by zelenkasti | Maj 19, 2022 | Uncategorized
Welcome to WordPress. This is your first post. Edit or delete it, then start writing!Vaše obveznosti se ne končajo, ko prvič dobite privolitev za obdelavo. Privolitve morate še naprej pregledovati kot del vašega stalnega odnosa s posamezniki.
Vzpostavite sistem za beleženje preklicanih privolitev.
Če vaša trenutna privolitev ne ustreza visokim standardom GDPR ali je slabo dokumentirana, morate pridobiti novo privolitev, skladno z GDPR ali določiti drugo zakonito podlago za obdelavo (in zagotoviti, da je nadaljnja obdelava poštena) ali ustaviti obdelavo.
Privolitev pomeni, da ljudem ponudite resnično izbiro in nadzor nad tem, kako uporabljate njihove podatke. S pravilno uporabo privolitve lahko zgradite zaupanje in izboljšate svoj ugled. Prav tako morate oceniti, ali je primernejša druga zakonska podlaga.
Temeljito preverite vse obrazce za soglasja, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Kjer niso izpolnjeni vsi pogoji Uredbe, boste morali pridobiti ponovne privolitve.
Privolitev mora biti prostovoljna, specifična, informirana in nedvoumna. Vnaprej označena okenca za privolitev ali privolitve, skrite v splošnih pogojih, ne izkazujejo prostovoljne privolitve!
* Vaše zahteve za soglasje naj bodo vidne in ločene od drugih določil in pogojev.
* Izogibajte se temu, da privolitev postane predpogoj storitve.
* Posameznikom omogočite ločeno privolitev v različne namene in vrste obdelave, kjer je to primerno.
* Vodite evidenco o tem, v kaj je posameznik privolil, vključno s tem, kaj ste mu povedali ter kdaj in kako je privolil.
* Povejte posameznikom, da lahko kadar koli prekličejo privolitev in kako to storijo.
GDPR nalaga omejitve pri prenosu osebnih podatkov izven Evropske unije, v tretje države ali mednarodne organizacije.
Te omejitve so vzpostavljene za zagotovitev, da raven zaščite posameznikov, ki jo zagotavlja GDPR, ni ogrožena.
Osebne podatke lahko prenašate izven EU le, če izpolnjujete pogoje za prenos.
GDPR uvaja dolžnost vseh organizacij, da poročajo o določenih vrstah kršitev osebnih podatkov IP in v nekaterih primerih prizadetim posameznikom.
Kršitev osebnih podatkov pomeni kršitev varnosti, ki vodi do naključnega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov.
IP morate obvestiti o kršitvi, razen če ni verjetno, da bi ogrozila pravice in svoboščine posameznikov. Če je verjetno, da bi kršitev povzročila veliko tveganje za pravice in svoboščine posameznikov, morate o tem obvestiti zadevne neposredno in brez nepotrebnega odlašanja.
V vseh primerih morate voditi evidenco o kršitvah osebnih podatkov, ne glede na to, ali je treba obvestiti IP ali ne.
Kršitev, ki jo je treba prijaviti, morate IP prijaviti brez nepotrebnega odlašanja, vendar najpozneje v 72 urah po tem, ko ste z njo seznanjeni.
Zagotoviti morate, da imate vzpostavljen interni postopek poročanja o kršitvah. To bo olajšalo odločanje o tem, ali morate obvestiti IP ali prizadete posameznike.
Glede na kratke časovne okvire za prijavo kršitve je pomembno, da imate vzpostavljene zanesljive postopke za odkrivanje kršitev, preiskave in notranje poročanje.
Upravljavec osebnih podatkov mora na zahtevo posameznika, na katerega se nanašajo osebni podatki, popraviti netočne osebne podatke v zvezi z njim ali izbrisati osebne podatke, za katere posameznik dokaže, da niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani, ne obstaja pravna podlaga za njihovo obdelavo, posameznik ugovarja njihovi obdelavi in ne obstajajo prevladujoči zakoniti razlogi za njihovo obdelavo, so bili zbrani ali obdelani nezakonito, jih je treba izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca, ali so bili zbrani v zvezi s ponudbo storitev informacijske družbe od mladoletne osebe.
Posamezniki lahko vložijo zahtevo ustno ali pisno.
Na zahtevo morate odgovoriti brez odlašanja in najkasneje v enem mesecu od prejema zahteve.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
d) osebni podatki so bili obdelani nezakonito;
e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).
