V skladu s Splošno uredbo o varstvu podatkov so za izvrševanje odgovorni nacionalni organi za varstvo podatkov. Vsaka država EGP ima svoj neodvisni organ za varstvo podatkov, ki nadzoruje uporabo Splošne uredbe o varstvu podatkov, vključno z obravnavo pritožb. Za obdelavo podatkov, ki poteka v več kot eni državi EGP, Splošna uredba o varstvu podatkov zagotavlja sistem sodelovanja med pristojnimi organi za varstvo podatkov, v okviru katerega sodelujejo, da bi dosegli soglasje. Pregled organov za varstvo podatkov.
Splošna uredba o varstvu podatkov posameznikom zagotavlja določene pravice, vključno s pravico do vložitve pritožbe pri pristojnem organu, kadar se bojijo, da je prišlo do kršitve njihovih pravic do varstva podatkov.
Naloge in pooblastila organov za varstvo podatkov
Naloge organov za varstvo podatkov
Vsak organ za varstvo podatkov EGP je odgovoren za spremljanje in uveljavljanje uporabe Splošne uredbe o varstvu podatkov ter spodbujanje ozaveščenosti javnosti in razumevanja tveganj, pravil, zaščitnih ukrepov in pravic v zvezi z obdelavo osebnih podatkov. Organi za varstvo podatkov imajo tudi naloge svetovanja nacionalnemu parlamentu, vladi ter drugim institucijam oz. organom in zagotavljanja informacij vsakemu posamezniku v zvezi z uveljavljanjem njihovih pravic. Organi za varstvo podatkov spodbujajo tudi ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi Splošne uredbe o varstvu podatkov. Organi za varstvo podatkov obravnavajo pritožbe posameznikov, izvajajo preiskave v zvezi s pravilno uporabo Splošne uredbe o varstvu podatkov in sodelujejo z drugimi organi za varstvo podatkov pri uporabi Splošne uredbe o varstvu podatkov. Organi so odgovorni tudi za:
- sprejemanje in odobritev standardnih pogodbenih klavzul;
- odobritev zavezujočih poslovnih pravil;
- odobritev kodeksov ravnanja;
- spodbujanje vzpostavitve mehanizmov certificiranja;
- prispevanje k dejavnostim EOVP;
- opravljanje vseh drugih nalog, povezanih z varstvom osebnih podatkov.
Preberite več
Pristojnosti organov za varstvo podatkov
Nacionalni organi za varstvo podatkov so v skladu s Splošno uredbo o varstvu podatkov znatno povečali svoja izvršilna pooblastila. 58. člen Splošne uredbe o varstvu podatkov določa pristojnosti vsakega od teh nacionalnih organov tako, da jih ločeno razdeli na tri glavne skupine:
- preiskovalna pooblastila;
- popravljalna pooblastila;
- svetovalna pooblastila.
Preiskovalna pooblastila
Organi za varstvo podatkov izvajajo svoja preiskovalna pooblastila, da bi ugotovili, ali gre za kršitev Splošne uredbe o varstvu podatkov, njen natančen obseg in naravo. Organi za varstvo podatkov lahko med drugim:
- odredijo organizacijam, da zagotovijo vse informacije v zvezi s preiskavo;
- izvajajo preiskave v obliki pregledov varstva podatkov in obvestijo organizacije o domnevni kršitvi Splošne uredbe o varstvu podatkov;
- pridobijo dostop do vseh osebnih podatkov, ki jih hrani organizacija in do vseh informacij, potrebnih za opravljanje njihovih nalog, vključno z dostopom do vseh prostorov organizacije, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s postopkovnim pravom EU in nacionalnim postopkovnim pravom;
- opravljajo pregled certifikatov, izdanih v skladu s sedmim odstavkom 42. člena Splošne uredbe o varstvu podatkov.
Popravljalna pooblastila
Kadar se na podlagi preiskave ugotovi kršitev določb Splošne uredbe o varstvu podatkov ali se šteje, da dejanje obdelave pomeni tveganje ali ne izpolnjuje posebnih zahtev, imajo organi za varstvo podatkov pravico, da izvajajo eno ali več svojih popravljalnih pooblastil, na primer:
- Opozorilo ali prepoved obdelave: v primeru obstoječih tveganj bi lahko organi za varstvo podatkov organizacijam izdali opozorila, da bi preprečili, da bi njihova dejanja obdelave kršila določbe Splošne uredbe o varstvu podatkov. Organi za varstvo podatkov lahko odredijo tudi začasno ali dokončno omejitev, vključno s prepovedjo obdelave in organizacijam odredijo, da zadevne posameznike obvestijo o kršitvi varstva podatkov, do katerih je prišlo.
