Osebni podatki pomenijo vse informacije, ki se nanašajo na določenega ali določljivega posameznika. Določljiv posameznik je vsakdo, ki ga je mogoče neposredno ali posredno identificirati. Osebni podatki so lahko tudi različni podatki, ki bi lahko skupno privedli do identifikacije določene osebe.

Primeri osebnih podatkov so:

• ime in priimek;
• domači naslov;
• elektronski naslov;
• številka osebne izkaznice;
• podatki o lokaciji;
• IP naslov;
• ID piškotka;
• bančni računi;
• davčna poročila;
• biometrični podatki (kot so prstni odtisi);
• številka socialnega zavarovanja;
• številka potnega lista;
• rezultati testov;
• ocene v šoli;
• zgodovina brskanja;
• fotografija posameznika;
• registrska številka vozila itd.

Več informacij:

• Osnove varstva podatkov

Splošna uredba o varstvu podatkov razlikuje med dvema glavnima vlogama: upravljavca in obdelovalca. To razlikovanje je ključnega pomena, saj ima upravljavec večjo odgovornost in mora izpolnjevati več obveznosti kot obdelovalec.

Upravljavci in obdelovalci so lahko fizične ali pravne osebe, na primer: MSP, javni organ, podjetje, organizacija, državni organ, združenje itd.

Upravljavec določi namene in sredstva postopka obdelave. Z drugimi besedami, upravljavec odloči »kako« in »zakaj« v zvezi s  postopkom obdelave. Obdelovalci obdelujejo osebne podatke v imenu upravljavca. Obdelavo, ki jo izvajajo obdelovalci, mora urejati pogodba z upravljavcem ali drug pravni akt.

Primeri upravljavcev:

• podjetja, ki obdelujejo osebne podatke v zvezi s prodajo;
• finančne institucije, ki obdelujejo osebne podatke svojih strank;
• združenja, ki obdelujejo podatke svojih članov;
• šole ali univerze, ki obdelujejo osebne podatke študentov in učiteljev;
• bolnišnice, ki obdelujejo osebne podatke svojih pacientov;
• vladne agencije, ki obdelujejo osebne podatke državljanov.

Primeri obdelovalcev:

• MSP najame knjigovodski servis za vodenje svojih knjig in evidenc, MSP je upravljavec, knjigovodski servis pa obdelovalec.
• Podjetje za obračun plač obdeluje osebne podatke za MSP. Podjetje za obračun plač bo delovalo kot obdelovalec, če obdeluje le osebne podatke v imenu MSP. MSP določa namene in sredstva obdelave podatkov in je zato upravljavec.
• MSP naroči marketinškemu podjetju, da zbira e-poštne naslove prek spletnih strani tretjih oseb.  Marketinško podjetje to počne v skladu z izrecnimi navodili MSP in izključno za namene MSP. Marketinško podjetje deluje kot obdelovalec za to zbirko.

Več informacij:

• Upravljavec ali obdelovalec

Ne, ni nujno, da je vaša evidenca dejavnosti obdelave javna. Vendar morate na zahtevo omogočiti dostop do evidence organu za varstvo podatkov.

Več informacij:

• Bodite skladni s predpisi

Splošna uredba o varstvu podatkov vzpostavlja usklajen sklop pravil, ki se uporabljajo za vso obdelavo osebnih podatkov s strani organizacij (javnih ali zasebnih, ne glede na njihovo velikost) s sedežem v Evropskem gospodarskem prostoru (EGP) ali za posameznike v EU. Glavni cilj Splošne uredbe o varstvu podatkov je zagotoviti, da so osebni podatki povsod v EGP deležni enakih visokih standardov varstva, s čimer se poveča pravna varnost za posameznike in organizacije, ki obdelujejo podatke, ter zagotavlja visoko stopnjo varstva posameznikov.

Uredba je začela veljati 24. maja 2016 in se uporablja od 25. maja 2018.

EOVP redno objavlja sporočila za javnost, novice, bloge in druge vsebine na spletnem mestu EOVP in na kanalih družbenih medijev (Twitter: @EU_EDPB; Linkedin: European Data Protection Board) da skupnost za varstvo podatkov in širšo javnost obvešča o svojem delu.

Na spletišču EOVP sta tudi dva vira RSS, na katera se lahko naročite za samodejne novosti glede novic EOVP in najnovejših publikacij EOVP.

