Rosana Lemut Strle (Odvetniška družba Pirc Musar) podrobno predstavlja nekatera ključna področja za zagotavljanje skladnosti z uredbo GDPR. V svoji predstavitvi temeljito obdeluje različna področja, ki jih ureja uredba, in natančno opredeljuje posamezne pojme, ki se v njej pojavljajo.
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov
1. Splošna Uredba o varstvu posameznikov
pri obdelavi osebnih podatkov in o
prostem pretoku takih podatkov
Mag. Rosana Lemut Strle,
Odvetnica v Odvetniški družbi Pirc Musar & partnerji o.p., d.o.o.
CIPP/E, CIPM
2. Reforma evropskega zakonodajnega okvira za
varstvo osebnih podatkov
= del strategije enotnega digitalnega trga EU.
1. Splošna uredba o varstvu podatkov; Uredba 2016/679 Evropskega Parlamenta in
Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in
prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES.
2. Direktiva 2016/680 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu
posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za
namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o
razveljavitvi Okvirnega sklepa Sveta 2008/977/PN.
V Uradnem listu EU objavljeni 4.5.2016. Uredba se začne uporabljati 25.5.2018.
3. Regulacija VOP na nivoju Sveta Evrope in EU
Svet Evrope
1. Konvencija 108- Konvencija o varstvu posameznika glede na avtomatsko
obdelavo osebnih podatkov (28.01.1981; veljavnost 01.10.1985)
EU
1. Direktiva 95/46/ES - Direktiva Evropskega parlamenta in Sveta o
varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku
takih podatkov (24. oktobra 1995; veljavnost 23.11.1995);
2. Uredba 2016/67 – Uredba o varstvu posameznikov pri obdelavi osebnih
podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive
95/46/ES (27. aprila 2016, veljavnost 25.5.2016; uporaba 25.5.2018)
4. Področja uporabe Uredbe
Splošna Uredba o varstvu osebnih podatkov se uporablja za obdelavo osebnih
podatkov v celoti ali delno z avtomatiziranimi sredstvi ali za drugačno obdelavo
kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so
namenjeni oblikovanju zbirke.
* Po Direktivi 95/46/ES (člen 3/I):
Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z
avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi
za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju
dela zbirke
5. Izključitev uporabe Uredbe
Splošna Uredba o varstvu osebnih podatkov se ne uporablja za obdelavo osebnih
podatkov:
v okviru dejavnosti zunaj področja uporabe prava Unije,
kadar države članice izvajajo dejavnosti, ki spadajo na področje uporabe
poglavja 2, naslova V PEU („skupna zunanja in varnostna politika EU“ –
nadzor na mejah, azilni postopki…),
s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti,
s strani pristojnih organov za namen preprečevanja, preiskovanja, odkrivanja
ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z
varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.
Izrecno je izključena uporaba Splošne Uredbe o varstvu osebnih podatkov za
obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije.
Za obdelavo osebnih podatkov z njihove strani se uporablja Uredba ES 45/2001.
6. Omejitev uporabe Uredbe
Države članice lahko z zakonom omejijo uporabo določb o pravicah
posameznika (tudi načel in obveznosti obveščanja o kršitvah – kolikor se
nanašata na uveljavljanje pravic posameznikov) v zvezi z obdelavo osebnih
podatkov na področjih (člen 23):
- državne varnosti,
- obrambe,
- javne varnosti,
- varstva neodvisnosti sodstva in sodnega postopka,
- preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni
varnosti in njihovim preprečevanjem,
- preprečevanja, preiskovanja in pregona kršitev etike v zakonski urejenih
poklicih…
7. Ozemeljska veljavnost
1. Za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali
obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.
2. Za obdelavo osebnih podatkov posameznikov, ki so v Uniji (prebivalci Unije), s
strani upravljavca, ki nima sedeža v Uniji, kadar so delavnosti obdelave
povezane:
1. z nudenjem blaga ali storitev posameznikom v Uniji (ne glede na to, ali je za blago
ali storitev potrebno plačilo),
2. s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.
3. Za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji,
temveč v kraju, kjer se pravo Unije uporablja na podlagi mednarodnega javnega
prava (npr. na diplomatskih in konzularnih predstavništvih držav članic).
8. OSNOVNI POJMI
Osebni podatek je vsak podatek, ki se nanaša na določenega ali določljivega
posameznika.
Osebni podatek, posameznik, obdelava, zbirka, upravljavec, uporabnik, obdelovalec -
enako
Splošna Uredba odpravlja dvome in med osebne podatke izrecno šteje tudi:
spletne identifikatorje,
ID piškotkov,
RFID oznake,
IP naslove.
Posebej Splošna uredba ureja tudi t.i. psevdonimne podatke in genetske podatke.
9. POJMI
Omejitev obdelave – označevanje shranjenih OP zaradi
omejevanja njihove obdelave v prihodnosti.
Oblikovanje profilov – vsaka oblika avtomatizirane obdelave OP,
ki vkljčuje uporabo OP za ocenjevanje nekaterih osebnih vidikov
v zvezi s posameznikom, zlasti za analizo ali predvidevanje
uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega
okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega
posameznika.
psevdonimizacija – obdelava OP na tak način, da OP brez
dodatnih informacij ni več mogoče pripisati specifičnemu
posamezniku, na katerega se nanašajo OP, če se take dodatne
informacije hranijo ločeno ter zanje veljajo tehnični in
organizacijski ukrepi za zagotavljanje, da se OP ne pripišejo
določenemu ali dolocčljivemu posamezniku.
10. POJMI
Občutljivi OP - Posebne vrste OP – OP, ki razkrivajo rasno ali
etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali
članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih
podatkov za namene edinstvene identifikacije posameznika,
podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim
spolnim življenjem ali spolno usmerjenostjo.
Genetski podatki – OP v zvezi s podedovanimi ali pridobljenimi
genetskimi značilnostmi posameznika, ki dajejo edinstvene
informacije o fiziologiji ali zdravju tega posameznika in so zlasti
rezultat analize biološkega vzorca zadevnega posameznika
(Gataca)
Podatki o zdravstvenem stanju – OP, ki se nanašajo na telesno ali
duševno zdravje posameznika, vključno z zagotavljanjem
zdravstvenih storitev, in razkrivajo informacije o njegovem
zdravstvenem stanju.
12. ZAKONITOST
Obdelava OP je dopustna, če:
1. je posameznik vanjo PRIVOLIL
2. je potrebna za IZVEDBO POGODBE ali za SKLENITEV POGODBE,
3. je potrebna za IZPOLNITEV ZAKONSKE OBVEZNOSTI,
4. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika,
5. je v javnem interesu ali
6. je v zakonitem interesu upravljavca ali tretje osebe
13. ZAKONITOST
Privolitev mora biti:
1. nedvoumna (v treh primerih izrecna), neaktivnost ni dovolj,
2. informirana (informacije morajo biti enostavno dosegljive, zapisane jedrnato
in v enostavnem jeziku),
3. specifična, dana ločeno po namenih (t.i. granularnost privolitve)
4. svobodna (če je pogoj za določeno storitev, ne šteje za svobodno, prav tako
ne šteje za svobodno, če je posameznik brez škode zanj ne more preklicati).
Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje
moči med upravljavcem in posameznikov (javni sektor).
14. ZAKONITOST
Privolitev za mlajše od 16 let v primeru storitev informacijske družbe dajo starši
(zakoniti zastopniki oziroma skrbniki). Predlog ZVOP-2 (4.4.2018) starostno mejo
postavlja na 15 let.
Privolitev mora na zahtevo nadzornega organa dokazovati upravljavec (načelo
odgovornosti upravljavca).
Uvodna določba 172
Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES,
posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati
privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te
uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po
datumu začetka uporabe te uredbe.