- Odredba o skladnosti: da bi zagotovili skladnost s Splošno uredbo o varstvu podatkov ali obravnavali primere, v katerih določena merila ali zahteve niso izpolnjene, imajo organi za varstvo podatkov pooblastilo, da organizacijam odredijo, naj upoštevajo zahteve posameznikov za uveljavljanje njihovih pravic v skladu s Splošno uredbo o varstvu podatkov. Po potrebi se lahko od organizacij zahteva, da svoja dejanja obdelave uskladijo z določbami Splošne uredbe o varstvu podatkov na določen način in v določenem roku.
- Prekinitev prenosa podatkov ali preklic certifikata: poleg tega bi lahko organi za varstvo podatkov izvajali svoja pooblastila za prekinitev prenosa podatkov prejemnikom v tretjih državah ali mednarodnim organizacijam. Poleg tega bi lahko preklicali certifikat ali odredili organu za certificiranje, naj prekliče certifikat v skladu z 42. in 43. členom Splošne uredbe o varstvu podatkov. V primerih, ko zahteve za certificiranje niso izpolnjene ali niso več izpolnjene, odredi organu za certificiranje, naj ne izda certifikata.
- Opomini: v primeru ugotovljenih kršitev lahko organi za varstvo podatkov organizacijam izdajo opomine.
- Upravne globe: organi za varstvo podatkov lahko poleg ali namesto drugih zgoraj navedenih ukrepov naložijo tudi upravne globe, opredeljene v skladu s 83. členom Splošne uredbe o varstvu podatkov. Sistem upravnih sankcij zahteva oceno okoliščin vsake posamezne kršitve za vsak primer posebej. Pri oceni bi bilo treba upoštevati dejavnike, kot so narava, teža in trajanje kršitve, namernost ali malomarnost, morebitni izvedeni ukrepi za zmanjšanje škode, tehnični in organizacijski (tj. varnostni) ukrepi, ki so bili izvedeni, ter način, kako je organ za varstvo podatkov izvedel za to kršitev.
Najvišja raven morebitne sankcije bo odvisna od vrste kršitve:
- lahko znaša največ 10 milijonov EUR ali 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu (na primer v primeru kršitve „vgrajene in privzete zasebnosti“, neizpolnjevanja obveznosti sklenitve sporazuma o obdelavi podatkov ali neizvajanja ocene učinka v zvezi z varstvom podatkov ali imenovanja pooblaščene osebe za varstvo podatkov) v skladu s četrtim odstavkom 83. člena Splošne uredbe o varstvu podatkov ali
- lahko znaša največ 20 milijonov ali 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu (na primer zaradi kršitve temeljnih načel v zvezi z obdelavo, za nezakonito obdelavo osebnih podatkov brez pravne podlage ali za kršitve pravic posameznikov, na katere se nanašajo osebni podatki) v skladu s petim odstavkom 83. člena Splošne uredbe o varstvu podatkov.
Več podrobnosti o upravnih globah, povezanih s kršitvami različnih členov Splošne uredbe o varstvu podatkov, najdete v 83. členu Splošne uredbe o varstvu podatkov in smernicah Evropskega odbora za varstvo podatkov o izračunu upravnih glob v skladu s Splošno uredbo o varstvu podatkov.
Svetovalna pooblastila
Vsak organ za varstvo podatkov ima določeno vlogo odobritve in svetovanja v skladu s Splošno uredbo o varstvu podatkov, s katero lahko organizacijam zagotavlja podporo in ali odobri posebne dejavnosti obdelave. Nekateri primeri so:
- Predhodno posvetovanje: svetuje upravljavcem v skladu s postopkom predhodnega posvetovanja iz 36. člena Splošne uredbe o varstvu podatkov.
- Mnenja o zakonodajnih dejavnostih: na lastno pobudo ali na zahtevo izdajajo mnenja svojemu nacionalnemu parlamentu, vladi ali v skladu z nacionalnim pravom, drugim institucijam in organom ter javnosti o vseh vprašanjih, povezanih z varstvom osebnih podatkov.
