Kaj so osebni podatki?
Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika.
Primeri vrst informacij, ki lahko omogočajo neposredno ali posredno identifikacijo posameznika in se zato štejejo za osebne podatke, so:
- ime, priimek, telefonske številke strank, zainteresiranih strani, zaposlenih, ponudnikov;
- identifikacijske številke, kot sta številka stranke in številka zaposlenega;
- sklic na rezervacijo;
- elektronski naslovi, podatki o lokaciji;
- zgodovina brskanja posameznika;
- zgodovina nakupa in računi posameznika;
- fotografije, videoposnetki in zvočni posnetki, ki vsebujejo slike ali zvoke posameznikov.
S temi osebnimi podatki se lahko posameznik neposredno ali posredno identificira:
- če vaša organizacija obdeluje na primer ime ali priimek posameznika, ti osebni podatki omogočajo neposredno identifikacijo tega posameznika;
- če vaša organizacija obdeluje na primer številko stranke posameznika ali sklic na rezervacijo, lahko ti osebni podatki omogočajo posredno identifikacijo tega posameznika;
- vse vrste informacij, ki se obdelujejo v zvezi s posameznikom, ki je neposredno ali posredno opredeljen (tj. preference, navade), se bodo prav tako štele za osebne podatke.
Preberite več
Posebne vrste osebnih podatkov
Nekatere vrste osebnih podatkov, ki se običajno imenujejo občutljivi podatki, spadajo v posebne kategorije, ki si zaslužijo več varstva. V skladu z 9. členom Splošne uredbe o varstvu podatkov občutljivi podatki vključujejo podatke, ki razkrivajo informacije o:
- zdravju posameznika;
- posameznikovem spolnem življenju ali spolni usmerjenosti;
- rasnem ali etničnem poreklu posameznika;
- posameznikovem političnem, verskem ali filozofskem prepričanju;
- biometričnih in genetskih podatkih posameznika;
- članstvu v sindikatu.
Obdelava občutljivih podatkov posameznika je na splošno prepovedana, razen v posebnih okoliščinah, ki upravičujejo njihovo obdelavo (kot je izrecna privolitev).
Za več podrobnosti o okoliščinah, v katerih se lahko občutljivi podatki obdelujejo, preverite zavihek Osebne podatke obdelujte zakonito.
Osebni podatki v zvezi s kazenskimi obsodbami in prekrški
Za obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški veljajo strogi zakonski pogoji. Te osebne podatke lahko obdeluje samo uradni organ, kot je policija, pod nadzorom uradnega organa ali če to dovoljuje nacionalna zakonodaja.
Kontrolni seznam dobrih praks iz Splošne uredbe o varstvu podatkov
- Vprašajte se, ali je namen, za katerega se lahko zbirajo osebni podatki, upravičen.
- Zbirajte samo osebne podatke, ki so potrebni za posebne predvidene namene.
- Obveščajte posameznike o tem, kako in za kakšne namene se lahko obdelujejo njihovi osebni podatki.
- Preverite, ali imate ustrezno pravno podlago za obdelavo osebnih podatkov. V primeru, da se nameravate zanesti na privolitev posameznikov, zaprosite za njihovo privolitev še pred obdelavo njihovih osebnih podatkov.
- Poskrbite, da se osebni podatki posameznikov obdelujejo na varen način.
- Vzdržujte osebne podatke posameznikov točne in ažurne.
- Izbrišete osebne podatke posameznikov, ko to ni več potrebno. Upoštevajte, da vas lahko nacionalna zakonodaja obvezuje, da hranite določene podatke (npr. iz davčnih razlogov).
Kaj pomeni obdelava osebnih podatkov?
Obdelava osebnih podatkov posameznikov vključuje katero koli vrsto dejavnosti (postopek obdelave), ki se izvaja z ali brez avtomatiziranih sredstev na osebnih podatkih posameznikov.
Primeri postopkov obdelave vključujejo zbiranje, beleženje, organiziranje, uporabo, spreminjanje, shranjevanje, razkrivanje osebnih podatkov posameznikov.
Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v omari z datotekami.
Preberite več
Ali Splošna uredba o varstvu podatkov velja za vašo organizacijo?
