, ki uveljavlja pravice do varstva svojih osebnih podatkov, morate na zahtevek odgovoriti čim prej in najpozneje v enem mesecu od prejema zahtevka. Pri zahtevnih ali večkratnih zahtevkih se ta čas lahko podaljša za dva meseca, vendar je treba posameznika o tem obvestiti. Reševanje zahtevkov je brezplačno.

Če zahtevek zavrnete, morate posameznika seznaniti z razlogi za to odločitev in z njegovo pravico do pritožbe pri organu za varstvo podatkov.

Ocene učinka v zvezi z varstvom podatkov

Ocena učinka v zvezi z varstvom podatkov je obvezna, kadar nameravana obdelava podatkov pomeni veliko tveganje za pravice in svoboščine posameznikov, na primer pri uporabi novih tehnologij.

O velikem tveganju govorimo pri:

Opomba: organi za varstvo podatkov lahko kot zelo tvegano opredelijo tudi obdelavo drugih kategorij podatkov.

Če ukrepi, ki izhajajo iz ocene učinka, ne zadoščajo za odstranitev vseh opredeljenih velikih tveganj, se je treba pred nameravano obdelavo podatkov posvetovati z organom za varstvo podatkov.

Vodenje evidence

Vaše podjetje mora imeti dokaz, da ravna v skladu s splošno uredbo o varstvu podatkov in izpolnjuje vse relevantne obveznosti, predvsem na zahtevo ali ob inšpekciji organa za varstvo podatkov

Zato je najbolje imeti natančno evidenco z naslednjimi podatki:

Vaše podjetje mora imeti – in redno posodabljati – tudi pisne postopke in smernice obdelave podatkov in z njimi seznaniti zaposlene.

Malim podjetjem ( MSPen) ali mikro podjetjem ni treba voditi evidenc o obdelavi podatkov, če:

  • podatkov ne obdelujejo redno
  • obdelava podatkov ne vpliva na pravice in svoboščine zadevnih posameznikov
  • obdelava ne zadeva občutljivih podatkov ali kazenskih evidenc

Vgrajeno in privzeto varstvo podatkov

Vgrajeno varstvo podatkov pomeni, da mora podjetje upoštevati ukrepe za varstvo podatkov že na začetku načrtovanja novega načina obdelave podatkov. V skladu s tem načelom mora upravljavec podatkov z vsemi tehničnimi in organizacijskimi ukrepi zagotoviti varstvo podatkov in zavarovati pravice posameznikov. Eden takih ukrepov je na primer psevdonimizacija podatkov.

Privzeto varstvo podatkov pomeni, da mora podjetje za privzeto izbrati tisto nastavitev, ki najbolj varuje zasebnost posameznika. Če sta na primer možni dve nastavitvi za varstvo zasebnosti, od katerih ena preprečuje drugim osebam dostop do osebnih podatkov, je treba za privzeto uporabiti to nastavitev.

Kršitve določb in kazni

Kazen za določene kršitve določb splošne uredbe o varstvu podatkov je lahko visoka, in sicer globa v višini do 20 milijonov evrov oziroma 4 % globalnega prometa podjetja. Organ za varstvo podatkov lahko naloži še druge popravljalne ukrepe, denimo prepoved obdelovanja osebnih podatkov.

Pogosta vprašanja – Varstvo podatkov in zasebnost na spletu

Sorodne teme

Zakonodaja EU

Potrebujete pomoč podporne službe?

Obrnite se na specializirane službe za pomoč

Lokalna pomoč za podjetja

Ali se vaše vprašanje nanaša na poslovanje čez mejo, na primer izvoz ali širitev v drugo državo EU? V tem primeru vam mreža Enterprise Europe Network svetuje brezplačno.

Daj to stran v skupno rabo: