...

GDPR in ZVOP-2: Kaj moramo storiti?

GDPR, Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) in Zakon o varstvu osebnih podatkov (Uradni list RS, št. 163/22 – ZVOP-2) sta za vse fizične in pravne osebe, ki določajo namene obdelave osebnih podatkov določila obveznosti, ki jih morajo izpolnjevati in spoštovati v času obdelave osebnih podatkov. GDPR je fizične in pravne osebe, ki obdelujejo osebne podatke poimenoval upravljavci in obdelovalci.

Da lahko pojasnimo, kakšne obveznosti imata upravljavec in obdelovalec po GDPR in ZVOP-2 je potrebno najprej pojasniti nekaj osnovnih pojmov, da ne bo prihajalo do napačnega razumevanja.

osebni podatki: je katera koli informacija v zvezi z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki. Določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.

Poudariti je potrebno, da je GDPR s takšno opredelitvijo osebnega podatka zajel tudi osebno okoliščino posameznika, na katerega se le-ta nanaša, pa sama po sebi ne pomeni osebnega podatka, vendar pa se lahko posameznik iz osebne okoliščine prepozna.

Primer 1:

Gospa, ki dela na Centru za socialno delo v Ljubljani pripoveduje svoji prijateljici, da je včeraj invalid na invalidskem vozičku iz Ljubljane prišel do nje in prijavil nasilje v družini.

Primer 2:

Gospa, ki dela na Centru za socialno delo v Tolminu pripoveduje svoji prijateljici, da je včeraj invalid na invalidskem vozičku z Mosta na Soči prišel do nje in prijavil nasilje v družini.

Invalidnost oziroma uporaba invalidskega vozička, sama po sebi ni osebni podatek, lahko pa je osebni podatek v okolju, kraju, kjer je manjše število takšnih oseb in se da posameznika iz navedb prepoznati. V prvem primeru ne gre za nepooblaščeno razkritje osebnih podatkov, saj je težko oziroma skoraj nemogoče ugotoviti, kdo je do gospe, ki dela na CSD Ljubljana pristopil, medtem, ko v drugem primeru, pa gre za razkritje osebnih podatkov, saj je Most na Soči majhen kraj in lahko hitro odkrije, kdo je pristopil do gospe, ki dela na CSD Tolmin.

Obdelava: je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Poudariti je potrebno, kar večina upravljavcev in obdelovalcev spregleda, da se že sam vpogled v osebne podatke obravnava kot obdelava osebnih podatkov po GDPR.

Za morebitno pomoč pri vzpostavitvi skladnosti poslovanja z ZVOP-2 in GDPR, nas kontaktirajte.

Zbirka: je vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi.

Upravljavec: je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki sam ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice.

Poudariti je potrebno, da GDPR določa, da je upravljavec tista pravna ali fizična oseba, ki določa namene in sredstva obdelave osebnih podatkov, ali pa je upravljavec določen s pravom unije ali zakonom Republike Slovenije.

Obdelovalec: je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Bistvena razlika med upravljavcem in obdelovalcem je v tem, da obdelovalcev ne določa namena obdelave osebnih podatkov, vendar samo v imenu upravljavca obdeluje osebne podatke, npr. kot podizvajalec.

Uporabnik: je fizična ali pravna oseba, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike, obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave.

Tipični uporabniki osebnih podatkov pri delodajalcu so Zavod za zdravstveno zavarovanje Slovenije in Zavod za pokojninsko in invalidsko zavarovanje Slovenije. Ko delodajalec delavca zaposli, ga mora prijaviti v vsa obvezna zavarovanja in s tem je potrebno njegove osebne podatke poslati navedenima institucijama. V predmetnem primeru obstaja zakonska podlaga, po kateri je potrebno osebne podatke poslati tretjim osebam.

Tukaj je treba poudariti, da se državni organi, ko izvajajo inšpekcijski nadzor in od upravljavca zahtevajo osebne podatke, ne morejo šteti za upravljavce.

Primer 1:

Delodajalec skladno z Zakonom o delovnih razmerjih Inšpektorat RS za delo obvesti o uvedbi dela na domu in mu posreduje osebne podatke zaposlenih, ki opravljajo delo na domu.

Primer 2:

Inšpektorat RS za delo zaradi izvajanja inšpekcijskega nadzora od delodajalca zahteva osebne podatke njegovih zaposlenih.

V primeru 1 se Inšpektorat RS za delo obravnava, kot uporabnik osebnih podatkov v primeru 2 pa se Inšpektorat RS za delo obravnava kot državni organ, ki na podlagi zakona o inšpekcijskem nadzoru od delodajalca zahteva osebne podatke zaposlenih za izvajanje svoje nadzorstvene funkcije.

privolitev posameznika: je vsaka prostovoljna, izrecna, informirana in nedvoumna izjava volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov. Upravljavec je tisti, ki mora izkazati, da je od posameznika prejel soglasje za obdelavo osebnih podatkov.

Za morebitno pomoč pri vzpostavitvi skladnosti poslovanja z ZVOP-2 in GDPR, nas kontaktirajte.

Obveznosti upravljavcev in obdelovalcev po GDPR in ZVOP-2

Obdelava osebnih podatkov je mogoča samo skladno s 6. členom GDPR, ki določa, da je obdelava osebnih podatkov zakonita zgolj, če je izpolnjen vsaj eden od spodnjih pogojev:

  • privolitev v obdelavo osebnih podatkov za enega ali več določenih namenov (soglasje za obdelavo osebnih podatkov),
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe (pogodbena obdelava),
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca (obdelava na podlagi zakona),
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti,
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba (obdelava na podlagi zakonitega interesa).

Upravljavec in obdelovalec lahko osebne podatke obdelujeta zgolj in izključno na zgoraj navedenih pravnih podlagah. Če ni izpolnjen eden od zgoraj naštetih pogojev, je obdelava osebnih podatkov nezakonita.

Poleg navedenega pa morata imeti upravljavec in obdelovalec, ki v imenu upravljavca obdeluje osebne podatke, sklenjeno pogodbo o obdelavi osebnih podatkov, da je obdelava osebnih podatkov s strani obdelovalca, zakonita.

Temeljne obveznosti upravljavca in obdelovalca osebnih podatkov so:

  • imenovanje pooblaščene osebe za varstvo podatkov,
  • sprejem politike varstva osebnih podatkov,
  • vzpostavitev ustreznih tehničnih in organizacijskih ukrepov za zagotovitev, da obdelava poteka v skladu z GDPR in ZVOP-2 (pravilnik o zavarovanju osebnih podatkov),
  • vzpostavitev evidenc dejavnosti obdelave osebnih podatkov,
  • obveščanje posameznikov o obdelavi osebnih podatkov po 13. in 14. členu GDPR.
  • Izvajanje ocene učinkov obdelave osebnih podatkov (ne vsi upravljavci),
  • urediti pogodb s pogodbenimi obdelovalci osebnih podatkov,
  • sodelovanje z nadzornimi organi in
  • izobraževanje zaposlenih.

ZVOP-2 je upravljavcem naložil dodatne obveznosti, ki jih morajo pri obdelavi osebnih podatkov izvajati:

  • vodenje dnevnikov obdelav,
  • dodatne zahteve varstva osebnih podatkov na področju posebnih obdelav,
  • predhodna prijava biometrijskih ukrepov nadzornemu organu za pridobitev odločbe Informacijskega pooblaščenca,
  • zavarovanje osebnih podatkov, ki so predmet postopka,
  • postopki za vzpostavitev videonadzora,
  • preverjanje rokov hrambe osebnih podatkov.

Za morebitno pomoč pri vzpostavitvi skladnosti poslovanja z ZVOP-2 in GDPR, nas kontaktirajte.

