SlideShare a Scribd company logo

Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

Društvo za marketing Slovenije
Društvo za marketing Slovenije

Rosana Lemut Strle (Odvetniška družba Pirc Musar) podrobno predstavlja nekatera ključna področja za zagotavljanje skladnosti z uredbo GDPR. V svoji predstavitvi temeljito obdeluje različna področja, ki jih ureja uredba, in natančno opredeljuje posamezne pojme, ki se v njej pojavljajo.

Law
1 of 40
Download to read offline
Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov Mag. Rosana Lemut Strle, Odvetnica v Odvetniški družbi Pirc Musar & partnerji o.p., d.o.o. CIPP/E, CIPM
Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov = del strategije enotnega digitalnega trga EU. 1. Splošna uredba o varstvu podatkov; Uredba 2016/679 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES. 2. Direktiva 2016/680 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PN. V Uradnem listu EU objavljeni 4.5.2016. Uredba se začne uporabljati 25.5.2018.
Regulacija VOP na nivoju Sveta Evrope in EU Svet Evrope 1. Konvencija 108- Konvencija o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov (28.01.1981; veljavnost 01.10.1985) EU 1. Direktiva 95/46/ES - Direktiva Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (24. oktobra 1995; veljavnost 23.11.1995); 2. Uredba 2016/67 – Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (27. aprila 2016, veljavnost 25.5.2016; uporaba 25.5.2018)
Področja uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi ali za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju zbirke. * Po Direktivi 95/46/ES (člen 3/I):  Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke
Izključitev uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se ne uporablja za obdelavo osebnih podatkov:  v okviru dejavnosti zunaj področja uporabe prava Unije,  kadar države članice izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2, naslova V PEU („skupna zunanja in varnostna politika EU“ – nadzor na mejah, azilni postopki…),  s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti,  s strani pristojnih organov za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Izrecno je izključena uporaba Splošne Uredbe o varstvu osebnih podatkov za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Za obdelavo osebnih podatkov z njihove strani se uporablja Uredba ES 45/2001.
Omejitev uporabe Uredbe Države članice lahko z zakonom omejijo uporabo določb o pravicah posameznika (tudi načel in obveznosti obveščanja o kršitvah – kolikor se nanašata na uveljavljanje pravic posameznikov) v zvezi z obdelavo osebnih podatkov na področjih (člen 23): - državne varnosti, - obrambe, - javne varnosti, - varstva neodvisnosti sodstva in sodnega postopka, - preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, - preprečevanja, preiskovanja in pregona kršitev etike v zakonski urejenih poklicih…
Ozemeljska veljavnost 1. Za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne. 2. Za obdelavo osebnih podatkov posameznikov, ki so v Uniji (prebivalci Unije), s strani upravljavca, ki nima sedeža v Uniji, kadar so delavnosti obdelave povezane: 1. z nudenjem blaga ali storitev posameznikom v Uniji (ne glede na to, ali je za blago ali storitev potrebno plačilo), 2. s spremljanjem njihovega vedenja, kolikor to poteka v Uniji. 3. Za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo Unije uporablja na podlagi mednarodnega javnega prava (npr. na diplomatskih in konzularnih predstavništvih držav članic).
OSNOVNI POJMI Osebni podatek je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. Osebni podatek, posameznik, obdelava, zbirka, upravljavec, uporabnik, obdelovalec - enako Splošna Uredba odpravlja dvome in med osebne podatke izrecno šteje tudi:  spletne identifikatorje,  ID piškotkov,  RFID oznake,  IP naslove. Posebej Splošna uredba ureja tudi t.i. psevdonimne podatke in genetske podatke.
POJMI  Omejitev obdelave – označevanje shranjenih OP zaradi omejevanja njihove obdelave v prihodnosti.  Oblikovanje profilov – vsaka oblika avtomatizirane obdelave OP, ki vkljčuje uporabo OP za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.  psevdonimizacija – obdelava OP na tak način, da OP brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo OP, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se OP ne pripišejo določenemu ali dolocčljivemu posamezniku.
POJMI  Občutljivi OP - Posebne vrste OP – OP, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.  Genetski podatki – OP v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika (Gataca)  Podatki o zdravstvenem stanju – OP, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju.
Načela 1. ZAKONITOST 2. PRAVIČNOST 3. PREGLEDNOST 4. OMEJITEV NAMENA 5. MINIMIZACIJA (NAJMANJŠI POTREBEN OBSEG PODATKOV) 6. TOČNOST 7. OMEJITEV SHRANJEVANJA 8. CELOVITOST 9. ODGOVORNOST UPRAVLJAVCA
ZAKONITOST Obdelava OP je dopustna, če:  1. je posameznik vanjo PRIVOLIL  2. je potrebna za IZVEDBO POGODBE ali za SKLENITEV POGODBE,  3. je potrebna za IZPOLNITEV ZAKONSKE OBVEZNOSTI,  4. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika,  5. je v javnem interesu ali  6. je v zakonitem interesu upravljavca ali tretje osebe
ZAKONITOST Privolitev mora biti: 1. nedvoumna (v treh primerih izrecna), neaktivnost ni dovolj, 2. informirana (informacije morajo biti enostavno dosegljive, zapisane jedrnato in v enostavnem jeziku), 3. specifična, dana ločeno po namenih (t.i. granularnost privolitve) 4. svobodna (če je pogoj za določeno storitev, ne šteje za svobodno, prav tako ne šteje za svobodno, če je posameznik brez škode zanj ne more preklicati). Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje moči med upravljavcem in posameznikov (javni sektor).
ZAKONITOST Privolitev za mlajše od 16 let v primeru storitev informacijske družbe dajo starši (zakoniti zastopniki oziroma skrbniki). Predlog ZVOP-2 (4.4.2018) starostno mejo postavlja na 15 let. Privolitev mora na zahtevo nadzornega organa dokazovati upravljavec (načelo odgovornosti upravljavca). Uvodna določba 172 Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.
ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  1. je posameznik vanjo IZRECNO PRIVOLIL  2. je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika na področju delovnega prava ter prava socialne varnosti in socialnega varstva,  3. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve  4. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem  5. je obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;
ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  5. je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost  6. je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice.  7. je potrebna za namene preventivne medicine ali medicine dela;  8. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem
ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  9. je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti 7. je potrebna za namene preventivne medicine ali medicine dela;  10. je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice.
PRAVICE  INFORMIRANOST in SEZNANITEV Z LASTNIMI OP  POPRAVEK in IZBRIS – “PRAVICA DO POZABE”  PRAVICA DO OMEJITVE OBDELAVE  PRENOSLJIVOST OP (“data portability”)  PRAVICA DO UGOVORA  PRAVICE V ZVEZI Z AVTOMATIZIRANO OBDELAVO IN PROFILIRANJEM
PRAVICE  Informacije se posameznikom zagotavljajo v kratki, jedrnati, jasni in pregledni obliki – preprost in razumljiv jezik (ne po principu “pravniki za pravnike”). Komisija lahko določi standardizirane IKONE za informacije.  Načelo pomoči stranki – olajšati uresničevanje pravic.  Zahteva v e-obliki – odgovor v e-obliki.  Daljši roki – 1 mesec, možnost podaljšanja še za dva meseca.  Pravice se omogočijo brezplačno, razen če so zahteve “očitno neutemeljene ali pretirane” – zaračuna razumno pristojbino / zavrne obravnavo zahteve.
Primeri ikon
PRAVICA DO POPRAVKA 16. člen GDPR:  Pravica do popravka.  Ob upoštevanju namenov obdelave, pravica do dopolnitve nepopolnih osebnih podatkov, vključ̌no s predlož̌itvijo dopolnilne izjave (“supplementary statement”).
PRAVICA DO PRENOSLJIVOSTI OP 20. člen GDPR: “data portability” • Posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, • pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, • Če je podlaga za obdelavo privolitev ali pogodba, • se obdelava izvaja z avtomatiziranimi sredstvi, • neposredno od upravljavca do upravljavca, če je tehnično izvedljivo, • ne, če gre za obdelavo, ki je potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.
Številne dileme o izvajanju pravice do prenosljivosti Smernice delovne skupine po členu 29 Direktive o pravici do prenosljivosti. Iz točk a) in b) so nastali trije pogoji, ki morajo biti pri prenosljivosti izpolnjeni kumulativno: 1. 1. osebni podatki morajo biti obdelani z avtomatiziranimi sredstvi (tj. brez papirnih dokumentov) na podlagi predhodne privolitve posameznika, na katerega se nanašajo osebni podatki, ali na podlagi izvajanja pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki; 2. 2. zahtevani osebni podatki morajo biti povezani s posameznikom, na katerega se nanašajo osebni podatki, pri čemer jih mora ta posameznik tudi posredovati. 3. 3. gre za podatke, ki jih posreduje posameznik, na katerega se nanašajo osebni podatki, če jih: - „posreduje“ zavestno in dejavno, kot so podatki o računu (npr. e-poštni naslov, uporabniško ime, starost), - so predloženi prek spletnih obrazcev, in tudi, - če se ustvarijo in zberejo z dejavnostmi uporabnikov, z uporabo storitve ali naprave. Šteje se, da tretjega pogoja ne izpolnjujejo podatki, ki so izpeljani ali povzeti iz podatkov, ki jih posreduje posameznik, npr. uporabniški profil, ustvarjen z analizo »surovih« podatkov. ? osebni podatki, ki jih je posameznik (na podlagi privolitve ali pogodbe) posredoval ob obiski spletne strani, spletne trgovine ipd. ?
PRAVICA DO UGOVORA 21. člen GDPR:  če je podlaga 6(1) e. ali f. : Upravljavec preneha obdelovati OP, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.  V primerih neposrednega trženja: se ne obdelujejo več za ta namen.  V primeru obdelave v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) : razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.
AVTOMATIZIRANO ODLOČANJE NA PODLAGI PROFILOV 22. člen GDPR: • Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. • RAZEN, če je odločitev: a) nujna za sklenitev ali izvajanje pogodbe med posameznikom in upravljavcem; b) dovoljena v pravu Unije ali DČ, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika; c) utemeljena z izrecno privolitvijo posameznika (glede posebnih vrst OP le izjemoma). • V a) in c) primeru upravljavec izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.
PRAVICA DO IZBRISA 17. člen GDPR: PRAVICA DO IZBRISA (→“pravica do pozabe”):  OP niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;  Posameznik prekliče privolitev in ni druge pravne podlage za obdelavo;  Posameznik obdelavi ugovarja po 21(1), pa ne obstajajo prevladujoči zakoniti razlogi, ali posameznik, obdelavi ugovarja po 21(2) - neposredno trženje, vključno s profiliranjem;  OP so bili obdelani nezakonito;  OP je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;  OP so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1). - starost otroka pod določeno mejo, ni privolitve starša
PRAVICA DO POZABE Google v Spain Sodba SEU v zadevi C - 131/12, Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, 14.5.2014
Specifičnost ureditve na področju elektronskih komunikacij  E-Privacy Direktiva (Direktiva 2002/58/ES Evropskega parlamenta in Sveta o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij) – 2.7.2002 (* v pripravi e-Privacy Uredba) ZEKom-1:  12. poglavje (od 144 do 161. člena) - „Obdelava osebnih podatkov in varstvo zasebnosti elektronskih komunikacij“; snemanje komunikacij, neželena komunikacija, piškotki…  opredelitve pojmov tudi v 3.členu ZEKom-1  pravice uporabnikov glede pravice do prejema nerazčlenjenih obračunov v 11. poglavju (1. in 4. odst. 139. člena)
Prenos Splošne uredbe (in Direktive) v ZVOP-2 1. OSNUTEK ZVOP-2 (3.10.2017) Pripombe zbirane do 13.11.2017, vseboval je 100 členov, brez posebnosti za področje neposrednega trženja. 2. 1. PREDLOG ZVOP-2 (23.1.2018) Pripombe zbirane do 2.2.2018, vseboval je 123 členov, prenos ureditve obdelave osebnih podatkov za neposredno trženje iz ZVOP-1 (92 in 93. člen predloga). 3. 2. PREDLOG ZVOP-2 (4.4.2018) Predlagan sprejem v DZ po nujnem postopku (zavrnjen), vsebuje 145 členov, zapletena ureditev neposrednega trženja v 100. in 101. čl.
2. Predlog ZVOP-2 100. člen  1) Upravljavec lahko uporablja osebne podatke posameznikov, na katere se nanašajo osebni podatki, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če drug zakon ne določa drugače.  (2) Za namene izvajanja neposrednega trženja lahko upravljavec obdeluje le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik, na katerega se osebni podatki nanašajo, sam objavil brez očitnega namena, da bi omejil njihovo nadaljnjo obdelavo. Na podlagi privolitve posameznika ali druge zakonske podlage lahko upravljavec obdeluje tudi druge osebne podatke, posebne vrste osebnih podatkov pa le, če ima za to izrecno privolitev posameznika.  (3) Ne glede na določbe prvega in drugega odstavka tega člena, lahko upravljavec obdeluje osebne podatke iz drugega odstavka tega člena za namene izvajanja neposrednega trženja tudi v skladu z drugimi pravnimi podlagami iz Splošne uredbe in zakona.