15. ZAKONITOST
Obdelava posebnih vrst OP je dopustna, če:
(10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)
1. je posameznik vanjo IZRECNO PRIVOLIL
2. je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih
pravic upravljavca ali posameznika na področju delovnega prava ter prava
socialne varnosti in socialnega varstva,
3. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika, kadar
posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni
sposoben dati privolitve
4. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki
so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo
neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem
5. je obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se
nanašajo osebni podatki, sam objavi;
16. ZAKONITOST
Obdelava posebnih vrst OP je dopustna, če:
(10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)
5. je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov
ali kadar koli sodišča izvajajo svojo sodno pristojnost
6. je potrebna iz razlogov bistvenega javnega interesa na podlagi prava
Unije ali prava države članice.
7. je potrebna za namene preventivne medicine ali medicine dela;
8. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na
osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali
katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali
sindikalnim ciljem
17. ZAKONITOST
Obdelava posebnih vrst OP je dopustna, če:
(10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)
9. je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je
zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih
standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih
pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja
ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na
katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti 7. je
potrebna za namene preventivne medicine ali medicine dela;
10. je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali
zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1)
na podlagi prava Unije ali prava države članice.
18. PRAVICE
INFORMIRANOST in SEZNANITEV Z LASTNIMI OP
POPRAVEK in IZBRIS – “PRAVICA DO POZABE”
PRAVICA DO OMEJITVE OBDELAVE
PRENOSLJIVOST OP (“data portability”)
PRAVICA DO UGOVORA
PRAVICE V ZVEZI Z AVTOMATIZIRANO OBDELAVO IN PROFILIRANJEM
19. PRAVICE
Informacije se posameznikom zagotavljajo v kratki, jedrnati,
jasni in pregledni obliki – preprost in razumljiv jezik (ne po
principu “pravniki za pravnike”).
Komisija lahko določi standardizirane IKONE za informacije.
Načelo pomoči stranki – olajšati uresničevanje pravic.
Zahteva v e-obliki – odgovor v e-obliki.
Daljši roki – 1 mesec, možnost podaljšanja še za dva meseca.
Pravice se omogočijo brezplačno, razen če so zahteve “očitno
neutemeljene ali pretirane” – zaračuna razumno pristojbino /
zavrne obravnavo zahteve.
21. PRAVICA DO POPRAVKA
16. člen GDPR:
Pravica do popravka.
Ob upoštevanju namenov obdelave, pravica do dopolnitve
nepopolnih osebnih podatkov, vključ̌no s predlož̌itvijo
dopolnilne izjave (“supplementary statement”).
22. PRAVICA DO PRENOSLJIVOSTI OP
20. člen GDPR: “data portability”
• Posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je
posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi
obliki,
• pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec,
ki so mu bili osebni podatki zagotovljeni, pri tem oviral,
• Če je podlaga za obdelavo privolitev ali pogodba,
• se obdelava izvaja z avtomatiziranimi sredstvi,
• neposredno od upravljavca do upravljavca, če je tehnično izvedljivo,
• ne, če gre za obdelavo, ki je potrebna za opravljanje naloge, ki se izvaja v
javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.
23. Številne dileme o izvajanju pravice do prenosljivosti
Smernice delovne skupine po členu 29 Direktive o pravici do prenosljivosti.
Iz točk a) in b) so nastali trije pogoji, ki morajo biti pri prenosljivosti izpolnjeni kumulativno:
1. 1. osebni podatki morajo biti obdelani z avtomatiziranimi sredstvi (tj. brez papirnih dokumentov) na podlagi
predhodne privolitve posameznika, na katerega se nanašajo osebni podatki, ali na podlagi izvajanja
pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki;
2. 2. zahtevani osebni podatki morajo biti povezani s posameznikom, na katerega se nanašajo osebni podatki,
pri čemer jih mora ta posameznik tudi posredovati.
3. 3. gre za podatke, ki jih posreduje posameznik, na katerega se nanašajo osebni podatki, če jih:
- „posreduje“ zavestno in dejavno, kot so podatki o računu (npr. e-poštni naslov, uporabniško ime,
starost),
- so predloženi prek spletnih obrazcev, in tudi,
- če se ustvarijo in zberejo z dejavnostmi uporabnikov, z uporabo storitve ali naprave.