Na kratko. Kaj je potrebno narediti? Imenovanje pooblaščene osebe za varstvo podatkov

Pooblaščena oseba za varstvo osebnih podatkov je oseba, ki upravljavcu ali obdelovalcu v skladu z 39. členom Splošne uredbe na neodvisen način svetuje pri zagotavljanju skladnosti obdelave z GDPR in ZVOP-2.

Skladno s 45. členom ZVOP-2 pooblaščeno osebo za varstvo podatkov določijo upravljavci in obdelovalci:

  • v skladu s prvim odstavkom 37. člena GDPR,
  • vsi upravljavci in obdelovalci v javnem sektorju,
  • upravljavci in obdelovalci, ki obdelujejo osebne podatke, določene v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc,
  • upravljavci in obdelovalci, ki obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov s področja videonadzora,
  • upravljavci in obdelovalci, ki kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
  • upravljavci in obdelovalci, ki obdelujejo posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Skladno s 46. členom ZVOP-2 je za pooblaščeno osebo za varstvo podatkov upravljavca ali obdelovalca in njenega namestnika lahko določen posameznik, ki izpolnjuje naslednje pogoje:

  • je poslovno sposoben,
  • ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
  • ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.

Poleg navedenega pa ZVOP-2 za določa tudi, da mora pooblaščena oseba za varstvo podatkov državnega organa poleg zgoraj navedenih pogojev izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.

Sprejem politike varstva osebnih podatkov in pravilnika

Skladno s 24. členom GDPR upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu z GDPR. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

Kot izhaja iz GPDR, je dolžan upravljavec sprejeti tehnične in organizacijske ukrepe, da zagotovi obdelavo osebnih podatkov skladno z GDPR in posledično tudi z ZVPO-2. Predmetni ukrepi morajo biti sprejeti v dokumentu, po katerem se morajo ravnati zaposleni upravljavca, saj so oni tisti, ki zagotavljajo varstvo osebnih podatkov.

Poleg navedenega mora biti upravljavec sposoben dokazati, da je predmetne ukrepe sprejel in jih izvaja, ter jih je dolžan nenehno dopolnjevati in prilagajat.

Pravno svetovanje

Contact Form Demo

Evidenca dejavnosti obdelav osebnih podatkov

Skladno s 30. členom GDPR mora vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti.

Evidenca dejavnosti obdelav vsebuje vsaj naslednje podatke:

  • naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  • namene obdelave;
  • opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  • kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka 49(1) člena GDPR pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  • kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
  • kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz 32(1) člena GDPR.

Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

  • naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;
  • vrste obdelave, ki se izvaja v imenu posameznega upravljavca;
  • kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka 49(1) člena GDPR pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  • kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz 32(1) člena GDPR.

Na portalu delujemo strokovnjaki z več letnimi izkušnjami s področja varstva osebnih podatkov, za vas opravimo pregled skladnosti poslovanja in vam pripravimo vse potrebno, da bo vaše poslovanje skladno z ZVOP-2 in GDPR.

Obveščanje posameznikov o obdelavi osebnih podatkov

Skladno s 13. členom GDPR je upravljavec, kadar osebne podatke pridobi od posameznika, temu posamezniku dolžan priskrbeti naslednje informacije:

  • identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  • kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  • uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;
  • kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  • obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;
  • kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

Skladno s 14. členom GPDR mora upravljavec, kadar osebnih podatkov ne pridobi neposredno od posameznika, takšnemu posamezniku priskrbeti naslednje informacije:

  • istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;
  • kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;
  • namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;
  • vrste zadevnih osebnih podatkov;
  • uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
  • kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo;
  • obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;
  • obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;
  • kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

GDPR nadalje določa, da upravljavec zagotovi informacije iz 14. člena:

  • v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;
  • če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali
  • če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

Izvajanje učinkov obdelave osebnih podatkov

GDPR določa oceno učinka v zvezi z varstvom podatkov, kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

GDPR določa, da se ocena učinkov obdelave osebnih podatkov izvede predvsem, ko:

  • se izvaja sistematično in obsežno vrednotenje osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke;
  • gre za obsežne obdelave posebnih vrst podatkov;
  • se izvaja obsežno sistematično spremljanja javno dostopnega območja.

