Nekatere vrste osebnih podatkov spadajo v posebne vrste osebnih podatkov, kar pomeni, da si zaslužijo več varstva, tako imenovani občutljivi podatki. Občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:

• zdravju posameznika;
• spolni usmerjenosti posameznika;
• rasnem ali etničnem poreklu posameznika;
• posameznikovem političnem, verskem ali filozofskem prepričanju;
• članstvu posameznika v sindikatu;
• biometričnih in genetskih podatkih posameznika.

Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo.

Več informacij:

• Osnove varstva podatkov

Psevdonimizacija pomeni preoblikovanje osebnih podatkov, tako da jih ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov za zagotovitev, da se osebni podatki ne morejo pripisati posamezniku. V praksi lahko pomeni zamenjavo osebnih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov.

Anonimizirani podatki so podatki, ki so anonimizirani na tak način, da posameznik ni ali ni več določljiv na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen. Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke.

Več informacij:

• Zavarujte osebne podatke

Splošna uredba o varstvu podatkov vzpostavlja usklajen sklop pravil, ki se uporabljajo za vso obdelavo osebnih podatkov s strani organizacij (javnih ali zasebnih, ne glede na njihovo velikost) s sedežem v Evropskem gospodarskem prostoru (EGP) ali za posameznike v EU. Glavni cilj Splošne uredbe o varstvu podatkov je zagotoviti, da so osebni podatki povsod v EGP deležni enakih visokih standardov varstva, s čimer se poveča pravna varnost za posameznike in organizacije, ki obdelujejo podatke, ter zagotavlja visoko stopnjo varstva posameznikov.

Uredba je začela veljati 24. maja 2016 in se uporablja od 25. maja 2018.

Pogodba o pogodbeni obdelavi mora določati, da obdelovalec:

• obdeluje osebne podatke samo po navodilih upravljavca, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
• zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
• zagotavlja varnost obdelave;
• ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca;
• pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
• pomaga upravljavcu pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju ocene učinka v zvezi z varstvom podatkov;
• po izbiri upravljavca izbriše ali vrne vse osebne podatke upravljavcu po koncu opravljanja storitev;
• upravljavcu daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
• omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga pooblasti upravljavec in pri njih sodeluje.

Poleg tega obdelovalec nemudoma obvesti upravljavca, če meni, da navodila kršijo Splošno uredbo o varstvu podatkov ali druge določbe EU ali nacionalne določbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Kršitev varnosti osebnih podatkov je kršitev varnosti, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov.

• Če kršitev varstva podatkov pomeni tveganje za zadevne posameznike, jo morate v 72 urah prijaviti pristojnemu organu za varstvo podatkov.
• Če je verjetno, da bo kršitev povzročila veliko tveganje za posameznike, morate to kršitev brez nepotrebnega odlašanja sporočiti tudi zadevnim posameznikom.

V vsakem primeru morate za vse kršitve – tudi tiste, ki niso priglašene organu za varstvo podatkov – zabeležiti vsaj osnovne podrobnosti o kršitvi, njeno oceno, njene učinke in sprejete ukrepe.

Več informacij:

• Kršitve varstva podatkov

Posamezniki vas lahko vprašajo, ali obdelujete njihove podatke in če jih obdelujete, imajo pravico do dostopa do teh podatkov. Če obdelujete njihove podatke, morate na primer brezplačno zagotoviti kopijo njihovih osebnih podatkov, skupaj z vsemi potrebnimi dodatnimi informacijami. Če je zahteva vložena v elektronski obliki, mora vaša organizacija zagotoviti zahtevane informacije v splošno uporabljani elektronski obliki, razen če posameznik ne zahteva drugače.

Več informacij:

• Spoštujte pravice posameznikov

Če vaša organizacija zbira osebne podatke neposredno od posameznikov, mora potrebne informacije zagotoviti v času zbiranja.

V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se lahko skrajša:

• če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika, na katerega se nanašajo osebni podatki, obvestiti najpozneje ob prvem komuniciranju s posameznikom, na katerega se nanašajo osebni podatki;
• če se podatki posredujejo drugemu prejemniku, mora organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.

Več informacij:

• Spoštujte pravice posameznikov

Pooblaščena oseba za varstvo podatkov je lahko obstoječi zaposleni z zadostnim poznavanjem Splošne uredbe o varstvu podatkov (če so poklicne naloge zaposlenega združljive z nalogami pooblaščene osebe za varstvo podatkov in to ne vodi v nasprotje interesov) ali zunanja oseba. Pooblaščena oseba za varstvo podatkov bi morala imeti možnost, da naloge opravlja neodvisno in da lahko poroča neposredno najvišjemu vodstvu.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Splošna uredba o varstvu podatkov razlikuje med dvema glavnima vlogama: upravljavca in obdelovalca. To razlikovanje je ključnega pomena, saj ima upravljavec večjo odgovornost in mora izpolnjevati več obveznosti kot obdelovalec.

Upravljavci in obdelovalci so lahko fizične ali pravne osebe, na primer: MSP, javni organ, podjetje, organizacija, državni organ, združenje itd.

Upravljavec določi namene in sredstva postopka obdelave. Z drugimi besedami, upravljavec odloči »kako« in »zakaj« v zvezi s  postopkom obdelave. Obdelovalci obdelujejo osebne podatke v imenu upravljavca. Obdelavo, ki jo izvajajo obdelovalci, mora urejati pogodba z upravljavcem ali drug pravni akt.

Primeri upravljavcev:

• podjetja, ki obdelujejo osebne podatke v zvezi s prodajo;
• finančne institucije, ki obdelujejo osebne podatke svojih strank;
• združenja, ki obdelujejo podatke svojih članov;
• šole ali univerze, ki obdelujejo osebne podatke študentov in učiteljev;
• bolnišnice, ki obdelujejo osebne podatke svojih pacientov;
• vladne agencije, ki obdelujejo osebne podatke državljanov.

Primeri obdelovalcev:

• MSP najame knjigovodski servis za vodenje svojih knjig in evidenc, MSP je upravljavec, knjigovodski servis pa obdelovalec.
• Podjetje za obračun plač obdeluje osebne podatke za MSP. Podjetje za obračun plač bo delovalo kot obdelovalec, če obdeluje le osebne podatke v imenu MSP. MSP določa namene in sredstva obdelave podatkov in je zato upravljavec.
• MSP naroči marketinškemu podjetju, da zbira e-poštne naslove prek spletnih strani tretjih oseb.  Marketinško podjetje to počne v skladu z izrecnimi navodili MSP in izključno za namene MSP. Marketinško podjetje deluje kot obdelovalec za to zbirko.

Več informacij:

• Upravljavec ali obdelovalec