2. Predlog ZVOP-2 100. člen (4) Upravljavec neposredno trženje po prvem in drugem (? tretjem) odstavku tega člena izvaja tako, da posamezniku ob izvajanju neposrednega trženja posreduje naslednje informacije: • identiteto in kontaktne podatke upravljavca; • ali je upravljavec podatke zbral iz javno dostopnih virov, ali v okviruzakonitegaopravljanja dejavnosti; in • na kakšen način lahko posameznik uveljavlja pravico iz 16. člena in drugega odstavka 21. člena Splošne uredbe ter iz 101. člena tega zakona. (5) Če namerava upravljavec posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom za namene neposrednega trženja, o tem obvesti posameznika in pred posredovanjem osebnih podatkov zagotovi pravno podlago za posredovanje podatkov ali pa pridobi njegovo izrecno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov vsebuje informacijo, katere podatke namerava posredovati, komu, kdaj in za kakšen namen. Stroške obvestila krije upravljavec. (6) Obdelava osebnih podatkov s področja neposrednega trženja je prepovedana za druge namene trženja, zlasti za politično trženje, kar vključuje kontaktiranje ali prepričevanje morebitnih volivcev ali njihovo profiliranje. *Uvodna določba 56 Splošne uredbe: Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo osebne podatke o političnih mnenjih ljudi, se lahko obdelava takih podatkov dovoli iz razlogov javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.
OBVEZNOSTI UPRAVLJAVCEV Dokazno breme za obdelavo osebnih podatkov, ki je skladna z načeli iz Splošne uredbe je izrecno na upravljavcu. Novosti: ― manj birokratskih bremen: ni več obveznosti prijave kataloga zbirk, ni več potrebno dovoljenje za iznos podatkov pri uporabi stand. pog. klavzul, * namesto kataloga evidenca dejavnosti obdelave – obveznost vseh upravljavcev ― dolžnost ocene vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (33. člen), ― natančneje določena obveznost informiranja (13. in 14. člen Splošne uredbe) * informacije za posameznike/notranje politike zasebnosti in varstva osebnih podatkov
OBVEZNOSTI UPRAVLJAVCEV Novosti: ― dolžnost imenovanja osebo, pooblaščene za varstvo osebnih podatkov (35. – 37. člen), ― dolžnost poročanja o incidentih v zvezi z osebnimi podatki (31. in 32. člen), ― spoštovanje načel vgrajenega varstva osebnih podatkov in zasebnosti prijaznih začetnih nastavitev (23. člen), ― zagrožene so visoke sankcije za prekrške – do 4% letnega prometa.
Odgovorna oseba za varstvo osebnih podatkov Za katere upravljavce velja obveznost, kdo so osebe za varstvo osebnih podatkov, katere naloge imajo, kakšen je njihov položaj znotraj upravljavca.
Odgovorna oseba za varstvo osebnih podatkov Imenovanje uradne osebe za varstvo osebnih podatkov je obvezno:  v upravljavcih in obdelovalcih v javnem sektorju;  v tistih upravljavcih in obdelovalcih osebnih podatkov, katerih osnovna dejavnost vključuje obsežno obdelavo osebnih podatkov na način rednega in sistematičnega spremljanja posameznikov ter  pri upravljavcih katerih osnovna dejavnost vključuje obsežno obdelavo posebnih kategorij osebnih podatkov iz 9 člena Splošne uredbe oziroma podatkov, ki so povezani s kazenskimi obsodbami in prekrški iz 9.a člena Splošne uredbe. V vseh ostalih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov prepuščena upravljavcu oziroma pogodbenemu obdelovalcu.
Odgovorna oseba za varstvo osebnih podatkov Pogoji za pooblaščeno osebo v javnem sektorju (46 člen predloga ZVOP-2 4/4 2018): 1. je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora in aktivno obvlada slovenski jezik, 2. je poslovno sposoben, 3. ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 8. raven, ali ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 9. raven, 4. ima vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov, 5. ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete in obsodba še ni bila izbrisana.
Odgovorna oseba za varstvo osebnih podatkov Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. obvezna je določitev t.i. vodilnega člana pravne osebe (POVOP) POVOP je lahko le posameznik ali vodilni član v pravni osebi, in mora izpolnjevati pogoje, kot jih je predlagatelj ZVOP-2 določil za POVOP v javnem sektorju, razen pogoja državljanstva Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora. Enake pogoje morajo izpolnjevati tudi druge osebe, ki pomagajo vodilnemu članu pri izvajanju nalog. Pri svojem delu so vezane na navodila vodilnega člana.
Odgovorna oseba za varstvo osebnih podatkov Za pooblaščeno osebo in osebe, ki ji pomagajo pri izvajanju njenih nalog, se ne sme določiti oseb, ki so v konfliktu interesov z upravljavcem ali obdelovalcem ali bi bilo njihovo delo kot pooblaščene osebe v konfliktu z njegovimi drugimi nalogami ali s položajem pri upravljavcu ali obdelovalcu. V javnem sektorju se za konflikt interesov šteje:  če ima določena oseba položaj predstojnika v osebi javnega sektorja,  če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,  če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali  če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Navedeno smiselno velja tudi za zasebni sektor (46/X člen predloga ZVOP-2 4/4 2018).
Konkretne naloge pooblaščene osebe za varstvo osebnih podatkov  Informiranje in svetovanje zaposlenim pri upravljavcu/pogodbenemu obdelovalcu, ki obdelujejo osebne podatke glede njihovih dolžnosti.  Spremljanje in nadziranje skladnosti obdelave osebnih podatkov pri upravljavcu oziroma pogodbenem obdelovalcu z določili Splošne uredbe drugih predpisov Unije ali države članice s področja varstva osebnih podatkov in politikami upravljavca oziroma pogodbenega obdelovalca, vključno z nalogami osveščanja in usposabljanja zaposlenih, ki so vključeni v postopke obdelave osebnih podatkov in s tem povezanih rednih pregledov.  Svetovanje glede analize vplivov na zasebnost in spremljanje ter nadziranje njenega izvajanja.  Sodelovanje z nacionalnim nadzornim organom za varstvo osebnih podatkov.  Kontaktna točka za nacionalni nadzorni organ, tudi glede predhodnega posvetovanja iz 34. člena Splošne uredbe in posvetovanja potrebnega v drugih zadevah;
Hvala za pozornost

