Varstvo podatkov v okviru splošne uredbe o varstvu podatkov
Splošna uredba o varstvu podatkov natančno opredeli zahteve za podjetja in organizacije glede zbiranja, shranjevanja in upravljanja osebnih podatkov. Velja tako za evropske organizacije, ki obdelujejo osebne podatke posameznikov v EU, kot za organizacije zunaj EU, ki svoje storitve ponujajo posameznikom v EU.
Kdaj se uporablja splošna uredba o varstvu podatkov
Splošna uredba se uporablja, kadar:
- podjetje s sedežem v EU obdeluje osebne podatke, ne glede na to, kje poteka dejanska obdelava podatkov
- podjetje s sedežem zunaj EU obdeluje osebne podatke posameznikov v EU, ki jim ponuja blago ali storitve, ali spremlja vedenjske navade posameznikov v EU
Podjetja s sedežem zunaj EU, ki obdelujejo podatke državljanov EU, morajo imenovati zastopnika v EU.
Kdaj se splošna uredba o varstvu podatkov ne uporablja?
Splošna uredba se ne uporablja, kadar:
- posameznik, čigar osebni podatki se obdelujejo, je mrtev
- posameznik, čigar osebni podatki se obdelujejo, je pravna oseba
- oseba, ki obdeluje podatke, tega ne opravlja za svoje gospodarske, poslovne ali poklicne namene
Kaj so osebni podatki?
Osebni podatki so vse informacije o določeni identificirani osebi ali osebi, ki jo je mogoče identificirati, tj. osebi, na katero se nanašajo podatki. Osebni podatki so:
- ime in priimek
- naslov
- številka osebne izkaznice/potnega lista
- osebni dohodek
- kulturni profil
- naslov internetnega protokola (IP)
- podatki, ki jih hranijo bolnišnice in zdravniki (in ki osebo identificirajo zgolj za zdravstvene namene)
Posebne kategorije podatkov
Ne smejo se obdelovati osebni podatki, ki se nanašajo na:
- rasno in etnično pripadnost
- spolno usmerjenost
- politično prepričanje
- verski in filozofski nazor
- sindikalno članstvo
- genetski podatki, biometrični podatki in podatki v zvezi z zdravjem, razen v posebnih primerih (npr. dobili ste izrecno dovoljenje posameznika; obdelava je potrebna zaradi velikega javnega interesa, na podlagi nacionalnega predpisa oz. predpisa EU)
- kazenske obsodbe in prekrške, razen kadar to dovoljuje nacionalni predpis oz. predpis EU
Kdo obdeluje osebne podatke
Podatki lahko med obdelavo prehajajo med različnimi podjetji in organizacijami, ki sodijo v dva različna osnovna profila:
- upravljavec podatkov: odloča o namenu in načinu obdelave osebnih podatkov
- obdelovalec podatkov: hrani in obdeluje podatke v imenu upravljavca podatkov
Kdo nadzoruje obdelavo osebnih podatkov v podjetju
Uradna oseba za varstvo podatkov – če jo podjetje imenuje – je pristojna za spremljanje obdelave osebnih podatkov ter za seznanjanje osebja, ki obdeluje osebne podatke, z njihovimi dolžnostmi. Uradna oseba sodeluje z organom za varstvo podatkov in je kontaktna točka za organ in posameznike.
Kdaj mora podjetje imenovati uradno osebo za varstvo podatkov
Uradno osebo za varstvo podatkov morate imenovati, kadar:
- redno in sistematično spremljate vedenje posameznikov ali obdelujete posebne kategorije podatkov
- obdelava osebnih podatkov je osnovna poslovna dejavnost
- gre za obsežno obdelavo osebnih podatkov
Če na primer obdelujete osebne podatke, da bi na podlagi vedenja posameznikov na spletu pripravili ciljno usmerjene oglase prek iskalnikov, potem morate imenovati uradno osebo za varstvo podatkov. Če pa svojim strankam pošiljate promocijsko gradivo enkrat na leto, potem uradna oseba ni potrebna. In podobno, zdravnik, ki zbira in hrani podatke o zdravju svojih pacientov, uradne osebe za varstvo podatkov verjetno ne potrebuje. Toda če obdelujete genetske in zdravstvene podatke posameznikov za bolnišnico, potem je uradna oseba obvezna.