Psevdonimizacija pomeni preoblikovanje osebnih podatkov, tako da jih ni več mogoče pripisati določenemu posamezniku brez uporabe dodatnih informacij, pod pogojem, da se take dodatne informacije hranijo ločeno in so predmet tehničnih in organizacijskih ukrepov za zagotovitev, da se osebni podatki ne morejo pripisati posamezniku. V praksi lahko pomeni zamenjavo osebnih podatkov (ime, priimek, osebna številka, telefonska številka itd.) v podatkovnem nizu s posredno identifikacijskimi podatki (vzdevek, zaporedna številka itd.). Psevdonimizirani podatki so še vedno osebni podatki in so predmet Splošne uredbe o varstvu podatkov.

Anonimizirani podatki so podatki, ki so anonimizirani na tak način, da posameznik ni ali ni več določljiv na kakršen koli način, za katerega se razumno pričakuje, da bo uporabljen. Ko je anonimizacija pravilno izvedena, Splošna uredba o varstvu podatkov ne velja več za anonimizirane podatke.

Več informacij:

• Zavarujte osebne podatke

Da, lahko, vendar Splošna uredba o varstvu podatkov nalaga določene obveznosti podjetjem, ki delijo osebne podatke. Vaša organizacija mora posameznike obvestiti, da boste njihove podatke delili s tretjo osebo. Prav tako jih morate obvestiti o svojih namenih, varnosti, dostopu in ukrepih glede hrambe, ki bodo veljali.

Na splošno bi morala vsaka organizacija voditi evidenco o svojih dejavnostih obdelave. To je popis vseh postopkov obdelave in vam lahko pomaga pri pravilnih predpostavkah o svojih odgovornostih v skladu s Splošno uredbo o varstvu podatkov in morebitnih tveganjih.

Vsak od teh postopkov obdelave mora biti opisan v evidenci z naslednjimi podatki:

• namen obdelave (npr. zvestoba strank);
• kategorije obdelanih podatkov (npr. za plačilne liste: ime, priimek, datum rojstva, plača itd.);
• kdo ima dostop do podatkov (prejemniki – npr.: oddelek, pristojen za zaposlovanje, oddelek za IT, uprava, ponudniki storitev, partnerji...);
• kjer je primerno, informacije v zvezi s prenosi osebnih podatkov izven Evropskega gospodarskega prostora (EGP),
• kjer je mogoče, obdobje hrambe (obdobje, za katero so podatki koristni z operativnega vidika in z vidika arhiviranja),
• kjer je mogoče, splošen opis varnostnih ukrepov.

Za evidenco dejavnosti obdelave je odgovoren vodja vaše organizacije.

Ta evidenca mora biti na voljo organu za varstvo podatkov države EGP, v kateri delujete, če se to zahteva.

Od organizacij, ki zaposlujejo manj kot 250 oseb, se ne zahteva, da v svojih evidencah navedejo zgolj občasne dejavnosti (npr. podatke, obdelane za enkratne dogodke, kot je odprtje trgovine).

Več informacij:

• Bodite skladni s predpisi

• Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna.
• Osebne podatke zbirajte samo za določene, izrecne in zakonite namene. Obdelava podatkov posameznika mora biti strogo omejena na prvotno določene namene in se zato ne sme obdelati za kasnejše ali druge namene, ki niso združljivi s prvotnimi nameni.
• Obdelujte samo osebne podatke, ki so potrebni in sorazmerni glede na predvideni namen.
• Vsi osebni podatki, ki jih obdelujete, morajo biti točni in posodobljeni. Netočne osebne podatke je treba popraviti ali izbrisati.
• Hramba osebnih podatkov posameznikov mora biti časovno omejena glede na namen, za katerega so bili ti podatki zbrani in obdelani. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti niso več potrebni.
• Obdelava podatkov posameznikov mora potekati na varen način. V tem smislu je treba vzpostaviti zanesljiv nadzor kibernetske varnosti, da se zagotovi ustrezna zaščita podatkov posameznikov.

In končno, upravljavec je odgovoren za skladnost. To pomeni, da je odgovoren in mora biti sposoben dokazati skladnost z zgoraj navedenimi načeli.

Več informacij:

• Osnove varstva podatkov

Splošna uredba o varstvu podatkov velja za uporabo piškotkov, kadar se ti uporabljajo za obdelavo osebnih podatkov, vendar obstajajo tudi natančnejša pravila za piškotke, vključno z Direktivo o zasebnosti in elektronskih komunikacijah.

Shranjevanje piškotka ali pridobitev dostopa do že shranjenega piškotka v terminalski opremi uporabnika je dovoljeno le pod pogojem, da je bil zadevni naročnik ali uporabnik ustrezno obveščen (zlasti o namenih obdelave) in je dal svojo privolitev.

Edina izjema so tehnično potrebni piškotki. Organizacijam ni treba zaprositi za privolitev pri uporabi tehnično potrebnih piškotkov na svojih spletnih straneh.

Več informacij:

• Obdelujte osebne podatke zakonito