ZVOP-2 v 24. členu določa, da se ocena učinka v zvezi z varstvom osebnih podatkov po 35. členu GDPR in predhodno posvetovanje po 36. členu GDPR izvajata tudi pred uvedbo posebnih obdelav, ki jih določa 23. člen ZVOP-2, ki so:

  • izvajanje obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc,
  • obdelovanje osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov videonadzora,
  • obsežne obdelave posebnih vrst osebnih podatkov kot temeljne dejavnosti upravljavca in obdelovalca, ali
  • obdelovanje posebne vrste osebnih podatkov več kot 10.000 posameznikov.

Pogodbena obdelava osebnih podatkov

Pogodbeno obdelavo osebnih podatkov določa 28. člen GDPR, ki med drugim določa, da obdelavo osebnih podatkov s strani obdelovalca ureja pogodba ali drug pravni akt, ki določa:

  • obveznosti obdelovalca do upravljavca,
  • vsebina in trajanje obdelave,
  • narava in namen obdelave,
  • vrsta osebnih podatkov,
  • kategorije posameznikov, na katere se nanašajo osebni podatki, ter
  • obveznosti in pravice upravljavca.

GDPR je v istem členu med drugim določil tudi natančnejšo vsebino pogodbenih določb, ki naj bi jih vsebovale vse pogodbe o obdelavi osebnih podatkov, ki določajo, da obdelovalec:

  • osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;
  • zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  • sprejme vse ukrepe, potrebne v skladu s členom 32 GDPR;
  • spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;
  • ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III GDPR;
  • upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 GDPR ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  • v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
  • da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Obdelovalec lahko obdeluje osebne podatke v imenu upravljavca izključno na podlagi pogodbe o obdelavi osebnih podatkov.

Vodenje dnevnikov obdelav

Skladno z 22. členom ZVOP-2 upravljavci vodijo dnevnik obdelave:

  • kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov,
  • kadar gre za redno in sistematično spremljanje posameznikov,
  • kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali
  • če tako določa zakon.

V dnevniku obdelav se vodijo naslednja dejanja obdelave osebnih podatkov:

  • zbiranje;
  • spreminjanje;
  • vpogled;
  • razkritje, vključno s prenosi;
  • izbris;
  • druga dejanja obdelave, ki jih določa zakon.

ZVOP-2 nadalje določa, da mora dnevnik obdelave za dejanja obdelave vsebovati:

  • vrsto dejanja obdelave,
  • datum in čas obdelave,
  • identifikacijo osebe, ki je izvedla dejanje obdelave,
  • identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb.

Dnevnik obdelave se uporablja le za:

  • izkazovanje zakonitosti obdelave,
  • izvajanje notranjega nadzora,
  • izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov,
  • zagotavljanje celovitosti in varnosti osebnih podatkov ter
  • za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.

Dnevnik obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave.

Na portalu delujemo strokovnjaki z več letnimi izkušnjami s področja varstva osebnih podatkov, za vas opravimo pregled skladnosti poslovanja in vam pripravimo vse potrebno, da bo vaše poslovanje skladno z ZVOP-2 in GDPR.

Glede dodatnih zahtev ZVOP-2 in glede videonadzora na delovnem mestu in videonadzora doma ter dodatnih zahtev za imenovanje pooblaščene osebe za varstvo podatkov smo v preteklosti napisali nekaj prispevkov, več si lahko preberete na povezavah.

V primeru, da potrebujete pomoč pri ureditvi področja varstva osebnih podatkov ali če potrebujete pooblaščeno osebo za varstvo podatkov, nas kontaktirajte, mi vam lahko pomagamo.

Komentiraj

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Scroll to Top