- Kodeksi ravnanja in certificiranje: odobri osnutke kodeksov ravnanja, akreditira organe za certificiranje ali izdaja certifikate in odobri merila za certificiranje.
Za izvajanje zgoraj navedenih pooblastil organov za varstvo podatkov veljajo ustrezni zaščitni ukrepi, vključno z učinkovitim pravnim sredstvom in ustreznim postopkom, kot je določeno v pravu EU in nacionalnem pravu v skladu z Listino EU o temeljnih pravicah. Vsak organ za varstvo podatkov ima pooblastilo, da sodne organe opozori na kršitve Splošne uredbe o varstvu podatkov in po potrebi začne sodni postopek ali v njem kako drugače sodeluje, da bi uveljavil določbe Splošne uredbe o varstvu podatkov. Organom za varstvo podatkov se lahko z nacionalno zakonodajo dodelijo dodatna pooblastila.
Preberite več
Sodelovanje in sistem „vse na enem mestu“
Splošna uredba o varstvu podatkov se uporablja v celotnem EGP, pri čemer se uporablja en sklop pravil o varstvu podatkov za vse države. Ta pristop podpira mednarodna podjetja, pa tudi mala in srednja podjetja (MSP) pri njihovih prizadevanjih za razvoj in rast s ponudbo storitev v več kot eni državi EGP.
Da bi zmanjšali upravno breme obdelave osebnih podatkov v dveh ali več državah EGP, Splošna uredba o varstvu podatkov določa sistem za sodelovanje med organi za varstvo podatkov – t. i. mehanizem „vse na enem mestu“, da bi dosegli soglasje med številnimi organi za varstvo podatkov.
Kadar organizacija obdeluje podatke v dveh ali več državah EGP, je pristojni organ, ki obravnava pritožbo ali kršitev varstva podatkov, na primer organ države, v kateri ima upravljavec podatkov glavni kraj poslovanja. To upravljavcem podatkov olajša, saj jim ni treba upoštevati različnih zakonov v vsaki državi, v kateri delujejo. Poleg tega morajo sodelovati le z enim organom za varstvo podatkov. Glede na vrsto podjetja ter izdelke in storitve, ki jih ponujate, lahko čezmejna obdelava velja tudi za vaše MSP. Številna manjša podjetja, kot so spletne trgovine, spletne strani za elektronsko poslovanje, mobilne in računalniške aplikacije, ponujajo storitve v več državah.
Če vaše MSP obdeluje podatke posameznikov v različnih državah EGP, morate določiti, kateri je pristojni organ za varstvo podatkov ali vodilni organ. To je običajno organ za varstvo podatkov, ki se nahaja v državi EGP, v kateri ima vaša organizacija glavni sedež in v kateri se sprejemajo odločitve glede namenov in sredstev obdelave osebnih podatkov.
V praksi
- Spletni trgovci na drobno, na primer, prodajajo oblačila prek svojih spletnih trgovin strankam v več državah EGP in pogosto obdelujejo osebne podatke. V takem čezmejnem primeru mora biti pristojni organ država glavnega sedeža spletnega trgovca na drobno („glavni kraj poslovanja“).
Ko ugotovite, kateri DPA je vodilni, morate komunicirati le z njim. Vodilni organ za varstvo podatkov sodeluje in je udeležen v razpravah z drugimi zadevnimi organi za varstvo podatkov iz EGP.
Kadar je treba pritožbo s čezmejnim elementom obravnavati v okviru sodelovanja z drugim organom za varstvo podatkov, se sprejmejo naslednji ukrepi sodelovanja:
- Če je pritožbo prejel drug organ za varstvo podatkov, mora o zadevi obvestiti glavni organ za varstvo podatkov;
- Zadevni organ za varstvo podatkov lahko sodeluje pri pripravi odločitve o pritožbi;
- Vodilni organ za varstvo podatkov mora pri pripravi odločbe upoštevati mnenje zadevnega organa za varstvo podatkov.
Preberite več
Določitev vodilnega organa za varstvo podatkov
Ključni pojmi
Čezmejna obdelava osebnih podatkov
V skladu s Splošno uredbo o varstvu podatkov je opredelitev vodilnega organa za varstvo podatkov pomembna le za organizacije, ki čezmejno obdelujejo osebne podatke.
