Organizacija mora ne le obdelovati osebne podatke v skladu s Splošno uredbo o varstvu podatkov, ampak mora biti tudi sposobna dokazati svojo skladnost. To vključuje izvajanje vgrajenega varstva podatkov, vodenje evidence o dejavnostih obdelave in v nekaterih okoliščinah izvedbo ocene učinka v zvezi z varstvom podatkov.
Vgrajeno in privzeto varstvo podatkov
Kot upravljavec morate pri načrtovanju postopka obdelave in v času obdelave izvajati ustrezne ukrepe in zaščitne ukrepe za zagotovitev spoštovanja načel varstva podatkov. Prav tako morate zagotoviti, da se privzeto obdelujejo samo osebni podatki, ki so potrebni za vsak posamezen namen (to velja za količino podatkov, obseg obdelave, omejitev shranjevanja in njihovo dostopnost).
Z drugimi besedami, organizacija, ki uporablja vgrajeno in privzeto varstvo podatkov, je organizacija, ki upošteva in vgrajuje varstvo podatkov in zasebnost posameznikov v vseh vidikih in v vseh fazah svojih postopkov obdelave, v uporabljenih orodjih ali katerih koli drugih poslovnih dejavnostih.
Da bi to storili, mora vaša organizacija pred uvedbo kakršnih koli postopkov obdelave upoštevati:
- naravo, kontekst in obseg predvidenega postopka obdelave;
- tveganja, ki lahko izhajajo iz predvidenih postopkov obdelave ali katerih koli drugih poslovnih dejavnosti, ki bi lahko vplivale na osebne podatke posameznikov;
- tehnične in organizacijske ukrepe, ki bi jih bilo treba sprejeti za zmanjšanje ugotovljenih tveganj in s tem zagotoviti, da so osebni podatki posameznikov ustrezno zaščiteni;
- tehnične in organizacijske ukrepe ali postopke, ki jih je treba uvesti za zagotovitev, da je obdelava osebnih podatkov (zlasti vključno z zbiranjem, shranjevanjem in splošno uporabo podatkov posameznikov) omejena na to, kar je potrebno glede na zastavljene cilje.
V praksi
- Knjigarna želi povečati svoje prihodke s prodajo knjig na spletu. Lastnik knjigarne želi vzpostaviti standardiziran obrazec za postopek naročanja. Najprej lastnik določi, da so vsa polja v obrazcu obvezna, vključno z datumom rojstva stranke, telefonsko številko in domačim naslovom. Vendar pa niso vsa polja v obrazcu potrebna za prodajo in dostavo knjig.
Na primer, pri naročanju e-knjige lahko stranka izdelek prenese neposredno na svojo napravo. Zato teh polj v spletnem obrazcu ni mogoče zahtevati za naročilo knjig. Lastnik spletne trgovine se zato odloči za izdelavo dveh spletnih obrazcev: enega za naročanje knjig, s poljem za naslov stranke in drugega spletnega obrazca za naročanje e-knjig brez polja za naslov stranke. Pri tem lastnik zagotovi, da se zbirajo samo podatki, potrebni za obdelavo. - Medicinska praksa, ki zaposluje več zdravnikov, zbira podatke o svojih pacientih v svojem organizacijskem informacijskem sistemu. Različni zdravniki bodo morda morali dostopati do pacientovih kartotek, na primer kadar pokrivajo drugega zdravnika, ki je odsoten, obveščajo o svojih odločitvah glede oskrbe in zdravljenja bolnikov ter dokumentirajo vse sprejete diagnostične ukrepe, ukrepe oskrbe in zdravljenja. Privzeto se dostop odobri le zdravnikom, ki so dodeljeni za zdravljenje zadevnega pacienta.
Koristno je voditi evidenco teh ocen in ukrepov, da bi lahko dokazali, da spoštujete načeli vgrajenega in privzetega varstva podatkov. Odobreni mehanizem certificiranja se lahko uporabi tudi kot element za dokazovanje skladnosti z vgrajenim in privzetim varstvom podatkov.
Obveznost vodenja evidenc o obdelavi podatkov
Kot organizacija imate dolžnost, da vodite evidenco o svojih dejavnostih obdelave podatkov. Te evidence je treba hraniti v pisni obliki, vključno z elektronsko obliko.
Ta evidenca vam daje pregled nad vašimi dejavnostmi obdelave. Da bi ustvarili takšno evidenco, morate opredeliti, katere od vaših dejavnosti zahtevajo obdelavo osebnih podatkov (primeri vključujejo zaposlovanje, upravljanje plač, usposabljanje, upravljanje z izkaznicami in dostopi, seznam potencialnih strank itd.). Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:
- namen obdelave (npr. zvestoba strank);
- kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
- kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
- kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP);
- kadar je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja);
- kjer je mogoče, splošen opis varnostnih ukrepov.
Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije. Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.
Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatki, obdelani za enkratne dogodke, kot je odprtje trgovine).
Preberite več
Delovna skupina iz člena 29: dokument o stališču o odstopanjih od obveznosti vodenja evidenc o dejavnostih obdelave (ki jih je potrdil Evropski odbor za varstvo podatkov)
Tiskovni center Evropske komisije
Kako izvesti oceno učinka v zvezi z varstvom podatkov?
Kaj je ocena učinka?
Kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec podatkov izvesti oceno učinka v zvezi z varstvom podatkov (v nadaljevanju: ocena učinka). Ocena učinka je pisna ocena načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih zaščitnih ukrepov za zmanjšanje tveganj in dokazovanje skladnosti.
Kdaj narediti oceno učinka?
Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je takšno oceno učinka obvezno izvesti, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.
To velja zlasti, kadar predvidena obdelava vključuje:
- obsežno obdelavo občutljivih osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami;
- sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov in na katerih temeljijo odločitve, ki imajo pravne učinke za zadevnega posameznika ali podobno pomembno vplivajo na posameznike;
- obsežno sistematično spremljanje javno dostopnega območja.
V večini primerov bi bilo treba postopke obdelave, ki izpolnjujejo dve od naslednjih meril, oceniti z oceno učinka:
- vrednotenje ali točkovanje;
- avtomatizirano sprejemanje odločitev s pravnim ali podobnim pomembnim učinkom;
- sistematično spremljanje;
- občutljivi podatki ali podatki zelo osebne narave;
- podatki, ki se obdelujejo v velikem obsegu;
- ujemanje ali združevanje podatkovnih nizov;
- podatke o ranljivih posameznikih, na katere se nanašajo osebni podatki;
- inovativna uporaba ali uporaba novih tehnoloških ali organizacijskih rešitev;
- kadar obdelava sama po sebi posameznikom preprečuje uveljavljanje pravice ali uporabo storitve ali pogodbe.
Ali moram opraviti oceno učinka v zvezi z varstvom podatkov?
Če želite izvedeti, odgovorite na vprašanja s pomočjo našega interaktivnega diagrama!
Ali je verjetno, da bo obdelava povzročila velika tveganja?
Ali veljajo kakšne izjeme?
Primeri, v katerih ocena učinka v zvezi z varstvom podatkov morda ni potrebna:
- predvideni postopek obdelave je zelo podoben obdelavi, ki je že bila predmet ocene učinka v zvezi z varstvom podatkov;
- vrsta obdelave je na seznamu izjem, ki ga je morda sprejel vaš organ za varstvo podatkov;
- postopek obdelave je dovoljen v skladu s pravom EU ali nacionalnim pravom.
Ali moram opraviti oceno učinka v zvezi z varstvom podatkov?
Da, izvesti morate oceno učinka v zvezi z varstvom podatkov
Ali po izvedbi ocene učinka v zvezi z varstvom podatkov še vedno obstajajo velika tveganja?
Ali moram opraviti oceno učinka v zvezi z varstvom podatkov?
Ocena učinka v zvezi z varstvom podatkov ni potrebna
Posvetujte se s svojim organom za varstvo podatkov
Ni se vam treba posvetovati z organom za varstvo podatkov
Najboljši nasvet glede ocene učinka
Stopite v stik z organom za varstvo podatkov države EGP, v kateri ima vaša organizacija sedež, da ugotovite, ali je javno objavila dokument, v katerem so navedeni pogoji, za katere postopke obdelave bo potrebno izvesti oceno učinka in za katere postopke obdelave izvedba ni potrebna.
Primeri, ko se lahko zahteva izvedba ocena učinka:
- obdelava biometričnih podatkov, na primer skeniranje prstnih odtisov ali obraznih značilnosti za identifikacijo pacientov;
- uporaba podatkov ranljivih posameznikov za namene trženja, na primer za predvidevanje njihovih nakupov;
- mobilna aplikacija za sledenje lokaciji posameznika.
Primeri, ko ocena učinka v zvezi z varstvom podatkov morda ni potrebna
- predvideni postopek obdelave je zelo podoben obdelavi, ki je bila predmet ocene učinkov;
- obdelava je vključena na neobvezen seznam postopkov obdelave (ki ga je izdal vaš nacionalni organ za varstvo podatkov), za katere ne velja obveznost izvedbe ocena učinka;
- postopek obdelave je dovoljen v skladu s pravom EU ali nacionalnim pravom.
Kaj vključiti v oceno učinka?
Ocena učinka bi morala vključevati:
- opis načrtovanega postopka obdelave in njegovega namena;
- oceno nujnosti in sorazmernosti;
- tveganja, ki jih lahko povzroči postopek obdelave;
- ukrepe za obvladovanje tveganj.
