Na splošno bi morala vsaka organizacija voditi evidenco o svojih dejavnostih obdelave. To je popis vseh postopkov obdelave in vam lahko pomaga pri pravilnih predpostavkah o svojih odgovornostih v skladu s Splošno uredbo o varstvu podatkov in morebitnih tveganjih.

Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:

• namen obdelave (npr. zvestoba strank);
• kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
• kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
• kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP),
• kjer je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja),
• kjer je mogoče, splošen opis varnostnih ukrepov.

Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije.

Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.

Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatke, obdelane za enkratne dogodke, kot je odprtje trgovine).

Več informacij:

• Bodite skladni s predpisi

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito

Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.

Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Vsaka organizacija, ne glede na njeno velikost ali sektor, s sedežem v Evropskem gospodarskem prostoru (EGP) ali ponuja izdelke ali storitve posameznikom v EGP, obdeluje osebne podatke z avtomatiziranimi sredstvi ali ne, mora biti skladna s Splošno uredbo o varstvu podatkov. Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v arhivski omari.

Primeri postopkov obdelave vključujejo zbiranje, beleženje, urejanje, uporabo, prilagajanje, shranjevanje, razkrivanje, spreminjanje in brisanje osebnih podatkov posameznikov.

Kljub temu je uporaba Splošne uredbe o varstvu podatkov prilagojena glede na naravo, kontekst, namene in tveganja izvedenih dejanj obdelave. Za MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, so lahko obveznosti manj stroge kot za veliko podjetje.

Več informacij:

• Osnove varstva podatkov

Da, Splošna uredba o varstvu podatkov se uporablja, če so osebni podatki vsebovani ali naj bi bili vsebovani v zbirki podatkov. To pomeni, da se Splošna uredba o varstvu podatkov uporablja tudi za papirne zapise in ne samo za avtomatizirano obdelavo osebnih podatkov.

Več informacij:

• Osnove varstva podatkov

EOVP redno objavlja sporočila za javnost, novice, bloge in druge vsebine na spletnem mestu EOVP in na kanalih družbenih medijev (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) da skupnost za varstvo podatkov in širšo javnost obvešča o svojem delu.

Na spletišču EOVP sta tudi dva vira RSS, na katera se lahko naročite za samodejne novosti glede novic EOVP in najnovejših publikacij EOVP.

Potrebni varnostni ukrepi se lahko razlikujejo glede na naravo osebnih podatkov, ki jih obdelujete in s tem povezana tveganja za posameznike. V vsakem primeru obstaja nekaj minimalnih ukrepov, ki jih morate sprejeti:

• zavarujte dostop do prostorov;
• uporabljajte redno posodobljeno protivirusno programsko opremo;
• skrbno izberite svoja gesla;
• zagotovite, da se uporabniki pred uporabo računalniške opreme avtentificirajo;
• vzpostavite politiko varnostnega kopiranja in pridobivanja podatkov v primeru incidenta.

Poleg tega so na mestu nekateri osnovni ukrepi, kot so zaklepanje zaslona, medtem ko ste odsotni in zaklepanje pisarne ob koncu dneva.

Več informacij:

• Zavarujete osebne podatke

Da se privolitev šteje za veljavno, mora biti:

• prosto dana;
• specifična;
• informirana in
• nedvoumna.

To pomeni, da morajo imeti posamezniki resnično svobodno izbiro glede tega, ali se strinjajo z obdelavo svojih osebnih podatkov ali ne; potrebujejo dovolj informacij, da lahko razumejo, kateri podatki se obdelujejo, za kakšen namen in kako se to izvaja; prav tako morajo biti nameni dovolj razčlenjeni v obrazcih za privolitev.

Poleg tega mora posameznik podati jasno pritrditev (brez vnaprej označenih polj in ločeno od veljavnih splošnih pogojev).

Poleg tega morajo posamezniki imeti možnost, da svobodno umaknejo svojo privolitev (brez kakršnih koli negativnih posledic), če si pozneje premislijo.

Več informacij:

• Obdelujte osebne podatke zakonito

Splošna uredba o varstvu podatkov predvideva posebne pravice posameznikov, ki jih je treba spoštovati. To lahko storite tako, da:

• obveščate posameznike, katerih podatke obdelujete, o vaših postopkih obdelave in namenih obdelave, ko zbirate njihove podatke, na primer z izjavo o zasebnosti na vaši spletni strani;
• z odzivanjem na zahteve posameznikov za uveljavljanje njihovih pravic, kot so zahteve za dostop, popravek, ugovor, izbris ali prenosljivost.

Za organizacije, ki so pregledne glede uporabe osebnih podatkov in ki spoštujejo pravice posameznikov, je manj verjetno, da bodo predmet pritožb.

Več informacij:

• Spoštujte pravice posameznikov

Posamezniki imajo pravico zahtevati izbris osebnih podatkov, ki se nanašajo nanje in v tem primeru je upravljavec dolžan osebne podatke izbrisati. Odgovoriti morate brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve. Ta rok se lahko podaljša za dodatna dva meseca, če je zahteva preveč zapletena in je za obravnavo zahteve potrebno več časa, pod pogojem, da je posameznik o tem obveščen v enem mesecu po prejemu zahteve.

Pomembno je opozoriti, da pravica do izbrisa ni absolutna. Ne uporablja se, kadar so zadevni podatki potrebni za:

• uveljavljanje pravice do svobode izražanja in obveščanja (npr. za novinarske namene);
• izpolnjevanje zakonske obveznosti, ki zahteva obdelavo osebnih podatkov (npr. obdelava evidenc o delovnem času zaposlenih);
• razloge javnega interesa na področju javnega zdravja;
• namene arhiviranja v javnem interesu ali znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene in
• uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Če so bili osebni podatki, ki jih je treba izbrisati, predhodno preneseni drugim organizacijam, morate te prejemnike obvestiti, da je posameznik zahteval izbris, razen če se to izkaže za nemogoče ali bi zahtevalo nesorazmerna prizadevanja.

Več informacij:

• Spoštujte pravice posameznikov