V Splošni uredbi o varstvu podatkov je „čezmejna obdelava“ opredeljena kot:
- obdelava osebnih podatkov, ki poteka v več kot eni državi EGP, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi EGP; ali
- obdelava osebnih podatkov, ki poteka v okviru edinega sedeža organizacije v EGP, vendar znatno vpliva ali bi lahko znatno vplivala na posameznike v več kot eni državi EGP.
V praksi
- To pomeni, da če ima organizacija na primer sedeže v Nemčiji in na Hrvaškem, obdelava osebnih podatkov pa poteka v okviru njihovih dejavnosti, to pomeni čezmejno obdelavo.
- Druga možnost je, da ima organizacija lahko samo sedež v Nemčiji. Če pa njegova dejavnost obdelave znatno vpliva ali bi lahko znatno vplivala na posameznike v Nemčiji in na Hrvaškem, bo to pomenilo tudi čezmejno obdelavo.
Razumevanje „znatnega vpliva“
Dejstvo, da organizacija v več državah EGP obdeluje določeno količino – celo veliko – osebnih podatkov posameznikov, ne pomeni nujno, da ima ali bo verjetno imela znaten vpliv. Obdelava z majhnim učinkom ali brez učinka ne pomeni čezmejne obdelave, ne glede na to, na koliko posameznikov vpliva.
Organi za varstvo podatkov bodo pojem „znatnega vpliva“ razlagali za vsak primer posebej. Upoštevali bodo kontekst obdelave, vrsto podatkov, namen obdelave in dejavnike, npr., ali obdelava:
- povzroči ali bi lahko povzročila škodo, izgubo ali stisko posameznikov;
- ima ali bo verjetno imela dejanski učinek v smislu omejevanja pravic posameznikov ali onemogočanja priložnosti;
- vpliva ali bi lahko vplivala na zdravje, dobro počutje ali duševni mir posameznikov;
- vpliva ali bi lahko vplivala na finančni ali ekonomski položaj ali okoliščine posameznikov;
- omogoča, da so posamezniki izpostavljeni diskriminaciji ali nepravični obravnavi;
- vključuje analizo posebnih vrst osebnih ali drugih vsiljivih podatkov, zlasti osebnih podatkov otrok;
- povzroči ali bi lahko povzročila, da bi posamezniki bistveno spremenili svoje vedenje;
- ima malo verjetne, nepredvidene ali neželene posledice za posameznike;
- povzroča zadrego ali druge negativne posledice, vključno s škodo ugledu ali vključuje obdelavo širokega nabora osebnih podatkov.
Vodilni organ za varstvo podatkov
Preprosto povedano, „vodilni organ za varstvo podatkov“ je organ za varstvo podatkov, ki je primarno odgovoren za obravnavanje dejavnosti čezmejne obdelave podatkov, na primer kadar posameznik vloži pritožbo glede obdelave svojih osebnih podatkov. Vodilni organ za varstvo podatkov bo usklajeval vse preiskave in sodeloval z „zadevnimi“ organi za varstvo podatkov. Določitev vodilnega organa za varstvo podatkov je odvisna od določitve lokacije „glavnega sedeža“ ali „edinega sedeža“ upravljavca v EU.
Če ima organizacija sedež samo v eni državi EGP, ima en sam sedež v EGP in bo organ za varstvo podatkov te države glavni organ za varstvo podatkov.
Če ima organizacija sedež v več kot eni državi EGP, je treba določiti njen glavni sedež, da se lahko opredeli vodilni organ za varstvo podatkov.
Preberite več
Glavni sedež
Da bi ugotovili, kje je glavni sedež, je treba najprej določiti lokacijo osrednje uprave organizacije v EGP („kraj osrednje uprave“), če obstaja. To je kraj, kjer se sprejemajo odločitve o namenih in sredstvih obdelave osebnih podatkov.
V primerih, ko se odločitve v zvezi z različnimi dejavnostmi čezmejne obdelave sprejemajo v osrednji upravi, bo v EGP obstajal en sam vodilni organ za varstvo podatkov za različne dejavnosti obdelave podatkov, ki jih izvaja večnacionalno podjetje. Vendar pa lahko obstajajo primeri, ko poslovna enota, ki ni sedež osrednje uprave, samostojno odloča o namenih in sredstvih določene dejavnosti obdelave. V teh primerih bo bistveno, da podjetja natančno opredelijo, kje se sprejemajo odločitve o namenu in sredstvih obdelave. Pravilna identifikacija glavnega sedeža je v interesu upravljavcev in obdelovalcev podatkov, saj zagotavlja jasnost glede tega, s katerim organom za varstvo podatkov morajo komunicirati v zvezi s svojimi različnimi dolžnostmi glede skladnosti v skladu s Splošno uredbo o varstvu podatkov.
