Organizacije morajo v primeru neposrednega zbiranja osebnih podatkov od zadevnih posameznikov zagotoviti informacije o postopkih obdelave na jedrnat in pregleden način v razumljivem, lahko dostopnem, jasnem in preprostem jeziku. To je mogoče storiti v pisni obliki (npr. na hrbtni strani ponudbe) ali z elektronskimi sredstvi (npr. na spletni strani). Če zadevna oseba to zahteva, lahko te informacije predložite tudi ustno, vendar morate to biti zmožni pozneje dokazati.

Tudi ko so bili podatki zbrani posredno, tj. če osebnih podatkov ne zbirate neposredno od posameznika, ampak na primer prek tretje osebe, morate posameznikom zagotoviti enako podrobne informacije.

Ocena učinka v zvezi z varstvom podatkov je pisna ocena, ki jo mora vaša organizacija opraviti za presojo učinka načrtovanega postopka obdelave. Pomaga vam pri opredelitvi ustreznih ukrepov za obvladovanje tveganj in pri dokazovanju skladnosti.

Čeprav je vedno bolje predvideti učinek načrtovanih postopkov obdelave v vaši organizaciji z izvedbo ocene učinka, je ta obvezna, kadar je verjetno, da bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov.

To velja zlasti, kadar predvidena obdelava vključuje:

• obsežno obdelavo občutljivih osebnih podatkov ali podatkov, povezanih s kazenskimi obsodbami;  
• sistematično in obsežno vrednotenje posameznikovih osebnih vidikov na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, in na katerih temeljijo odločitve, ki imajo pravne učinke za posameznika pri vprašanjih ali podobno pomembno vplivajo na posameznike;
• sistematično spremljanje javno dostopnega območja v velikem obsegu.

EOVP je pripravil smernice, v katerih so navedena merila, ki jih morate upoštevati pri ocenjevanju, ali je ocena učinka v zvezi z varstvom podatkov obvezna ali ne. Organi za varstvo podatkov so objavili tudi sezname postopkov obdelave, ki so predmet ocene učinka v zvezi z varstvom podatkov. Poleg tega je več organov za varstvo podatkov razvilo vodiče, programsko opremo ali orodja za samooceno, ki vam bodo v pomoč pri vaši oceni.

Več informacij:

• Bodite skladni s predpisi

Posamezniki vas lahko vprašajo, ali obdelujete njihove podatke in če jih obdelujete, imajo pravico do dostopa do teh podatkov. Če obdelujete njihove podatke, morate na primer brezplačno zagotoviti kopijo njihovih osebnih podatkov, skupaj z vsemi potrebnimi dodatnimi informacijami. Če je zahteva vložena v elektronski obliki, mora vaša organizacija zagotoviti zahtevane informacije v splošno uporabljani elektronski obliki, razen če posameznik ne zahteva drugače.

Več informacij:

• Spoštujte pravice posameznikov

Kršitev varnosti osebnih podatkov je kršitev varnosti, ki povzroči naključno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov.

• Če kršitev varstva podatkov pomeni tveganje za zadevne posameznike, jo morate v 72 urah prijaviti pristojnemu organu za varstvo podatkov.
• Če je verjetno, da bo kršitev povzročila veliko tveganje za posameznike, morate to kršitev brez nepotrebnega odlašanja sporočiti tudi zadevnim posameznikom.

V vsakem primeru morate za vse kršitve – tudi tiste, ki niso priglašene organu za varstvo podatkov – zabeležiti vsaj osnovne podrobnosti o kršitvi, njeno oceno, njene učinke in sprejete ukrepe.

Več informacij:

• Kršitve varstva podatkov

Osebnih podatkov ne morete shraniti za vedno.

Praviloma se lahko osebni podatki hranijo le toliko časa, kolikor je potrebno glede na namene, za katere se obdelujejo.

V nekaterih primerih se lahko obdobje hrambe določi s posebnimi zakoni, na primer, delovni predpisi določajo obdobje hrambe za plačilne liste.