Šteje se, da tretjega pogoja ne izpolnjujejo podatki, ki so izpeljani ali povzeti iz podatkov, ki jih posreduje
posameznik, npr. uporabniški profil, ustvarjen z analizo »surovih« podatkov.
? osebni podatki, ki jih je posameznik (na podlagi privolitve ali pogodbe) posredoval ob obiski spletne strani,
spletne trgovine ipd. ?
24. PRAVICA DO UGOVORA
21. člen GDPR:
če je podlaga 6(1) e. ali f. : Upravljavec preneha obdelovati OP, razen
če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad
interesi, pravicami in svoboščinami posameznika, ali za uveljavljanje,
izvajanje ali obrambo pravnih zahtevkov.
V primerih neposrednega trženja: se ne obdelujejo več za ta namen.
V primeru obdelave v znanstveno- ali zgodovinskoraziskovalne namene
ali statistične namene v skladu s členom 89(1) : razen če je obdelava
potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega
interesa.
25. AVTOMATIZIRANO ODLOČANJE NA PODLAGI
PROFILOV
22. člen GDPR:
• Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj
ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z
oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben
način nanj znatno vpliva.
• RAZEN, če je odločitev: a) nujna za sklenitev ali izvajanje pogodbe med
posameznikom in upravljavcem; b) dovoljena v pravu Unije ali DČ, ki velja
za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin
ter zakonitih interesov posameznika; c) utemeljena z izrecno privolitvijo
posameznika (glede posebnih vrst OP le izjemoma).
• V a) in c) primeru upravljavec izvede ustrezne ukrepe za zaščito pravic in
svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo
osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do
izražanja lastnega stališča in izpodbijanja odločitve.
26. PRAVICA DO IZBRISA
17. člen GDPR:
PRAVICA DO IZBRISA (→“pravica do pozabe”):
OP niso več potrebni v namene, za katere so bili zbrani ali kako drugače
obdelani;
Posameznik prekliče privolitev in ni druge pravne podlage za obdelavo;
Posameznik obdelavi ugovarja po 21(1), pa ne obstajajo prevladujoči zakoniti
razlogi, ali posameznik, obdelavi ugovarja po 21(2) - neposredno trženje,
vključno s profiliranjem;
OP so bili obdelani nezakonito;
OP je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali
pravom države članice, ki velja za upravljavca;
OP so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1). -
starost otroka pod določeno mejo, ni privolitve starša
27. PRAVICA DO POZABE
Google v Spain
Sodba SEU v zadevi C - 131/12, Google Spain
SL, Google Inc. v Agencia Española de
Protección de Datos, 14.5.2014
28. Specifičnost ureditve na področju
elektronskih komunikacij
E-Privacy Direktiva (Direktiva 2002/58/ES Evropskega parlamenta in
Sveta o obdelavi osebnih podatkov in varstvu zasebnosti na področju
elektronskih komunikacij) – 2.7.2002 (* v pripravi e-Privacy Uredba)
ZEKom-1:
12. poglavje (od 144 do 161. člena) - „Obdelava osebnih
podatkov in varstvo zasebnosti elektronskih komunikacij“;
snemanje komunikacij, neželena komunikacija, piškotki…
opredelitve pojmov tudi v 3.členu ZEKom-1
pravice uporabnikov glede pravice do prejema nerazčlenjenih
obračunov v 11. poglavju (1. in 4. odst. 139. člena)
29. Prenos Splošne uredbe (in Direktive) v
ZVOP-2
1. OSNUTEK ZVOP-2 (3.10.2017)
Pripombe zbirane do 13.11.2017, vseboval je 100 členov, brez
posebnosti za področje neposrednega trženja.
2. 1. PREDLOG ZVOP-2 (23.1.2018)
Pripombe zbirane do 2.2.2018, vseboval je 123 členov, prenos
ureditve obdelave osebnih podatkov za neposredno trženje iz ZVOP-1
(92 in 93. člen predloga).
3. 2. PREDLOG ZVOP-2 (4.4.2018)
Predlagan sprejem v DZ po nujnem postopku (zavrnjen), vsebuje 145
členov, zapletena ureditev neposrednega trženja v 100. in 101. čl.