Posamezniki lahko vložijo zahtevo za izbris ustno ali pisno.
Na zahtevo morate odgovoriti brez odlašanja in najkasneje v enem mesecu od prejema zahteve.
Osebne podatke morate obdelovati na način, ki zagotavlja ustrezno varnost. Preden se odločite, katera raven varnosti je prava za vas, morate oceniti tveganja za osebne podatke, ki jih imate, in izbrati varnostne ukrepe, ki ustrezajo vašim potrebam.
Varnost in varnost vaših IT sistemov je lahko zapletena naloga in zahteva čas, vire in (potencialno) strokovno znanje.
Če obdelujete osebne podatke v svojem(-ih) sistemu(-ih), morate prepoznati povezana tveganja in sprejeti ustrezne tehnične in organizacijske ukrepe za zaščito podatkov.
Ukrepi, ki jih izvajate, bi morali ustrezati potrebam vašega podjetja. Ni nujno, da so dragi, morda so celo brezplačni ali že na voljo v sistemih IT, ki jih trenutno imate.
Dobro izhodišče je vzpostaviti in izvajati trdno politiko informacijske varnosti, ki podrobno opisuje vaš pristop k informacijski varnosti, tehnične in organizacijske ukrepe, ki jih boste izvajali, ter vloge in odgovornosti osebja v zvezi z varovanjem informacij.
GDPR zagotavlja zaščitne ukrepe za posameznike pred tveganjem, da se morebitna škodljiva odločitev sprejme brez človekovega posredovanja.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. To se ne uporablja, če je odločitev:
a) nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;
b) dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali
c) utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki. V primerih, navedenih v točkah (a) in (c), upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.
Posamezniki imajo v določenih okoliščinah pravico ugovarjati obdelavi svojih osebnih podatkov. Ali se uporablja, je odvisno od vaših namenov obdelave in vaše zakonite podlage za obdelavo.
Posameznike morate obvestiti o njihovi pravici do ugovora »ob prvi komunikaciji« in jih predstaviti ločeno od drugih informacij o pravicah, ki so jasno navedene v vašem obvestilu o zasebnosti. Posamezniki lahko ugovarjajo ustno ali pisno.
Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Na zahtevo morate odgovoriti brez odlašanja in najkasneje v enem mesecu od prejema zahteve.
Pravica do prenosljivosti podatkov posameznikom omogoča pridobitev in ponovno uporabo svojih osebnih podatkov za lastne namene.
Pravica do prenosljivosti podatkov velja samo:
* za prenose osebnih podatkov, ki jih je posameznik posredoval upravljavcu;
* kadar obdelava temelji na privolitvi posameznika ali za izvedbo pogodbe; in
* kadar se obdelava izvaja z avtomatiziranimi sredstvi. Posamezniki lahko vložijo zahtevo ustno ali pisno.
Na zahtevo morate odgovoriti brez odlašanja in najkasneje v enem mesecu od prejema zahteve.
Osebne podatke morate posredovati v strukturirani, pogosto uporabljeni in strojno berljivi obliki. Primeri ustreznih formatov vključujejo datoteke CSV in XML.
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:
a) posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
b) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
c) upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
d) je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
Posamezniki lahko vložijo zahtevo ustno ali pisno.
Na zahtevo morate odgovoriti brez odlašanja in najkasneje v enem mesecu od prejema zahteve.
Posamezniki imajo pravico pridobiti:
* potrditev, da obdelujete njihove podatke;
* dostop do njihovih osebnih podatkov; in
* druge dodatne informacije – ki jih objavite v Politiki varstva osebnih podatkov/Politiki zasebnosti.
Pravico dostopa do svojih osebnih podatkov posamezniki najpogosteje uveljavljajo na podlagi Splošne uredbe. Splošne uredba v 15. členu določa, da mora upravljavec posamezniku na njegovo zahtevo:
– posredovati potrditev, ali se v zvezi z njim obdelujejo osebni podatki;
– omogočiti vpogled ali posredovati reprodukcijo teh osebnih podatkov, torej zagotoviti dostop do njihove vsebine, in če se osebni podatki posameznika pri upravljavcu res obdelujejo, tudi naslednje informacije:
a) namene obdelave;
b) vrste zadevnih osebnih podatkov;
c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
f) pravico do vložitve pritožbe pri nadzornem organu;
g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Zahtevo je po Splošni uredbi možno zavrniti, če niso izpolnjeni osnovni pogoji za seznanitev (npr. ker ne gre za osebne podatke), če je zahteva očitno neutemeljena ali pretirana ali če so v ustavi, mednarodnih aktih ali področnih zakonih določene posebne izjeme.
