V skladu s Splošno uredbo o varstvu podatkov obstajata načeloma dva glavna načina za prenos osebnih podatkov v državo zunaj EGP ali mednarodno organizacijo. Prenosi se lahko izvedejo na podlagi sklepa o ustreznosti ali če take odločitve ni, na podlagi ustreznih zaščitnih ukrepov, vključno z izvršljivimi pravicami in pravnimi sredstvi za posameznike.

Več informacij:

• Mednarodni prenosi

Vsaka organizacija, ne glede na njeno velikost ali sektor, s sedežem v Evropskem gospodarskem prostoru (EGP) ali ponuja izdelke ali storitve posameznikom v EGP, obdeluje osebne podatke z avtomatiziranimi sredstvi ali ne, mora biti skladna s Splošno uredbo o varstvu podatkov. Tudi če se Splošna uredba o varstvu podatkov nanaša predvsem na avtomatizirano obdelavo osebnih podatkov, bodo postopki obdelave, ki se izvajajo ročno, predmet Splošne uredbe o varstvu podatkov od trenutka, ko so papirne datoteke sistematično organizirane, npr. abecedno urejene v arhivski omari.

Primeri postopkov obdelave vključujejo zbiranje, beleženje, urejanje, uporabo, prilagajanje, shranjevanje, razkrivanje, spreminjanje in brisanje osebnih podatkov posameznikov.

Kljub temu je uporaba Splošne uredbe o varstvu podatkov prilagojena glede na naravo, kontekst, namene in tveganja izvedenih dejanj obdelave. Za MSP, katerih glavna dejavnost ni obdelava osebnih podatkov, so lahko obveznosti manj stroge kot za veliko podjetje.

Več informacij:

• Osnove varstva podatkov

Da, obdelovalci (tj. posamezniki ali organi, ki obdelujejo podatke v imenu upravljavca) imajo obveznosti v skladu s Splošno uredbo o varstvu podatkov. Vendar obstajajo nekatere razlike med odgovornostmi upravljavcev in obdelovalcev.

Obdelovalci morajo upoštevati odgovornosti, ki so določene v pogodbi o pogodbeni obdelavi, v kateri so podrobno opredeljena dejanja obdelave in sredstva za obdelavo osebnih podatkov. Obdelovalec bo moral na primer postopke obdelave izvajati z ustreznimi tehničnimi in organizacijskimi ukrepi po navodilih upravljavca. Pri tem obdelovalec pomaga upravljavcu pri izpolnjevanju Splošne uredbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Ne, ni treba, da ste certificirani, da postanete pooblaščena oseba za varstvo podatkov.

Vendar morajo biti pooblaščene osebe za varstvo podatkov sposobne dokazati, da imajo potrebne kvalifikacije, ki jih zahteva Splošna uredba o varstvu podatkov, kot je strokovno znanje o zakonodaji in praksah na področju varstva podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno v naslednjih treh primerih:

• organizacija je javni organ;
• glavne dejavnosti organizacije vključujejo redno in sistematično spremljanje posameznikov v velikem obsegu, na primer geolokacijo prek mobilne aplikacije, ali nadzor nad nakupovalnimi centri in javnimi prostori preko videonadzora;
• glavne dejavnosti organizacije vključujejo obsežno obdelavo občutljivih podatkov ali osebnih podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji.

Pooblaščeno osebo za varstvo podatkov lahko vedno imenujete prostovoljno, tudi če to ni zakonsko predpisano. Upoštevajte, da morate v tem primeru upoštevati vse določbe Splošne uredbe o varstvu podatkov v zvezi z nalogami in položajem pooblaščene osebe za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov

Da, Splošna uredba o varstvu podatkov se uporablja, če so osebni podatki vsebovani ali naj bi bili vsebovani v zbirki podatkov. To pomeni, da se Splošna uredba o varstvu podatkov uporablja tudi za papirne zapise in ne samo za avtomatizirano obdelavo osebnih podatkov.