Za uradno osebo za varstvo podatkov lahko imenujete zaposlenega v svoji organizaciji ali zunanjega izvajalca na podlagi podjemne pogodbe. Uradna oseba je lahko posameznik ali služba.
Obdelava podatkov za drugo podjetje
Upravljavec podatkov lahko uporabi samo tistega obdelovalca podatkov, ki lahko ponudi zadostna jamstva. Ta jamstva morajo biti navedena v pisni pogodbi, ki ju skleneta. Pogodba mora vsebovati tudi vrsto zakonsko določenih obveznih določb, npr. da obdelovalec podatkov obdeluje osebne podatke, samo kadar mu to naroči upravljavec podatkov.
Prenos podatkov iz EU
Splošna uredba o varstvu podatkov velja tudi pri prenosu podatkov iz EU. Če bo podjetje izvozilo podatke v tujino, bo moralo upoštevati eno naslednjih določb:
- varstvo podatkov v državi zunaj EU velja v EU za zadostno
- podjetje zagotovi ustrezne pravne varovalke, denimo vključitev posebnih klavzul v sklenjeno pogodbo z uvoznikom podatkov iz države zunaj EU
- podjetje ima posebne razloge za prenos podatkov (odstopanja), denimo soglasje posameznika, na katerega se nanašajo podatki
Kdaj je obdelava podatkov dovoljena
Pravila EU o varstvu podatkov določajo, da je treba podatke obdelati pošteno in zakonito in za opredeljen in legitimen namen ter obdelati samo podatke, ki so potrebni za ta namen. Pri obdelavi osebnih podatkov morate izpolniti enega naslednjih pogojev:
- imate soglasje zadevnega posameznika
- osebne podatke potrebujete, da izpolnite pogodbeno obveznost do posameznika
- osebne podatke potrebujete, da izpolnite zakonsko obveznost
- osebne podatke potrebujete, da obvarujete življenjski interes posameznika
- osebne podatke obdelujete, da opravite nalogo v javnem interesu
- delujete v legitimnem interesu svojega podjetja, vendar samo če to ne prizadene temeljnih pravic in svoboščin posameznika, čigar podatke obdelujete; če pravice posameznika prevladajo nad interesi podjetja, osebnih podatkov ne smete obdelati
Privolitev za obdelavo osebnih podatkov – soglasje
Splošna uredba o varstvu podatkov uvaja stroga pravila glede obdelave podatkov na podlagi soglasja posameznika. Namen teh pravil je zagotoviti, da posameznik razume, kaj njegovo soglasje pomeni. Soglasje mora torej dati prostovoljno in na podlagi informacij ter kot specifičen in nedvoumen odgovor na jasen in razumljiv zahtevek. Soglasje mora biti v obliki pritrditve, denimo z odkljukanjem okenca na spletu ali podpisom papirnega obrazca.
Obdelava osebnih podatkov na podlagi soglasja mora biti samo za namene, za katere je soglasje dano. Posameznik mora imeti tudi možnost, da soglasje prekliče.
Transparentnost obdelave podatkov
Posameznikom morate dati jasne informacije o tem, kdo obdeluje njihove osebne podatke in zakaj. Obvezne informacije so:
- kdo ste
- zakaj obdelujete osebne podatke
- pravna podlaga
- kdo prejme podatke (če relevantno)
V nekaterih primerih je treba navesti tudi:
- kontaktne podatke uradne osebe za varstvo podatkov, kadar ta obstaja
- legitimni interes podjetja, kadar je ta pravna podlaga za obdelavo podatkov
- ukrepe, ki veljajo za prenos podatkov v države zunaj EU
- trajanje hrambe podatkov
- pravice posameznika do varstva podatkov (npr. pravica do dostopa, popravka, izbrisa, omejitve, prenosljivosti podatkov, ugovora itd.)
- kako preklicati soglasje (kadar je soglasje pravna podlaga za obdelavo podatkov)
- zakonsko ali pogodbeno obveznost, zaradi katere je treba zbirati podatke
- pri odločanju na podlagi avtomatizirane obdelave podatkov – informacije o logiki, pomenu in posledicah takšne odločitve
Navedene informacije morajo biti jasne in razumljive.