Rok za odločitev upravljavca je en mesec od prejema zahteve. Rok se konča s pretekom tistega dneva v naslednjem mesecu glede na mesec vložitve popolne zahteve, ki se po svoji številki ujema z dnem, ko je bila vložena popolna zahteva. Če naslednji mesec nima ustreznega števila dni, se rok izteče zadnji dan v naslednjem mesecu. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo.
Če je zahteva vložena v elektronski obliki, morate podatke posredovati v običajno uporabljeni elektronski obliki.
Otrokom morate zagotoviti enake informacije o zasebnosti kot odraslim. Dobra praksa je, da razložite tudi tveganja, povezana z obdelavo, in zaščitne ukrepe, ki ste jih uvedli.
Vse informacije, namenjene otrokom, morajo biti jedrnate, jasne in napisane v preprostem jeziku, da bodo lahko razumeli, kaj se bo zgodilo z njegovimi osebnimi podatki in kakšne pravice imajo. Biti morajo primerne starosti in predstavljene na primeren način.
Posamezniki morajo vedeti, da zbirate njihove podatke, zakaj jih obdelujete in komu jih posredujete.
Te podatke o zasebnosti morate objaviti na svojem spletnem mestu in v vseh obrazcih, ki jih pošljete posameznikom.
Podatki morajo biti:
* jedrnati, pregledni, razumljivi in lahko dostopni;
* napisani v jasnem in preprostem jeziku, zlasti če so naslovljeni na otroka; in
* brezplačni.
Katere podatke posredujete, je odvisno od tega, ali ste osebne podatke pridobili neposredno od posameznika ali tretje osebe.
Splošna uredba o varstvu osebnih podatkov uvaja institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Uredbe, podjetjem pa zagotovi konkurenčno prednost.
Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo. Pooblaščena oseba naj deluje kot notranji revizor za varstvo osebnih podatkov, njene glavne naloge pa so spremljanje skladnosti z Uredbo, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov. Pooblaščena oseba je kontaktna točka za nadzorni organ in tudi mora biti dostopna posameznikom, katerih osebne podatke obdelujete. Pooblaščena oseba mora biti neodvisna, pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov in imeti aktivno podporo s strani višjega vodstva. Imeti mora strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poznati poslovne procese v podjetju oz. organizaciji.
Zakoniti interes velja le za zasebni sektor. Zakoniti interesi upravljavca ali tretje osebe je lahko dopustna podlaga za obdelavo osebnih podatkov, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Podlaga, ki izhaja iz zakonitih interesov se pogosto izvaja brez aktivnega vpliva posameznikov na samo obdelavo (npr. videonadzor, analitika prometa itd.), zato je še toliko bolj pomembno, da pred tovrstno obdelavo pretehtate, ali bo obdelava pretirano posegla v interes posameznikov. Če se izkaže, da je poseg v pravico posameznikov nesorazmeren glede na zasledovan interes, bo šlo za nezakonito obdelavo osebnih podatkov. Tipični primeri: uporaba zakonito zbranih kontaktov novinarjev za pošiljanje sporočil za javnost.
Kot podjetje/organizacija morate pogosto obdelovati osebne podatke, da lahko izvajate naloge, ki so povezane z vašimi poslovnimi dejavnostmi. Obdelava osebnih podatkov v tem okviru ni nujno utemeljena s pravno obveznostjo ali izvrševanjem pogojev iz pogodbe, sklenjene s posameznikom. Zato se lahko sklicujete na „zakonite interese“, da utemeljite obdelavo podatkov. Ko o osebah zbirate osebne podatke, jih morate o obdelavi obvestiti. Preveriti morate tudi, ali z uveljavljanjem svojih zakonitih interesov ne vplivate resno na pravice in svoboščine teh posameznikov, sicer obdelave podatkov ne boste mogli utemeljiti s svojimi zakonitimi interesi in boste morali poiskati drugo pravno podlago.
Podlago za obdelavo lahko predstavljajo življenjski interesi posameznika, na katerega se nanašajo osebni podatki. Ta zakonska podlaga je po svojem obsegu zelo omejena in na splošno velja le za vprašanja življenja in smrti(npr. nujna medicinska pomoč, ko morate osebne podatke obdelati za zdravstvene namene, vendar posameznik ne more dati soglasja za obdelavo). Malo verjetno je, da bi bila podlaga primerna za zdravstveno oskrbo, ki je načrtovana vnaprej, ali za obdelavo v večjem obsegu.