30. 2. Predlog ZVOP-2
100. člen
1) Upravljavec lahko uporablja osebne podatke posameznikov, na katere se
nanašajo osebni podatki, ki jih je zbral iz javno dostopnih virov ali v okviru
zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev,
zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih
klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (v
nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če
drug zakon ne določa drugače.
(2) Za namene izvajanja neposrednega trženja lahko upravljavec obdeluje le
naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno
ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov
elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik, na
katerega se osebni podatki nanašajo, sam objavil brez očitnega namena, da bi
omejil njihovo nadaljnjo obdelavo. Na podlagi privolitve posameznika ali druge
zakonske podlage lahko upravljavec obdeluje tudi druge osebne podatke, posebne
vrste osebnih podatkov pa le, če ima za to izrecno privolitev posameznika.
(3) Ne glede na določbe prvega in drugega odstavka tega člena, lahko upravljavec
obdeluje osebne podatke iz drugega odstavka tega člena za namene izvajanja
neposrednega trženja tudi v skladu z drugimi pravnimi podlagami iz Splošne
uredbe in zakona.
31. 2. Predlog ZVOP-2
100. člen
(4) Upravljavec neposredno trženje po prvem in drugem (? tretjem) odstavku tega člena izvaja tako, da
posamezniku ob izvajanju neposrednega trženja posreduje naslednje informacije:
• identiteto in kontaktne podatke upravljavca;
• ali je upravljavec podatke zbral iz javno dostopnih virov, ali v okviruzakonitegaopravljanja
dejavnosti; in
• na kakšen način lahko posameznik uveljavlja pravico iz 16. člena in drugega odstavka 21. člena
Splošne uredbe ter iz 101. člena tega zakona.
(5) Če namerava upravljavec posredovati osebne podatke iz drugega odstavka tega člena drugim
uporabnikom za namene neposrednega trženja, o tem obvesti posameznika in pred posredovanjem
osebnih podatkov zagotovi pravno podlago za posredovanje podatkov ali pa pridobi njegovo izrecno
privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov vsebuje informacijo,
katere podatke namerava posredovati, komu, kdaj in za kakšen namen. Stroške obvestila krije
upravljavec.
(6) Obdelava osebnih podatkov s področja neposrednega trženja je prepovedana za druge namene
trženja, zlasti za politično trženje, kar vključuje kontaktiranje ali prepričevanje morebitnih volivcev ali
njihovo profiliranje.
*Uvodna določba 56 Splošne uredbe: Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici
zahteva, da politične stranke zberejo osebne podatke o političnih mnenjih ljudi, se lahko obdelava takih podatkov dovoli iz razlogov
javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.
32. OBVEZNOSTI UPRAVLJAVCEV
Dokazno breme za obdelavo osebnih podatkov, ki je skladna z načeli iz Splošne
uredbe je izrecno na upravljavcu.
Novosti:
― manj birokratskih bremen: ni več obveznosti prijave kataloga zbirk, ni več
potrebno dovoljenje za iznos podatkov pri uporabi stand. pog. klavzul,
* namesto kataloga evidenca dejavnosti obdelave – obveznost vseh
upravljavcev
― dolžnost ocene vpliva na varstvo osebnih podatkov in posvet z nadzornim
organom, če obdelava pomeni tveganje za posameznika (33. člen),
― natančneje določena obveznost informiranja (13. in 14. člen Splošne uredbe)
* informacije za posameznike/notranje politike zasebnosti in varstva osebnih
podatkov
33. OBVEZNOSTI UPRAVLJAVCEV
Novosti:
― dolžnost imenovanja osebo, pooblaščene za varstvo osebnih podatkov (35.
– 37. člen),
― dolžnost poročanja o incidentih v zvezi z osebnimi podatki (31. in 32.
člen),
― spoštovanje načel vgrajenega varstva osebnih podatkov in zasebnosti
prijaznih začetnih nastavitev (23. člen),
― zagrožene so visoke sankcije za prekrške – do 4% letnega prometa.