Posebna pravila glede otrok
Kadar zbirate podatke o otrocih na podlagi soglasja, na primer na družbenih omrežjih ali straneh za snemanje glasbe in iger, morate najprej pridobiti soglasje staršev, tako da staršem ali skrbniku pošljete obvestilo. Starost, pri kateri še govorimo o otroku, se razlikuje po državah, a je navadno 13 do 16 let.
Pravica do dostopa do podatkov in njihove prenosljivosti
Posameznikom morate zagotoviti brezplačen dostop do osebnih podatkov. Na zahtevo morate posamezniku:
- povedati, ali obdelujete njegove osebne podatke
- pojasniti obdelavo podatkov (namen obdelave, katere podatke obdelujete, kdo so prejemniki podatkov itd.)
- dati kopijo obdelanih osebnih podatkov (v ustrezni obliki)
Kadar obdelava podatkov temelji na soglasju ali pogodbi, ima posameznik tudi pravico zahtevati, da njegove podatke pošljete njemu osebno ali prenesete na drugo podjeje. To imenujemo pravica do prenosljivosti podatkov. Podatki morajo biti v splošno rabljeni in strojno berljivi obliki.
Pravica do popravka podatkov in pravica do ugovora
Če posameznik meni, da so njegovi podatki nepravilni, nepopolni ali netočni, ima pravico zahtevati, da jih čim prej popravite ali dopolnite.
O spremembi ali izbrisu podatkov morate obvestiti vse prejemnike teh podatkov. Če ste drugim sporočili podatke, ki so nepravilni, jih boste verjetno morali o tem obvestiti (razen če bi to terjalo nesorazmeren trud).
Posameznik lahko tudi vedno nasprotuje obdelavi svojih osebnih podatkov, kadar podjetje obdeluje podatke zaradi svojega legitimnega interesa ali naloge v javnem interesu. Obdelavo podatkov morate prekiniti, razen če vaš legitimni interes prevlada nad interesom posameznika.
Med postopkom ugotavljanja, ali prevladuje legitimni interes podjetja ali interes posameznika, lahko posameznik zahteva omejitev obdelave svojih osebnih podatkov. Toda kadar gre za neposredno oglaševanje, mora podjetje na zahtevo posameznika vedno ustaviti obdelavo njegovih osebnih podatkov.
Pravica do izbrisa (pravica do pozabe)
V nekaterih okoliščinah lahko posameznik upravljavca podatkov zaprosi za izbris svojih osebnih podatkov, na primer kadar osebni podatki niso več potrebni za izpolnitev namena zbiranja. Podjetje podatkov ni dolžno izbrisati v naslednjih primerih:
- obdelava podatkov je potrebna zaradi spoštovanja svobode govora in obveščanja
- hramba osebnih podatkov je nujna za izpolnitev zakonske obveznosti
- hramba podatkov je nujna zaradi drugih javnih interesov, na primer javnega zdravja, znanstvenih in zgodovinskih raziskav
- hramba osebnih podatkov je nujna za uveljavitev pravnega zahtevka
Avtomatizirano sprejemanje odločitev in oblikovanje profilov
Posameznik ima pravico zavrniti odločitev, ki temelji izključno na avtomatizirani obdelavi podatkov. Pri tem veljajo določene izjeme, denimo če je posameznik izrecno soglašal z avtomatizirano obdelavo podatkov. Če avtomatizirano odločanje ne temelji na pravni podlagi, mora podjetje:
- obvestiti posameznika o avtomatiziranem sprejemanju odločitev
- spoštovati pravico posameznika, da zahteva revizijo avtomatizirane odločitve
- dati posamezniku možnost izpodbijanja avtomatizirane odločitve
Če na primer banka o posojilu posamezniku odloča na podlagi avtomatizirane obdelave podatkov, mora posameznika o tem obvestiti in mu omogočiti, da odločitev izpodbija oziroma zahteva, da odločitev pregleda človek.
Kršitve varstva osebnih podatkov – notificiranje in obveščanje
O kršitvi govorimo, kadar se osebni podatki, za katere ste odgovorni, razkrijejo po naključju ali nezakonito nepooblaščenim prejemnikom ali so začasno nedostopni ali so spremenjeni.
V primeru kršitve in kadar ta ogroža posameznikove pravice in svoboščine, mora podjetje v 72 urah od seznanitve s kršitvijo o tem obvestiti organ za varstvo podatkov.