Recommended

Kako upravljati družbena omrežja?
Kako upravljati družbena omrežja?Kako upravljati družbena omrežja?
Kako upravljati družbena omrežja?Društvo za marketing Slovenije
 
Prvi odzivi potrošnikov na nove razmere
Prvi odzivi potrošnikov na nove razmerePrvi odzivi potrošnikov na nove razmere
Prvi odzivi potrošnikov na nove razmereDruštvo za marketing Slovenije
 
Nataša Mithans: Web Summit
Nataša Mithans: Web SummitNataša Mithans: Web Summit
Nataša Mithans: Web SummitDruštvo za marketing Slovenije
 
Maša Butara in Nika Frece: Web Summit 2019
Maša Butara in Nika Frece: Web Summit 2019Maša Butara in Nika Frece: Web Summit 2019
Maša Butara in Nika Frece: Web Summit 2019Društvo za marketing Slovenije
 
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJE
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJEPRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJE
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJEDruštvo za marketing Slovenije
 
Sberbank: Sponzorstvo
Sberbank: SponzorstvoSberbank: Sponzorstvo
Sberbank: SponzorstvoDruštvo za marketing Slovenije
 
Vaši izzivi po B2B konferenci
Vaši izzivi po B2B konferenciVaši izzivi po B2B konferenci
Vaši izzivi po B2B konferenciDruštvo za marketing Slovenije
 
In-house Agency (Ljubomir Ristič, Comtrade)
In-house Agency (Ljubomir Ristič, Comtrade)In-house Agency (Ljubomir Ristič, Comtrade)
In-house Agency (Ljubomir Ristič, Comtrade)Društvo za marketing Slovenije
 

Recommended

Kako upravljati družbena omrežja?
Kako upravljati družbena omrežja?Kako upravljati družbena omrežja?
Kako upravljati družbena omrežja?Društvo za marketing Slovenije
 
Prvi odzivi potrošnikov na nove razmere
Prvi odzivi potrošnikov na nove razmerePrvi odzivi potrošnikov na nove razmere
Prvi odzivi potrošnikov na nove razmereDruštvo za marketing Slovenije
 
Nataša Mithans: Web Summit
Nataša Mithans: Web SummitNataša Mithans: Web Summit
Nataša Mithans: Web SummitDruštvo za marketing Slovenije
 
Maša Butara in Nika Frece: Web Summit 2019
Maša Butara in Nika Frece: Web Summit 2019Maša Butara in Nika Frece: Web Summit 2019
Maša Butara in Nika Frece: Web Summit 2019Društvo za marketing Slovenije
 
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJE
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJEPRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJE
PRIJAVNI OBRAZEC ZA KANDIDATURO V UPRAVNI ODBOR DRUŠTVA ZA MARKETING SLOVENIJEDruštvo za marketing Slovenije
 
Sberbank: Sponzorstvo
Sberbank: SponzorstvoSberbank: Sponzorstvo
Sberbank: SponzorstvoDruštvo za marketing Slovenije
 
Vaši izzivi po B2B konferenci
Vaši izzivi po B2B konferenciVaši izzivi po B2B konferenci
Vaši izzivi po B2B konferenciDruštvo za marketing Slovenije
 
In-house Agency (Ljubomir Ristič, Comtrade)
In-house Agency (Ljubomir Ristič, Comtrade)In-house Agency (Ljubomir Ristič, Comtrade)
In-house Agency (Ljubomir Ristič, Comtrade)Društvo za marketing Slovenije
 
Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)Društvo za marketing Slovenije
 
Marketinška odličnost - Ceneje d.o.o.
Marketinška odličnost - Ceneje d.o.o.Marketinška odličnost - Ceneje d.o.o.
Marketinška odličnost - Ceneje d.o.o.Društvo za marketing Slovenije
 
Marketinška odličnost - Zavarovalnica Triglav
Marketinška odličnost - Zavarovalnica TriglavMarketinška odličnost - Zavarovalnica Triglav
Marketinška odličnost - Zavarovalnica TriglavDruštvo za marketing Slovenije
 
7 smrtnih grehov znamčenja delodajalca
7 smrtnih grehov znamčenja delodajalca7 smrtnih grehov znamčenja delodajalca
7 smrtnih grehov znamčenja delodajalcaDruštvo za marketing Slovenije
 
Bisnode Unicorn*
Bisnode Unicorn*Bisnode Unicorn*
Bisnode Unicorn*Društvo za marketing Slovenije
 
Iskanje (marketinških) kadrov in karierna sprememba
Iskanje (marketinških) kadrov in karierna spremembaIskanje (marketinških) kadrov in karierna sprememba
Iskanje (marketinških) kadrov in karierna spremembaDruštvo za marketing Slovenije
 
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)Društvo za marketing Slovenije
 
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)Društvo za marketing Slovenije
 
Gorenje: Smart living platform
Gorenje: Smart living platformGorenje: Smart living platform
Gorenje: Smart living platformDruštvo za marketing Slovenije
 
Kako bolje izkoristiti svoje podatke?
Kako bolje izkoristiti svoje podatke?Kako bolje izkoristiti svoje podatke?
Kako bolje izkoristiti svoje podatke?Društvo za marketing Slovenije
 