34. Odgovorna oseba za
varstvo osebnih podatkov
Za katere upravljavce velja obveznost, kdo so osebe za varstvo osebnih
podatkov, katere naloge imajo, kakšen je njihov položaj znotraj upravljavca.
35. Odgovorna oseba za varstvo osebnih podatkov
Imenovanje uradne osebe za varstvo osebnih podatkov je obvezno:
v upravljavcih in obdelovalcih v javnem sektorju;
v tistih upravljavcih in obdelovalcih osebnih podatkov, katerih osnovna dejavnost vključuje
obsežno obdelavo osebnih podatkov na način rednega in sistematičnega spremljanja
posameznikov ter
pri upravljavcih katerih osnovna dejavnost vključuje obsežno obdelavo posebnih kategorij
osebnih podatkov iz 9 člena Splošne uredbe oziroma podatkov, ki so povezani s kazenskimi
obsodbami in prekrški iz 9.a člena Splošne uredbe.
V vseh ostalih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov
prepuščena upravljavcu oziroma pogodbenemu obdelovalcu.
36. Odgovorna oseba za varstvo osebnih podatkov
Pogoji za pooblaščeno osebo v javnem sektorju (46 člen predloga ZVOP-2 4/4 2018):
1. je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega
gospodarskega prostora in aktivno obvlada slovenski jezik,
2. je poslovno sposoben,
3. ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo,
ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z
zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 8. raven, ali ima najmanj izobrazbo,
pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe,
pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko
ogrodje kvalifikacij, uvrščena na 9. raven,
4. ima vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov,
5. ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora oziroma ni bil
pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete in
obsodba še ni bila izbrisana.
37. Odgovorna oseba za varstvo osebnih podatkov
Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je
zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo.
obvezna je določitev t.i. vodilnega člana pravne osebe (POVOP)
POVOP je lahko le posameznik ali vodilni član v pravni osebi, in mora izpolnjevati pogoje, kot jih
je predlagatelj ZVOP-2 določil za POVOP v javnem sektorju, razen pogoja državljanstva Republike
Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora.
Enake pogoje morajo izpolnjevati tudi druge osebe, ki pomagajo vodilnemu članu pri izvajanju
nalog. Pri svojem delu so vezane na navodila vodilnega člana.
38. Odgovorna oseba za varstvo osebnih podatkov
Za pooblaščeno osebo in osebe, ki ji pomagajo pri izvajanju njenih nalog, se ne sme določiti oseb,
ki so v konfliktu interesov z upravljavcem ali obdelovalcem ali bi bilo njihovo delo kot pooblaščene
osebe v konfliktu z njegovimi drugimi nalogami ali s položajem pri upravljavcu ali obdelovalcu.
V javnem sektorju se za konflikt interesov šteje:
če ima določena oseba položaj predstojnika v osebi javnega sektorja,
če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,
če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri
upravljavcu ali obdelovalcu ali
če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z
vprašanji varstva osebnih podatkov.
Navedeno smiselno velja tudi za zasebni sektor (46/X člen predloga ZVOP-2 4/4 2018).
39. Konkretne naloge pooblaščene osebe za varstvo
osebnih podatkov
Informiranje in svetovanje zaposlenim pri upravljavcu/pogodbenemu obdelovalcu,
ki obdelujejo osebne podatke glede njihovih dolžnosti.
Spremljanje in nadziranje skladnosti obdelave osebnih podatkov pri upravljavcu
oziroma pogodbenem obdelovalcu z določili Splošne uredbe drugih predpisov Unije
ali države članice s področja varstva osebnih podatkov in politikami upravljavca
oziroma pogodbenega obdelovalca, vključno z nalogami osveščanja in
usposabljanja zaposlenih, ki so vključeni v postopke obdelave osebnih podatkov in
s tem povezanih rednih pregledov.
Svetovanje glede analize vplivov na zasebnost in spremljanje ter nadziranje
njenega izvajanja.
Sodelovanje z nacionalnim nadzornim organom za varstvo osebnih podatkov.
Kontaktna točka za nacionalni nadzorni organ, tudi glede predhodnega
posvetovanja iz 34. člena Splošne uredbe in posvetovanja potrebnega v drugih
zadevah;