Ker so zdravstveni podatki ena od posebnih kategorij podatkov, morate določiti tudi pogoj za obdelavo posebne vrste osebnih podatkov po 9. členu GDPR.
Zaposlenim zagotovite smernice, da bodo vedeli, v katerih okoliščinah lahko uporabijo to zakonito podlago.
Za obdelavo osebnih podatkov otrok morate imeti zakonito podlago.
Če uporabite privolitev kot svojo zakonito podlago za obdelavo in otrokom ponujate spletne storitve, bo lahko samo otrok, star 16 let ali več, dal lastno privolitev.
Zato se boste morali razumno potruditi, da preverite, ali je vsak, ki daje svoje soglasje, dovolj star za to.
Za otroke, mlajše od 16 let, morate pridobiti soglasje zakonitega zastopnika.
Vložiti morate razumne napore (z uporabo razpoložljive tehnologije), da preverite, ali je oseba, ki daje privolitev za otroka, tudi njegov zakoniti zastopnik.
Pred obdelavo osebnih podatkov morate opredeliti zakonito podlago za obdelavo.
Za obdelavo je na voljo šest zakonitih podlag. Najprimernejša podlaga je odvisna od vašega namena obdelave in odnosa s posameznikom.
Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki otrok.
Če obdelujete posebne vrste osebnih pdoatkov, morate opredeliti tako zakonito podlago za splošno obdelavo kot dodaten pogoj za obdelavo tovrstnih podatkov. Posameznikom morate dati informacije o tem, kako nameravate obdelovati njihove osebne podatke in kakšna je vaša zakonska podlaga za to.
Ko določite, kje se podatki nahajajo, za kakšen namen jih obdelujete in na kateri pravni podlagi, je treba ugotovitve ustrezno zabeležiti – pripraviti evidence obdelav. Novo načelo odgovornosti zahteva, da ste na zahtevo sposobni izkazati, da poslujete skladno s pravili varstva osebnih podatkov. Skladno poslovanje boste lahko izkazali, če boste imeli pregled nad vsemi obdelavami osebnih podatkov, ki se izvajajo pod vašim nadzorom.
Popis podatkov vam bo pomagal tudi pri izpolnjevanju načela odgovornosti, ki zahteva, da je vaše podjetje zmožno dokazati, da ravnate v skladu z načeli GDPR, na primer z učinkovitimi postopki in navodili za zaposlene.
Če zaposlujete več kot 250 oseb, morate evidentirati VSE svoje dejavnosti obdelave osebnih podatkov.
Evidenca dejavnosti obdelave mora vsebovati: naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov; namene obdelave; opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov; kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah; kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) Uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih; kadar je mogoče, predvidene roke za izbris različnih vrst podatkov; kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) Uredbe.
Organizacije, ki zaposlujete manj kot 250 ljudi, imate omejene obveznosti glede evidentiranja. V tem primeru morate evidentirati le tiste dejavnosti obdelav, ki:
niso občasne (pomislite, kdaj je obdelava osebnih podatkov redna in periodična, v to skupino gotovo sodijo obdelave za potrebo kadrovskih evidenc, redno mesečno obveščanje prek elektronskih novičk itd.); ali predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.
Evidentiranje dejavnosti obdelav osebnih podatkov je pomembno ne le zato, ker gre za zakonsko obveznost, temveč zlasti, ker zagotavlja dobro upravljanje in vam pomaga izkazovati skladnost s Splošno uredbo. Zato pripravite popis vseh osebnih podatkov, ki jih obdelujete v podjetju, neodvisno, ali vaše podjetje zaposluje manj kot 250 zaposlenih in bi imeli omejene obveznosti glede evidentiranja, saj gre za postopek, ki vam močno pomaga pri zagotavljanju odgovornega ravnanja z osebnimi podatki.
Priporočeno je, da ima podjetje opravljeno revizijo celotnega poslovanja v smislu podatkovnih tokov ali vsaj znotraj določenih poslovnih področij, kar lahko opravi oseba s poglobljenim znanjem o poslovnih procesih podjetja.
Da bi v podjetju zagotovili ustrezno varstvo osebnih podatkov, je potrebno najprej preveriti in popisati, katere osebne podatke sploh zbirate in uporabljate. Podatkov namreč ne morete ustrezno varovati, če se sploh ne zavedate obsega podatkov, ki jih obdelujete. Zato je prvi korak do skladnosti z zakonskimi zahtevami popis osebnih podatkov, s katerimi vaše podjetje razpolaga.