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?Društvo za marketing Slovenije
 
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...Društvo za marketing Slovenije
 
Prijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga KolinskaPrijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga KolinskaDruštvo za marketing Slovenije
 
Sistemi marketinške avtomatizacije in GDPR
Sistemi marketinške avtomatizacije in GDPRSistemi marketinške avtomatizacije in GDPR
Sistemi marketinške avtomatizacije in GDPRDruštvo za marketing Slovenije
 
Prijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf InsulationPrijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf InsulationDruštvo za marketing Slovenije
 
Kako se pravilno lotiti sejemske prisotnosti?
Kako se pravilno lotiti sejemske prisotnosti?Kako se pravilno lotiti sejemske prisotnosti?
Kako se pravilno lotiti sejemske prisotnosti?Društvo za marketing Slovenije
 
Spletna trgovina v B2B
Spletna trgovina v B2BSpletna trgovina v B2B
Spletna trgovina v B2BDruštvo za marketing Slovenije
 
Banka za podjetnike
Banka za podjetnikeBanka za podjetnike
Banka za podjetnikeDruštvo za marketing Slovenije
 
Knauf Insulation: Družbena omrežja v B2B
Knauf Insulation: Družbena omrežja v B2BKnauf Insulation: Družbena omrežja v B2B
Knauf Insulation: Družbena omrežja v B2BDruštvo za marketing Slovenije
 
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)Društvo za marketing Slovenije
 

More Related Content

More from Društvo za marketing Slovenije

Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)Društvo za marketing Slovenije
 
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)Društvo za marketing Slovenije
 
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)Društvo za marketing Slovenije
 
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?Društvo za marketing Slovenije
 
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...Društvo za marketing Slovenije
 
Prijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga KolinskaPrijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga KolinskaDruštvo za marketing Slovenije
 
Prijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf InsulationPrijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf InsulationDruštvo za marketing Slovenije
 
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)Društvo za marketing Slovenije
 

More from Društvo za marketing Slovenije (20)

Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)Market focus as a growth enabler (Frank Amand, Marketing UX)
Market focus as a growth enabler (Frank Amand, Marketing UX)
 
Marketinška odličnost - Ceneje d.o.o.
Marketinška odličnost - Ceneje d.o.o.Marketinška odličnost - Ceneje d.o.o.
Marketinška odličnost - Ceneje d.o.o.
 
Marketinška odličnost - Zavarovalnica Triglav
Marketinška odličnost - Zavarovalnica TriglavMarketinška odličnost - Zavarovalnica Triglav
Marketinška odličnost - Zavarovalnica Triglav
 
7 smrtnih grehov znamčenja delodajalca
7 smrtnih grehov znamčenja delodajalca7 smrtnih grehov znamčenja delodajalca
7 smrtnih grehov znamčenja delodajalca
 
Bisnode Unicorn*
Bisnode Unicorn*Bisnode Unicorn*
Bisnode Unicorn*
 
Iskanje (marketinških) kadrov in karierna sprememba
Iskanje (marketinških) kadrov in karierna spremembaIskanje (marketinških) kadrov in karierna sprememba
Iskanje (marketinških) kadrov in karierna sprememba
 
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
Povezovanje digitalnega okolja, Simona Koren (Atlantic Grupa)
 
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
Facebook / Messenger klepetalni robot, Jure Doler (Klepetalni robot)
 
Gorenje: Smart living platform
Gorenje: Smart living platformGorenje: Smart living platform
Gorenje: Smart living platform
 
Kako bolje izkoristiti svoje podatke?
Kako bolje izkoristiti svoje podatke?Kako bolje izkoristiti svoje podatke?
Kako bolje izkoristiti svoje podatke?
 
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
Kako podatki o vedenju digitalnega potrošnika vplivajo na prodajne aktivnosti?
 
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
Napovedno oglaševanje: Kombiniranje internih in eksternih podatkov za boljšo ...
 
Prijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga KolinskaPrijava za nagrado marketinško odličnost: Droga Kolinska
Prijava za nagrado marketinško odličnost: Droga Kolinska
 
Sistemi marketinške avtomatizacije in GDPR
Sistemi marketinške avtomatizacije in GDPRSistemi marketinške avtomatizacije in GDPR
Sistemi marketinške avtomatizacije in GDPR
 
Prijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf InsulationPrijava za nagrado marketinška odličnost: Knauf Insulation
Prijava za nagrado marketinška odličnost: Knauf Insulation
 
Kako se pravilno lotiti sejemske prisotnosti?
Kako se pravilno lotiti sejemske prisotnosti?Kako se pravilno lotiti sejemske prisotnosti?
Kako se pravilno lotiti sejemske prisotnosti?
 
Spletna trgovina v B2B
Spletna trgovina v B2BSpletna trgovina v B2B
Spletna trgovina v B2B
 
Banka za podjetnike
Banka za podjetnikeBanka za podjetnike
Banka za podjetnike
 
Knauf Insulation: Družbena omrežja v B2B
Knauf Insulation: Družbena omrežja v B2BKnauf Insulation: Družbena omrežja v B2B
Knauf Insulation: Družbena omrežja v B2B
 
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
Praktični vodnik skozi labirint GDPR (Uroš Valant, Valicon)
 

Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

  • 1. Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov Mag. Rosana Lemut Strle, Odvetnica v Odvetniški družbi Pirc Musar & partnerji o.p., d.o.o. CIPP/E, CIPM
  • 2. Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov = del strategije enotnega digitalnega trga EU. 1. Splošna uredba o varstvu podatkov; Uredba 2016/679 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES. 2. Direktiva 2016/680 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PN. V Uradnem listu EU objavljeni 4.5.2016. Uredba se začne uporabljati 25.5.2018.
  • 3. Regulacija VOP na nivoju Sveta Evrope in EU Svet Evrope 1. Konvencija 108- Konvencija o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov (28.01.1981; veljavnost 01.10.1985) EU 1. Direktiva 95/46/ES - Direktiva Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (24. oktobra 1995; veljavnost 23.11.1995); 2. Uredba 2016/67 – Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (27. aprila 2016, veljavnost 25.5.2016; uporaba 25.5.2018)
  • 4. Področja uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi ali za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju zbirke. * Po Direktivi 95/46/ES (člen 3/I):  Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke
  • 5. Izključitev uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se ne uporablja za obdelavo osebnih podatkov:  v okviru dejavnosti zunaj področja uporabe prava Unije,  kadar države članice izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2, naslova V PEU („skupna zunanja in varnostna politika EU“ – nadzor na mejah, azilni postopki…),  s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti,  s strani pristojnih organov za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Izrecno je izključena uporaba Splošne Uredbe o varstvu osebnih podatkov za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Za obdelavo osebnih podatkov z njihove strani se uporablja Uredba ES 45/2001.
  • 6. Omejitev uporabe Uredbe Države članice lahko z zakonom omejijo uporabo določb o pravicah posameznika (tudi načel in obveznosti obveščanja o kršitvah – kolikor se nanašata na uveljavljanje pravic posameznikov) v zvezi z obdelavo osebnih podatkov na področjih (člen 23): - državne varnosti, - obrambe, - javne varnosti, - varstva neodvisnosti sodstva in sodnega postopka, - preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, - preprečevanja, preiskovanja in pregona kršitev etike v zakonski urejenih poklicih…
  • 7. Ozemeljska veljavnost 1. Za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne. 2. Za obdelavo osebnih podatkov posameznikov, ki so v Uniji (prebivalci Unije), s strani upravljavca, ki nima sedeža v Uniji, kadar so delavnosti obdelave povezane: 1. z nudenjem blaga ali storitev posameznikom v Uniji (ne glede na to, ali je za blago ali storitev potrebno plačilo), 2. s spremljanjem njihovega vedenja, kolikor to poteka v Uniji. 3. Za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo Unije uporablja na podlagi mednarodnega javnega prava (npr. na diplomatskih in konzularnih predstavništvih držav članic).
  • 8. OSNOVNI POJMI Osebni podatek je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. Osebni podatek, posameznik, obdelava, zbirka, upravljavec, uporabnik, obdelovalec - enako Splošna Uredba odpravlja dvome in med osebne podatke izrecno šteje tudi:  spletne identifikatorje,  ID piškotkov,  RFID oznake,  IP naslove. Posebej Splošna uredba ureja tudi t.i. psevdonimne podatke in genetske podatke.
  • 9. POJMI  Omejitev obdelave – označevanje shranjenih OP zaradi omejevanja njihove obdelave v prihodnosti.  Oblikovanje profilov – vsaka oblika avtomatizirane obdelave OP, ki vkljčuje uporabo OP za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.  psevdonimizacija – obdelava OP na tak način, da OP brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo OP, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se OP ne pripišejo določenemu ali dolocčljivemu posamezniku.
  • 10. POJMI  Občutljivi OP - Posebne vrste OP – OP, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.  Genetski podatki – OP v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika (Gataca)  Podatki o zdravstvenem stanju – OP, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju.
  • 11. Načela 1. ZAKONITOST 2. PRAVIČNOST 3. PREGLEDNOST 4. OMEJITEV NAMENA 5. MINIMIZACIJA (NAJMANJŠI POTREBEN OBSEG PODATKOV) 6. TOČNOST 7. OMEJITEV SHRANJEVANJA 8. CELOVITOST 9. ODGOVORNOST UPRAVLJAVCA
  • 12. ZAKONITOST Obdelava OP je dopustna, če:  1. je posameznik vanjo PRIVOLIL  2. je potrebna za IZVEDBO POGODBE ali za SKLENITEV POGODBE,  3. je potrebna za IZPOLNITEV ZAKONSKE OBVEZNOSTI,  4. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika,  5. je v javnem interesu ali  6. je v zakonitem interesu upravljavca ali tretje osebe
  • 13. ZAKONITOST Privolitev mora biti: 1. nedvoumna (v treh primerih izrecna), neaktivnost ni dovolj, 2. informirana (informacije morajo biti enostavno dosegljive, zapisane jedrnato in v enostavnem jeziku), 3. specifična, dana ločeno po namenih (t.i. granularnost privolitve) 4. svobodna (če je pogoj za določeno storitev, ne šteje za svobodno, prav tako ne šteje za svobodno, če je posameznik brez škode zanj ne more preklicati). Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje moči med upravljavcem in posameznikov (javni sektor).
  • 14. ZAKONITOST Privolitev za mlajše od 16 let v primeru storitev informacijske družbe dajo starši (zakoniti zastopniki oziroma skrbniki). Predlog ZVOP-2 (4.4.2018) starostno mejo postavlja na 15 let. Privolitev mora na zahtevo nadzornega organa dokazovati upravljavec (načelo odgovornosti upravljavca). Uvodna določba 172 Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.
  • 15. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  1. je posameznik vanjo IZRECNO PRIVOLIL  2. je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika na področju delovnega prava ter prava socialne varnosti in socialnega varstva,  3. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve  4. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem  5. je obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;
  • 16. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  5. je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost  6. je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice.  7. je potrebna za namene preventivne medicine ali medicine dela;  8. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem
  • 17. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  9. je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti 7. je potrebna za namene preventivne medicine ali medicine dela;  10. je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice.
  • 18. PRAVICE  INFORMIRANOST in SEZNANITEV Z LASTNIMI OP  POPRAVEK in IZBRIS – “PRAVICA DO POZABE”  PRAVICA DO OMEJITVE OBDELAVE  PRENOSLJIVOST OP (“data portability”)  PRAVICA DO UGOVORA  PRAVICE V ZVEZI Z AVTOMATIZIRANO OBDELAVO IN PROFILIRANJEM
  • 19. PRAVICE  Informacije se posameznikom zagotavljajo v kratki, jedrnati, jasni in pregledni obliki – preprost in razumljiv jezik (ne po principu “pravniki za pravnike”). Komisija lahko določi standardizirane IKONE za informacije.  Načelo pomoči stranki – olajšati uresničevanje pravic.  Zahteva v e-obliki – odgovor v e-obliki.  Daljši roki – 1 mesec, možnost podaljšanja še za dva meseca.  Pravice se omogočijo brezplačno, razen če so zahteve “očitno neutemeljene ali pretirane” – zaračuna razumno pristojbino / zavrne obravnavo zahteve.
  • 21. PRAVICA DO POPRAVKA 16. člen GDPR:  Pravica do popravka.  Ob upoštevanju namenov obdelave, pravica do dopolnitve nepopolnih osebnih podatkov, vključ̌no s predlož̌itvijo dopolnilne izjave (“supplementary statement”).
  • 22. PRAVICA DO PRENOSLJIVOSTI OP 20. člen GDPR: “data portability” • Posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, • pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, • Če je podlaga za obdelavo privolitev ali pogodba, • se obdelava izvaja z avtomatiziranimi sredstvi, • neposredno od upravljavca do upravljavca, če je tehnično izvedljivo, • ne, če gre za obdelavo, ki je potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.
  • 23. Številne dileme o izvajanju pravice do prenosljivosti Smernice delovne skupine po členu 29 Direktive o pravici do prenosljivosti. Iz točk a) in b) so nastali trije pogoji, ki morajo biti pri prenosljivosti izpolnjeni kumulativno: 1. 1. osebni podatki morajo biti obdelani z avtomatiziranimi sredstvi (tj. brez papirnih dokumentov) na podlagi predhodne privolitve posameznika, na katerega se nanašajo osebni podatki, ali na podlagi izvajanja pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki; 2. 2. zahtevani osebni podatki morajo biti povezani s posameznikom, na katerega se nanašajo osebni podatki, pri čemer jih mora ta posameznik tudi posredovati. 3. 3. gre za podatke, ki jih posreduje posameznik, na katerega se nanašajo osebni podatki, če jih: - „posreduje“ zavestno in dejavno, kot so podatki o računu (npr. e-poštni naslov, uporabniško ime, starost), - so predloženi prek spletnih obrazcev, in tudi, - če se ustvarijo in zberejo z dejavnostmi uporabnikov, z uporabo storitve ali naprave. Šteje se, da tretjega pogoja ne izpolnjujejo podatki, ki so izpeljani ali povzeti iz podatkov, ki jih posreduje posameznik, npr. uporabniški profil, ustvarjen z analizo »surovih« podatkov. ? osebni podatki, ki jih je posameznik (na podlagi privolitve ali pogodbe) posredoval ob obiski spletne strani, spletne trgovine ipd. ?
  • 24. PRAVICA DO UGOVORA 21. člen GDPR:  če je podlaga 6(1) e. ali f. : Upravljavec preneha obdelovati OP, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.  V primerih neposrednega trženja: se ne obdelujejo več za ta namen.  V primeru obdelave v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) : razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.
  • 25. AVTOMATIZIRANO ODLOČANJE NA PODLAGI PROFILOV 22. člen GDPR: • Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. • RAZEN, če je odločitev: a) nujna za sklenitev ali izvajanje pogodbe med posameznikom in upravljavcem; b) dovoljena v pravu Unije ali DČ, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika; c) utemeljena z izrecno privolitvijo posameznika (glede posebnih vrst OP le izjemoma). • V a) in c) primeru upravljavec izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.
  • 26. PRAVICA DO IZBRISA 17. člen GDPR: PRAVICA DO IZBRISA (→“pravica do pozabe”):  OP niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;  Posameznik prekliče privolitev in ni druge pravne podlage za obdelavo;  Posameznik obdelavi ugovarja po 21(1), pa ne obstajajo prevladujoči zakoniti razlogi, ali posameznik, obdelavi ugovarja po 21(2) - neposredno trženje, vključno s profiliranjem;  OP so bili obdelani nezakonito;  OP je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;  OP so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1). - starost otroka pod določeno mejo, ni privolitve starša
  • 27. PRAVICA DO POZABE Google v Spain Sodba SEU v zadevi C - 131/12, Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, 14.5.2014
  • 28. Specifičnost ureditve na področju elektronskih komunikacij  E-Privacy Direktiva (Direktiva 2002/58/ES Evropskega parlamenta in Sveta o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij) – 2.7.2002 (* v pripravi e-Privacy Uredba) ZEKom-1:  12. poglavje (od 144 do 161. člena) - „Obdelava osebnih podatkov in varstvo zasebnosti elektronskih komunikacij“; snemanje komunikacij, neželena komunikacija, piškotki…  opredelitve pojmov tudi v 3.členu ZEKom-1  pravice uporabnikov glede pravice do prejema nerazčlenjenih obračunov v 11. poglavju (1. in 4. odst. 139. člena)
  • 29. Prenos Splošne uredbe (in Direktive) v ZVOP-2 1. OSNUTEK ZVOP-2 (3.10.2017) Pripombe zbirane do 13.11.2017, vseboval je 100 členov, brez posebnosti za področje neposrednega trženja. 2. 1. PREDLOG ZVOP-2 (23.1.2018) Pripombe zbirane do 2.2.2018, vseboval je 123 členov, prenos ureditve obdelave osebnih podatkov za neposredno trženje iz ZVOP-1 (92 in 93. člen predloga). 3. 2. PREDLOG ZVOP-2 (4.4.2018) Predlagan sprejem v DZ po nujnem postopku (zavrnjen), vsebuje 145 členov, zapletena ureditev neposrednega trženja v 100. in 101. čl.
  • 30. 2. Predlog ZVOP-2 100. člen  1) Upravljavec lahko uporablja osebne podatke posameznikov, na katere se nanašajo osebni podatki, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če drug zakon ne določa drugače.  (2) Za namene izvajanja neposrednega trženja lahko upravljavec obdeluje le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik, na katerega se osebni podatki nanašajo, sam objavil brez očitnega namena, da bi omejil njihovo nadaljnjo obdelavo. Na podlagi privolitve posameznika ali druge zakonske podlage lahko upravljavec obdeluje tudi druge osebne podatke, posebne vrste osebnih podatkov pa le, če ima za to izrecno privolitev posameznika.  (3) Ne glede na določbe prvega in drugega odstavka tega člena, lahko upravljavec obdeluje osebne podatke iz drugega odstavka tega člena za namene izvajanja neposrednega trženja tudi v skladu z drugimi pravnimi podlagami iz Splošne uredbe in zakona.