Več informacij:

• Osnove varstva podatkov

Pogodba o pogodbeni obdelavi mora določati, da obdelovalec:

• obdeluje osebne podatke samo po navodilih upravljavca, vključno v zvezi s prenosi osebnih podatkov v državo zunaj EGP;
• zagotavlja, da so se osebe, pooblaščene za obdelavo podatkov, zavezale k zaupnosti ali da zanje velja ustrezna zakonska obveznost zaupnosti;
• zagotavlja varnost obdelave;
• ne sme zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca;
• pomaga upravljavcu pri izpolnjevanju obveznosti upravljavca, da odgovori na zahteve posameznika za uveljavljanje njegovih pravic;
• pomaga upravljavcu pri zavarovanju obdelave, obveščanju o kršitvah varstva podatkov in izvajanju ocene učinka v zvezi z varstvom podatkov;
• po izbiri upravljavca izbriše ali vrne vse osebne podatke upravljavcu po koncu opravljanja storitev;
• upravljavcu daje na voljo vse potrebne informacije za dokazovanje skladnosti z obveznostmi iz Splošne uredbe o varstvu podatkov;
• omogoča revizije, vključno s pregledi, ki jih izvaja upravljavec ali drug revizor, ki ga pooblasti upravljavec in pri njih sodeluje.

Poleg tega obdelovalec nemudoma obvesti upravljavca, če meni, da navodila kršijo Splošno uredbo o varstvu podatkov ali druge določbe EU ali nacionalne določbe o varstvu podatkov.

Več informacij:

• Upravljavec ali obdelovalec

Veljavna pogodba med upravljavcem in obdelovalcem je obvezna v skladu s Splošno uredbo o varstvu podatkov. Kršitev se lahko kaznuje z upravno globo v višini do 10 milijonov EUR ali do 2 % skupnega letnega prometa podjetja, odvisno od tega, kateri znesek je višji.

Da bi vam pomagali pri oblikovanju sporazuma o pogodbeni obdelavi, so danski in slovenski organi za varstvo podatkov ter Evropska komisija pripravili predloge sporazumov.

Več informacij:

• Upravljavec ali obdelovalec

Piškotki so majhne datoteke, shranjene v napravi, npr. na računalniku, mobilni napravi ali kateri koli drugi napravi, ki lahko shranjuje informacije. Piškotki služijo številnim pomembnim funkcijam, vključno s pomnjenjem uporabnikov in njihovih prejšnjih interakcij s spletno stranjo. Uporabljajo se lahko za sledenje artiklov v spletni nakupovalni košarici ali za sledenje informacij, ko so podrobnosti vnesene v spletni prijavni obrazec.

Piškotki za preverjanje pristnosti so pomembni tudi za identifikacijo uporabnikov, ko se prijavijo v bančne storitve in druge spletne storitve. Informacije, shranjene v piškotkih, lahko vključujejo osebne podatke, kot so IP naslov, uporabniško ime, edinstveni identifikator ali e-poštni naslov.

Naloge pooblaščene osebe za varstvo podatkov med drugim vključujejo:

• obveščanje organizacije in njenih zaposlenih ter svetovanje glede skladnosti z varstvom podatkov;
• spremljanje skladnosti z varstvom podatkov;
• svetovanje o zahtevah v zvezi z oceno učinka v zvezi z varstvom podatkov (DPIA);
• delovanje kot kontaktna točka za organ za varstvo podatkov in sodelovanje z njim;
• delovanje kot kontaktna točka za posameznike.

Poleg tega je prisotnost pooblaščene osebe za varstvo podatkov na splošno priporočljiva, kadar se sprejemajo odločitve, ki vplivajo na varstvo podatkov. Po kršitvi varstva podatkov ali drugem incidentu bi se bilo treba nemudoma posvetovati tudi s pooblaščeno osebo za varstvo podatkov.

Več informacij:

• Pooblaščena oseba za varstvo podatkov