Po reviziji vaših podatkov bi morali biti sposobni prepoznati morebitna tveganja in pripraviti načrt za obvladovanje teh tveganj.
Poskrbeti morate, da so nosilci odločanja in ključni zaposleni v vašem podjetju seznanjeni z zakonodajo s področja varstva osebnih podatkov.
Nosilci odločanja in ključni zaposneni bi morali biti zgled in pokazati odgovornost za skladnost in spodbujati pozitivno kulturo v vašem podjetju za varstvo podatkov.
Vodstvo ozavešča vse zaposlene o pomenu izvajanja dobrih praks varstva podatkov. Izvajajo se redno izobraževanje in delavnice za vodstvo in zaposlene.
Splošna uredba o varstvu osebnih podatkov uvaja institut pooblaščene osebe za varstvo podatkov (ang. Data Protection Officer ali DPO), ki naj bi izvajala svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Imenovanje pooblaščene osebe lahko olajša skladnost z določbami Uredbe, podjetjem pa zagotovi konkurenčno prednost.
Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč Uredba določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.
Pooblaščena oseba naj deluje kot notranji revizor za varstvo osebnih podatkov, njene glavne naloge pa so spremljanje skladnosti z Uredbo, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov.
Pooblaščena oseba je kontaktna točka za nadzorni organ in tudi mora biti dostopna posameznikom, katerih osebne podatke obdelujete.
Pooblaščena oseba mora biti neodvisna, pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov in imeti aktivno podporo s strani višjega vodstva.
Imeti mora strokovno znanje o nacionalni in evropski zakonodaji in praksi na področju varstva podatkov ter poznati poslovne procese v podjetju oz. organizaciji.
Uredba v 37. členu določa, da bodo pooblaščeno osebo morali imenovati:
– Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa bo določil ZVOP-2.
– Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.
– Tista podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov, npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ne bo dolžan imenovati pooblaščene osebe.
Uredba daje velik poudarek preventivnim ukrepom v okviru novega temeljnega načela, načela odgovornosti (angl. accountability), ki poudarja in obenem zahteva preventivno in proaktivno ravnanje upravljavcev in obdelovalcev podatkov. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA), kot jih opredeljuje 35. člen Uredbe, predstavljajo enega ključnih konceptov v okviru načela odgovornosti.
Ocene učinkov v zvezi z varstvom osebnih podatkov so orodje za identifikacijo, analizo in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki, do katerih lahko pride pri določenem projektu, sistemu ali uporabi tehnologije.
Upravljavci izvedete oceno učinkov ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov.
Priporočljivo je, da upravljavci izvedete oceno učinkov tudi pri večjih projektih, ki predvidevajo obdelavo osebnih podatkov.
Ocena učinka naj obsega:
Ocena učinkov ni obvezna splošno za vse upravljavce in za vse obdelave osebnih podatkov, temveč takrat, ko obstaja verjetnost, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Uredba v 35. členu določa izvedbo ocene učinkov v primerih:
a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali
c) obsežnega sistematičnega spremljanja javno dostopnega območja.
Podjetja/organizacije se spodbuja, da v čim zgodnejši fazi priprave dejavnosti obdelave izvajajo tehnične in organizacijske ukrepe na način, ki od samega začetka zagotavlja načela varstva zasebnosti in podatkov („vgrajeno varstvo podatkov“).
Podjetja/organizacije morajo pri privzeti obdelavi osebnih podatkov zagotoviti najvišjo raven varstva zasebnosti (npr. obdelujejo se samo potrebni podatki, obdobje hrambe je kratko, dostopnost omejena), da osebni podatki ne bi bili samodejno dostopni nedoločenemu številu posameznikov („privzeto varstvo podatkov“).
Primeri:
Vgrajeno varstvo podatkov: uporaba psevdonimizacije (nadomeščanja osebno določljivega materiala z umetnimi identifikatorji) in šifriranja (kodiranja sporočil, da jih lahko preberejo samo pooblaščene osebe).
Privzeto varstvo podatkov: platforme družbenih medijev je treba spodbujati, da pri oblikovanju nastavitev uporabniških profilov čimbolj upoštevajo zasebnost, na primer tako, da že na samem začetku omejijo dostop do uporabniških profilov, da ne bi bili samodejno dostopni nedoločenemu številu posameznikov.