Predhodno posvetovanje med oceno učinka
Kadar upravljavec podatkov ne more najti zadostnih ukrepov za zmanjšanje tveganj na sprejemljivo raven (tj. preostala tveganja so še vedno visoka), se je potrebno posvetovati z organom za varstvo podatkov. V tem primeru mora upravljavec podatkov zagotoviti naslednje informacije:
- odgovornosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo;
- namen postopka obdelave in način izvajanja postopka obdelave;
- predvidene ukrepe za varstvo osebnih podatkov posameznikov;
- kontaktne podatke pooblaščene osebe za varstvo podatkov v vaši organizaciji, če je ustrezno;
- zadevno oceno učinka.
Po opravljeni oceni učinka – preizkusite, izboljšajte, preverite!
Ko je vaša ocena učinka pripravljena, jo morate preizkusiti; jo po potrebi izboljšati; izvesti postopek obdelave; ponovno oceniti, ali se vaša ocena učinka ujema s postopkom obdelave in opraviti kontrolni pregled.
Preberite več
Delovna skupina iz člena 29: Smernice za oceno učinka v zvezi z varstvom podatkov (DPIA)
Tiskovni center Evropske komisije
Nacionalni seznami vrst postopkov obdelave podatkov, ki zahtevajo ali ne zahtevajo ocene učinka v zvezi z varstvom podatkov
Komisija za varstvo podatkov, irski nadzorni organ
Kodeksi ravnanja
Odvisno od tega, kje se vaša organizacija nahaja v EGP, lahko obstajajo združenja ali druga telesa, ki zastopajo upravljavce ali obdelovalce podatkov. Ta združenja in telesa lahko pripravijo kodekse ravnanja, vključno z mehanizmi za varstvo podatkov, ki jih lahko upoštevajo upravljavci in obdelovalci podatkov, da jim pomagajo zagotoviti spoštovanje osebnih podatkov posameznikov v skladu s Splošno uredbo o varstvu podatkov.
Natančneje, ti kodeksi ravnanja naj bi na primer zagotovili:
- da se osebni podatki obdelujejo na pošten in pregleden način;
- da so nameni, za katere se obdelujejo osebni podatki posameznikov, zakoniti;
- način psevdonimizacije osebnih podatkov;
- da so posameznikom, katerih osebni podatki se obdelujejo posredovane pregledne informacije;
- da je privolitev v obdelavo podatkov posameznikov, zlasti osebnih podatkov v zvezi z otroki, ustrezno pridobljena;
- da se sprejmejo vsi tehnični in organizacijski ukrepi za zagotovitev varne obdelave podatkov posameznikov;
- da se upoštevajo postopki za obveščanje o kršitvah varnosti osebnih podatkov;
- da se upoštevajo postopki, vključno z zaščitnimi ukrepi, v zvezi s prenosi osebnih podatkov v države in organizacije, ki niso članice EGP;
- da se upoštevajo postopki v zvezi s sodnimi postopki in reševanjem sporov.
Najboljši nasvet
- Stopite v stik z ustreznim združenjem ali organom, ki pripravlja kodekse ravnanja po Splošni uredbi o varstvu podatkov, saj vam lahko pomagajo pri skladnosti s Splošno uredbo o varstvu podatkov.
Certificiranje
Kaj je certifikacija po Splošni uredbi o varstvu podatkov?
Organizacija, ki pridobi certifikat po Splošni uredbi o varstvu podatkov, lahko ta certifikat uporabi za dokazovanje skladnosti svojih postopkov obdelave s Splošno uredbo o varstvu podatkov.
Organi EGP za varstvo podatkov lahko na primer:
- izdajajo certifikate po Splošni uredbi o varstvu podatkov v zvezi s svojo shemo certificiranja;
- sami izdajajo certifikate po Splošni uredbi o varstvu podatkov v zvezi s svojo shemo certificiranja, vendar celoten postopek ocenjevanja ali del postopka ocenjevanja prenesejo na tretje osebe;
- oblikujejo lastno shemo certificiranja in pooblastijo posebne organe za izdajo teh potrdil;
- spodbujajo trg k razvoju mehanizmov certificiranja;
- ocenjujejo certifikacijske sheme certifikacijskih organov.
Certifikacijski organ je zadolžen za izdajanje, pregledovanje in odvzem certifikatov na podlagi mehanizma certificiranja in odobrenih meril.
Certifikacijski organi morajo dokumentirati svojo oceno postopkov obdelave v vaši organizaciji, za katere se lahko izda certifikat po Splošni uredbi o varstvu podatkov.
Moja organizacija je prejela certifikat po Splošni uredbi o varstvu podatkov, kaj je naslednje?
Certifikat za postopke obdelave, ki jih izvaja vaša organizacija po Splošni uredbi o varstvu podatkov, velja največ 3 leta, vendar ga je mogoče podaljšati ali preklicati. Za ohranitev tega certifikata mora vaša organizacija stalno in dosledno izvajati ukrepe v zvezi z operacijo varstva podatkov, ki je bila certificirana.