Glede na to, kako veliko je tveganje zaradi kršitve varstva podatkov, mora podjetje o njej obvestiti tudi vse zadevne posameznike.
Ukrepanje ob zahtevkih posameznikov
Če vaše podjetje prejme zahtevek posameznika, ki uveljavlja pravice do varstva svojih osebnih podatkov, morate na zahtevek odgovoriti čim prej in najpozneje v enem mesecu od prejema zahtevka. Pri zahtevnih ali večkratnih zahtevkih se ta čas lahko podaljša za dva meseca, vendar je treba posameznika o tem obvestiti. Reševanje zahtevkov je brezplačno.
Če zahtevek zavrnete, morate posameznika seznaniti z razlogi za to odločitev in z njegovo pravico do pritožbe pri organu za varstvo podatkov.
Ocene učinka v zvezi z varstvom podatkov
Ocena učinka v zvezi z varstvom podatkov je obvezna, kadar nameravana obdelava podatkov pomeni veliko tveganje za pravice in svoboščine posameznikov, na primer pri uporabi novih tehnologij.
O velikem tveganju govorimo pri:
- ocenjevanju posameznikov na podlagi avtomatizirane obdelave podatkov in oblikovanja profilov
- obsežnem spremljanju javno dostopnega območja (npr. sistem CCTV)
- pri obsežnem obdelovanju posebnih kategorij podatkov (npr. zdravstvenih) in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški
Opomba: organi za varstvo podatkov lahko kot zelo tvegano opredelijo tudi obdelavo drugih kategorij podatkov.
Če ukrepi, ki izhajajo iz ocene učinka, ne zadoščajo za odstranitev vseh opredeljenih velikih tveganj, se je treba pred nameravano obdelavo podatkov posvetovati z organom za varstvo podatkov.
Vodenje evidence
Vaše podjetje mora imeti dokaz, da ravna v skladu s splošno uredbo o varstvu podatkov in izpolnjuje vse relevantne obveznosti, predvsem na zahtevo ali ob inšpekciji organa za varstvo podatkov
Zato je najbolje imeti natančno evidenco z naslednjimi podatki:
- ime in kontaktni podatki vašega podjetja, ki obdeluje podatke
- razlogi za obdelavo osebnih podatkov
- opis kategorij posameznikov, ki so dali osebne podatke
- kategorije organizacij, ki prejmejo/uporabljajo osebne podatke
- prenos osebnih podatkov drugi državi ali mednarodni organizaciji
- obdobje hrambe osebnih podatkov
- opis varnostnih ukrepov pri obdelavi osebnih podatkov
Vaše podjetje mora imeti – in redno posodabljati – tudi pisne postopke in smernice obdelave podatkov in z njimi seznaniti zaposlene.
Opozorilo
Malim podjetjem ( MSP en ) ali mikro podjetjem ni treba voditi evidenc o obdelavi podatkov, če:
- podatkov ne obdelujejo redno
- obdelava podatkov ne vpliva na pravice in svoboščine zadevnih posameznikov
- obdelava ne zadeva občutljivih podatkov ali kazenskih evidenc
Vgrajeno in privzeto varstvo podatkov
Vgrajeno varstvo podatkov pomeni, da mora podjetje upoštevati ukrepe za varstvo podatkov že na začetku načrtovanja novega načina obdelave podatkov. V skladu s tem načelom mora upravljavec podatkov z vsemi tehničnimi in organizacijskimi ukrepi zagotoviti varstvo podatkov in zavarovati pravice posameznikov. Eden takih ukrepov je na primer psevdonimizacija podatkov.
Privzeto varstvo podatkov pomeni, da mora podjetje za privzeto izbrati tisto nastavitev, ki najbolj varuje zasebnost posameznika. Če sta na primer možni dve nastavitvi za varstvo zasebnosti, od katerih ena preprečuje drugim osebam dostop do osebnih podatkov, je treba za privzeto uporabiti to nastavitev.
Kršitve določb in kazni
Kazen za določene kršitve določb splošne uredbe o varstvu podatkov je lahko visoka, in sicer globa v višini do 20 milijonov evrov oziroma 4 % globalnega prometa podjetja. Organ za varstvo podatkov lahko naloži še druge popravljalne ukrepe, denimo prepoved obdelovanja osebnih podatkov.