Določiti morate, kako vi (in kateri koli od vaših obdelovalcev podatkov) obvladujete informacijska tveganja.
Imenovati morate zaposlenega (ali zunanjega izvajalca), ki je odgovoren za upravljanje informacijskih tveganj, usklajevanje postopkov, vzpostavljenih za njihovo ublažitev, ter za beleženje in oceno tveganja informacijskih sredstev.
Če ste ugotovili informacijska tveganja, morate imeti vzpostavljene ustrezne akcijske načrte za ublažitev vseh tveganj.
Kadar obdelavo osebnih podatkov v imenu upravljavca izvaja obdelovalec (ZVOP-1 je uporabljal izraz »pogodbeni obdelovalec«), mora za to obstajati pisna pogodba ali drug ustrezen akt.
Pogodba je potrebna, da obe stranki poznata svoje obveznosti in odgovornosti, ki iz tega izhajajo. Uredba opredeljuje minimalni obseg sestavin, ki jih mora vsebovati pisni dogovor.
Upravljavci so odgovorni za skladnost z Uredbo in imenujejo le tiste obdelovalce, ki lahko zagotavljajo »zadostna jamstva«, da se zadosti zahtevam Uredbe in da se ustrezno varujejo tudi pravice posameznikov.
Obdelovalci lahko ravnajo z osebnimi podatki le na podlagi dokumentiranih navodil upravljavca. Po Uredbi imajo tudi obdelovalci določene neposredne odgovornosti, ki so lahko predmet samostojnih sankcij.
Uredba zahteva, da so pogodbe v pisni obliki, 28. člen pa določa tudi minimalni obseg sestavin pogodbe o pogodbeni obdelavi (po ZVOP-1 je obstajala zahteva, da se v pogodbi opredeli tehnične in organizacijske ukrepe za zavarovanje (varnost) osebnih podatkov).
Zahteve po Uredbi se nanašajo na širši nabor pogodbenih sestavin, ki sledijo zahtevam po zagotavljanju in izkazovanju skladnosti z Uredbo.
Uredba dopušča uporabo standardnih pogodbenih določil, ki jih določi Evropska komisija ali nadzorni organi (npr. Informacijski pooblaščenec).
Upravljavec mora izbrati ustreznega obdelovalca, ki osebne podatke obdeluje skladno z Uredbo. Skladnost pri izbiri se lahko dokaže s tudi tem, da je izbrani obdelovalec pridružen določenemu kodeksu oziroma je pridobil ustrezen certifikat skladnosti obdelave. Kodeksi in certifikati lahko vsebujejo tudi standardna pogodbena določila.
Obdelovalec lahko najame pod-obdelovalca (podizvajalca posameznih obdelav) le s pisnim dovoljenjem upravljavca.
Tako obdelovalec kot upravljavec, sta lahko odgovorna za škodo zaradi kršitve varstva osebnih podatkov, za kršitve pa so predpisane tudi globe.
Namen politike varstva osebnih podatkov (“izjave o zasebnosti”) je seznaniti posameznike, uporabnike storitev, sodelavce, zaposlene ter druge osebe, ki sodelujejo s podjetjem, o namenih, pravnih podlagah, varnostnih ukrepih in pravicah posameznikov glede obdelave osebnih podatkov, ki jih izvaja podjetje.
Temeljno vodilo pri oblikovanju politike varstva osebnih podatkov je, da je ta dovolj razumljiva za posameznike. Da bi se prepričali, ali je vaša politika dovolj razumljiva za povprečnega uporabnika vašega spletnega mesta, se vprašajte, ali bi povprečen uporabnik vašega spletnega mesta iz nje lahko razbral: • Kdo zbira njegove osebne podatke? • Katere osebne podatke in zakaj jih zbira? • Pod kakšnimi pogoji in komu se posredujejo podatki? • Kakšne so posledice zbiranja in obdelave? • Kakšne pravice ima posameznik glede zbranih osebnih podatkov?
Politika vam bo pomagala dosledno obravnavati varstvo podatkov in dokazati odgovornost v skladu z GDPR.
Politika mora jasno določati vaš pristop k varstvu podatkov skupaj z odgovornostmi za izvajanje politike in spremljanje skladnosti. Politika se mora redno posodabljati.
V pomoč pri pripravi so vam lahko Smernice IP: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_za_oblikovanje_izjave_o_varstvu_osebnih_podatkov.pdf