Organizacije bi morale vzpostaviti politike hrambe, da bi zagotovile, da se osebni podatki ne hranijo dlje, kot je potrebno. Osebne podatke posameznikov je treba izbrisati ali anonimizirati, ko ti podatki niso več potrebni za namen, za katerega so bili obdelani.

Več informacij:

• Osnove varstva podatkov

Potrebni varnostni ukrepi se lahko razlikujejo glede na naravo osebnih podatkov, ki jih obdelujete in s tem povezana tveganja za posameznike. V vsakem primeru obstaja nekaj minimalnih ukrepov, ki jih morate sprejeti:

• zavarujte dostop do prostorov;
• uporabljajte redno posodobljeno protivirusno programsko opremo;
• skrbno izberite svoja gesla;
• zagotovite, da se uporabniki pred uporabo računalniške opreme avtentificirajo;
• vzpostavite politiko varnostnega kopiranja in pridobivanja podatkov v primeru incidenta.

Poleg tega so na mestu nekateri osnovni ukrepi, kot so zaklepanje zaslona, medtem ko ste odsotni in zaklepanje pisarne ob koncu dneva.

Več informacij:

• Zavarujete osebne podatke

Splošna uredba o varstvu podatkov določa obveznosti za vse organizacije, ki obdelujejo osebne podatke, ne glede na to, ali so upravljavci ali obdelovalci.

Zlasti morate narediti naslednje:

• Vprašajte se, ali je namen, za katerega se lahko zbirajo osebni podatki upravičen in zbirajte samo osebne podatke, ki so potrebni za določene predvidene namene.
• Ohranjajte točne in ažurne osebne podatke posameznikov ter jih izbrišite, ko to ni več potrebno.
• Spoštujte pravice posameznikov, tako da jih obveščate o tem, kako in zakaj se njihovi podatki obdelujejo, ter jim omogočite uveljavljanje njihovih pravic.
• Preverite, ali imate ustrezno pravno podlago za obdelavo osebnih podatkov. V primeru, da se nameravate zanesti na privolitev posameznikov, zaprosite za njihovo privolitev pred obdelavo njihovih osebnih podatkov.
• Zagotovite varno ravnanje z osebnimi podatki posameznikov.
• Vodite evidenco dejavnosti obdelave.

Obdelovalci bodo morali spoštovati odgovornosti, določene v pogodbi o pogodbeni obdelavi in podatkov ne smejo obdelovati drugače kot v skladu z navodili upravljavca.

Več informacij:

• Bodite skladni s predpisi
• Upravljavec ali obdelovalec
• Osnove varstva podatkov

Če vaša organizacija zbira osebne podatke neposredno od posameznikov, mora potrebne informacije zagotoviti v času zbiranja.

V primeru posrednega zbiranja osebnih podatkov mora vaša organizacija zagotoviti informacije najpozneje v enem mesecu po tem, ko so bili osebni podatki prvotno pridobljeni. To najdaljše obdobje enega meseca se lahko skrajša:

• če se osebni podatki uporabljajo za namene komunikacije s posameznikom, na katerega se nanašajo osebni podatki. V tem primeru morate posameznika, na katerega se nanašajo osebni podatki, obvestiti najpozneje ob prvem komuniciranju s posameznikom, na katerega se nanašajo osebni podatki;
• če se podatki posredujejo drugemu prejemniku, mora organizacija o tem obvesti posameznike, na katere se nanašajo osebni podatki, najpozneje ob prenosu osebnih podatkov.

Več informacij:

• Spoštujte pravice posameznikov

1. Prepričajte se, da so bili podatki, ki ste jih prejeli, zbrani zakonito in da so bili zadevni posamezniki obveščeni o obdelavi svojih osebnih podatkov.
2. V primeru, da tretja oseba obdeluje osebne podatke v vašem imenu, se prepričajte, da ste sklenili pogodbo o pogodbeni obdelavi, v kateri so podrobno opisani postopki obdelave in sredstva za obdelavo osebnih podatkov.

In seveda, izpolnite vse obveznosti, ki jih imate kot upravljavec.

Več informacij:

• Upravljavec ali obdelovalec