Splošna uredba o varstvu podatkov se lahko uporablja za vse zasebne in javne organizacije, če:
- ima zadevna organizacija sedež v EU ali Evropskem gospodarskem prostoru (EGP – države EU + Islandija, Lihtenštajn in Norveška); ali
- organizacija nima sedeža v EGP, vendar se njeni proizvodi ali storitve ponujajo posameznikom, ki so v EGP, ali pa organizacija spremlja vedenje posameznikov, ki so v EGP.
Splošna uredba o varstvu podatkov se na enak način uporablja tudi za vsakega podizvajalca, ki lahko obdeluje osebne podatke posameznikov v imenu zasebne ali javne organizacije.
V praksi se Splošna uredba o varstvu podatkov uporablja za vas, če velja eden od naslednjih pogojev:
- Ste podjetje s sedežem v državi EGP;
- Ste organizacija s sedežem v državi zunaj EGP, ki prodaja blago ali ponuja storitve, posameznikom v državi EGP (tudi brezplačno);
- Ste IT podjetje s sedežem v državi zunaj EGP, ki ga je zasebna organizacija s sedežem v EGP najela za podizvajanje za upravljanje svojih podatkovnih zbirk IT, kot je podatkovna zbirka strank;
- Ste ponudnik storitev s sedežem v EGP in obdelujete osebne podatke v imenu drugega podjetja.
Ključna načela Splošne uredbe o varstvu podatkov
Pri obdelavi osebnih podatkov posameznikov mora vaša organizacija upoštevati naslednjih 6 ključnih načel Splošne uredbe o varstvu podatkov. Poleg tega mora biti vaša organizacija sposobna dokazati skladnost s temi načeli.
Zakonitost, poštenost in preglednost
Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna.
Vaša organizacija lahko obdeluje osebne podatke posameznika le, če je predvideni postopek obdelave zakonit; npr. temelji na privolitvi posameznika, če je obdelava potrebna za izvajanje pogodbe, ali če temelji na eni od drugih pravnih podlag za obdelavo podatkov iz 6. člena Splošne uredbe o varstvu podatkov.
Če obdelava temelji na privolitvi, mora vaša organizacija zagotoviti, da je ta privolitev dana prostovoljno, da je informirana, konkretna in nedvoumna. Z drugimi besedami, ne sme biti dvoma, da so posamezniki seznanjeni s tem, s čim soglašajo, za kakšne namene se izvaja obdelava, in da je bilo to soglasje aktivno dano pred začetkom obdelave. Poleg tega bi morali imeti posamezniki možnost, da svobodno umaknejo svoje soglasje. Če menite, da bo obdelava njihovih podatkov kljub temu potrebna (npr. v okviru pogodbe), to pomeni, da privolitev ni ustrezna pravna podlaga.
Omejitev namena
Vaša organizacija lahko zbira osebne podatke le za določene, izrecne in zakonite namene. Obdelava podatkov posameznika mora biti strogo omejena na prvotno določene namene in se zato ne sme obdelati za kasnejše ali druge namene, ki niso združljivi s prvotnimi nameni.
Najmanjši obseg podatkov
Vaša organizacija lahko obdeluje le osebne podatke, ki so potrebni in sorazmerni glede na predvideni namen.
Točnost
Osebni podatki posameznikov, ki jih obdeluje vaša organizacija, morajo biti točni in posodobljeni. Netočne osebne podatke je treba popraviti ali izbrisati.
Omejitev hrambe
Shranjevanje osebnih podatkov posameznikov mora biti časovno omejeno glede na namen, za katerega so bili ti podatki zbrani in obdelani. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti podatki niso več potrebni. V praksi to pomeni, da mora imeti vaša organizacija vzpostavljeno notranjo politiko glede obdobja hrambe podatkov za različne namene in postopek za izbris podatkov.
Varnost
Obdelava podatkov posameznikov mora potekati na varen način. V tem smislu je treba vzpostaviti zanesljive zaščitne ukrepe za varstvo podatkov, kot so ustrezni ukrepi za kibernetsko varnost, da se zagotovi ustrezno varstvo podatkov posameznikov. Ti ukrepi morajo preprečiti naključno, nepooblaščeno ali nezakonito razkritje, izgubo, uničenje ali poškodovanje osebnih podatkov posameznikov.
Preberite več
Smernice o obdelavi osebnih podatkov v skladu s členom 6(1)(b) Splošne uredbe o varstvu podatkov v okviru zagotavljanja spletnih storitev posameznikom, na katere se nanašajo osebni podatki
EOVP