  • 31. 2. Predlog ZVOP-2 100. člen (4) Upravljavec neposredno trženje po prvem in drugem (? tretjem) odstavku tega člena izvaja tako, da posamezniku ob izvajanju neposrednega trženja posreduje naslednje informacije: • identiteto in kontaktne podatke upravljavca; • ali je upravljavec podatke zbral iz javno dostopnih virov, ali v okviruzakonitegaopravljanja dejavnosti; in • na kakšen način lahko posameznik uveljavlja pravico iz 16. člena in drugega odstavka 21. člena Splošne uredbe ter iz 101. člena tega zakona. (5) Če namerava upravljavec posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom za namene neposrednega trženja, o tem obvesti posameznika in pred posredovanjem osebnih podatkov zagotovi pravno podlago za posredovanje podatkov ali pa pridobi njegovo izrecno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov vsebuje informacijo, katere podatke namerava posredovati, komu, kdaj in za kakšen namen. Stroške obvestila krije upravljavec. (6) Obdelava osebnih podatkov s področja neposrednega trženja je prepovedana za druge namene trženja, zlasti za politično trženje, kar vključuje kontaktiranje ali prepričevanje morebitnih volivcev ali njihovo profiliranje. *Uvodna določba 56 Splošne uredbe: Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo osebne podatke o političnih mnenjih ljudi, se lahko obdelava takih podatkov dovoli iz razlogov javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.
  • 32. OBVEZNOSTI UPRAVLJAVCEV Dokazno breme za obdelavo osebnih podatkov, ki je skladna z načeli iz Splošne uredbe je izrecno na upravljavcu. Novosti: ― manj birokratskih bremen: ni več obveznosti prijave kataloga zbirk, ni več potrebno dovoljenje za iznos podatkov pri uporabi stand. pog. klavzul, * namesto kataloga evidenca dejavnosti obdelave – obveznost vseh upravljavcev ― dolžnost ocene vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (33. člen), ― natančneje določena obveznost informiranja (13. in 14. člen Splošne uredbe) * informacije za posameznike/notranje politike zasebnosti in varstva osebnih podatkov
  • 33. OBVEZNOSTI UPRAVLJAVCEV Novosti: ― dolžnost imenovanja osebo, pooblaščene za varstvo osebnih podatkov (35. – 37. člen), ― dolžnost poročanja o incidentih v zvezi z osebnimi podatki (31. in 32. člen), ― spoštovanje načel vgrajenega varstva osebnih podatkov in zasebnosti prijaznih začetnih nastavitev (23. člen), ― zagrožene so visoke sankcije za prekrške – do 4% letnega prometa.
  • 34. Odgovorna oseba za varstvo osebnih podatkov Za katere upravljavce velja obveznost, kdo so osebe za varstvo osebnih podatkov, katere naloge imajo, kakšen je njihov položaj znotraj upravljavca.
  • 35. Odgovorna oseba za varstvo osebnih podatkov Imenovanje uradne osebe za varstvo osebnih podatkov je obvezno:  v upravljavcih in obdelovalcih v javnem sektorju;  v tistih upravljavcih in obdelovalcih osebnih podatkov, katerih osnovna dejavnost vključuje obsežno obdelavo osebnih podatkov na način rednega in sistematičnega spremljanja posameznikov ter  pri upravljavcih katerih osnovna dejavnost vključuje obsežno obdelavo posebnih kategorij osebnih podatkov iz 9 člena Splošne uredbe oziroma podatkov, ki so povezani s kazenskimi obsodbami in prekrški iz 9.a člena Splošne uredbe. V vseh ostalih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov prepuščena upravljavcu oziroma pogodbenemu obdelovalcu.
  • 36. Odgovorna oseba za varstvo osebnih podatkov Pogoji za pooblaščeno osebo v javnem sektorju (46 člen predloga ZVOP-2 4/4 2018): 1. je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora in aktivno obvlada slovenski jezik, 2. je poslovno sposoben, 3. ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 8. raven, ali ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 9. raven, 4. ima vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov, 5. ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete in obsodba še ni bila izbrisana.
  • 37. Odgovorna oseba za varstvo osebnih podatkov Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. obvezna je določitev t.i. vodilnega člana pravne osebe (POVOP) POVOP je lahko le posameznik ali vodilni član v pravni osebi, in mora izpolnjevati pogoje, kot jih je predlagatelj ZVOP-2 določil za POVOP v javnem sektorju, razen pogoja državljanstva Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora. Enake pogoje morajo izpolnjevati tudi druge osebe, ki pomagajo vodilnemu članu pri izvajanju nalog. Pri svojem delu so vezane na navodila vodilnega člana.
  • 38. Odgovorna oseba za varstvo osebnih podatkov Za pooblaščeno osebo in osebe, ki ji pomagajo pri izvajanju njenih nalog, se ne sme določiti oseb, ki so v konfliktu interesov z upravljavcem ali obdelovalcem ali bi bilo njihovo delo kot pooblaščene osebe v konfliktu z njegovimi drugimi nalogami ali s položajem pri upravljavcu ali obdelovalcu. V javnem sektorju se za konflikt interesov šteje:  če ima določena oseba položaj predstojnika v osebi javnega sektorja,  če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,  če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali  če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Navedeno smiselno velja tudi za zasebni sektor (46/X člen predloga ZVOP-2 4/4 2018).
  • 39. Konkretne naloge pooblaščene osebe za varstvo osebnih podatkov  Informiranje in svetovanje zaposlenim pri upravljavcu/pogodbenemu obdelovalcu, ki obdelujejo osebne podatke glede njihovih dolžnosti.  Spremljanje in nadziranje skladnosti obdelave osebnih podatkov pri upravljavcu oziroma pogodbenem obdelovalcu z določili Splošne uredbe drugih predpisov Unije ali države članice s področja varstva osebnih podatkov in politikami upravljavca oziroma pogodbenega obdelovalca, vključno z nalogami osveščanja in usposabljanja zaposlenih, ki so vključeni v postopke obdelave osebnih podatkov in s tem povezanih rednih pregledov.  Svetovanje glede analize vplivov na zasebnost in spremljanje ter nadziranje njenega izvajanja.  Sodelovanje z nacionalnim nadzornim organom za varstvo osebnih podatkov.  Kontaktna točka za nacionalni nadzorni organ, tudi glede predhodnega posvetovanja iz 34. člena Splošne uredbe in posvetovanja potrebnega v drugih zadevah;