Preberite več
V praksi
- Trgovec na drobno ima sedež (tj. „kraj osrednje uprave“) v Sofiji v Bolgariji. Ima poslovne enote v različnih drugih državah EGP, ki so v stiku s posamezniki. Vse enote uporabljajo isto programsko opremo za obdelavo osebnih podatkov strank za namene trženja. Vse odločitve o namenih in sredstvih obdelave osebnih podatkov strank za namene trženja se sprejemajo na sedežu družbe Sofija. To pomeni, da je vodilni organ za varstvo podatkov za to dejavnost čezmejne obdelave bolgarski organ za varstvo podatkov.
Organizacije, ki nimajo sedeža v EGP
Če vaša organizacija nima sedeža v EGP, vendar zanjo velja Splošna uredba o varstvu podatkov, saj spada v ozemeljsko področje uporabe Splošne uredbe o varstvu podatkov, bo morda morala imenovati predstavnika v eni od držav EGP.
Če pa organizacija nima sedeža v EGP, zgolj prisotnost predstavnika v eni od držav EGP ne sproži sistema „vse na enem mestu“. To pomeni, da morajo organizacije, ki nimajo sedeža v EGP, prek svojega lokalnega predstavnika poslovati z lokalnimi organi za varstvo podatkov v vseh državah EGP, v katerih so dejavni.
Preberite več
Vloga Evropskega odbora za varstvo podatkov
EOVP je neodvisen evropski organ s pravno osebnostjo, ki prispeva k dosledni uporabi pravil o varstvu podatkov v celotnem EGP in spodbuja sodelovanje med organi za varstvo podatkov v EGP. EOVP sestavljajo vodje organov za varstvo podatkov in Evropski nadzornik za varstvo podatkov (ENVP) ali njihovi predstavniki.
V okviru EOVP organi za varstvo podatkov sodelujejo pri:
- zagotavljanju splošnih smernic (vključno s smernicami, mnenji, priporočili in najboljšimi praksami) glede zakonodaje o varstvu podatkov, zlasti Splošne uredbe o varstvu podatkov;
- svetovanju Evropski komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov in novi predlagani zakonodaji v EU;
- sprejemanju sklepov o skladnosti in mnenj v čezmejnih zadevah v zvezi z varstvom podatkov.
Namesto, da bi odgovarjal na posebne posamezne zahteve, EOVP izdaja splošne smernice.
EOVP je sprejel več smernic, ki so neposredno pomembne za podjetja, vključno z MSP. Te smernice pojasnjujejo različne pojme Splošne uredbe o varstvu podatkov, kot so osnovna načela obdelave, vgrajeno in privzeto varstvo podatkov, mednarodni prenosi podatkov in pravice posameznikov, na katere se nanašajo osebni podatki. Pregled teh dokumentov lahko najdete tukaj.
Mehanizem za skladnost
Mehanizem za skladnost lahko neposredno vpliva na MSP. Na prvi stopnji se lahko mehanizem za skladnost sproži, ko vodilni organ za varstvo podatkov in zadevni organi za varstvo podatkov ne morejo doseči soglasja o posameznem čezmejnem primeru. V takih primerih bo primer posredovan EOVP, ki bo sprejel zavezujočo odločitev za rešitev spora.
Poleg tega EOVP izdaja mnenja o skladnosti o nekaterih osnutkih sklepov, ki jih pripravijo organi za varstvo podatkov iz EGP in imajo čezmejne učinke (npr. o novem sklopu standardnih pogodb ali o kodeksih ravnanja).
EOVP lahko izdaja tudi mnenja o skladnosti v zvezi s katero koli zadevo splošne uporabe Splošne uredbe o varstvu podatkov ali katero koli zadevo, ki učinkuje v več kot eni državi EGP. Namen tega dela je zagotoviti, da se Splošna uredba o varstvu podatkov v različnih državah EGP razume in uporablja dosledno.