Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

1. Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov Mag. Rosana Lemut Strle, Odvetnica v Odvetniški družbi Pirc Musar & partnerji o.p., d.o.o. CIPP/E, CIPM

2. Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov = del strategije enotnega digitalnega trga EU. 1. Splošna uredba o varstvu podatkov; Uredba 2016/679 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES. 2. Direktiva 2016/680 Evropskega Parlamenta in Sveta z dne 27.april 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PN. V Uradnem listu EU objavljeni 4.5.2016. Uredba se začne uporabljati 25.5.2018.

3. Regulacija VOP na nivoju Sveta Evrope in EU Svet Evrope 1. Konvencija 108- Konvencija o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov (28.01.1981; veljavnost 01.10.1985) EU 1. Direktiva 95/46/ES - Direktiva Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (24. oktobra 1995; veljavnost 23.11.1995); 2. Uredba 2016/67 – Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (27. aprila 2016, veljavnost 25.5.2016; uporaba 25.5.2018)

4. Področja uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi ali za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju zbirke. * Po Direktivi 95/46/ES (člen 3/I):  Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatskimi sredstvi in za drugačno obdelavo kakor z avtomatskimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni sestavljanju dela zbirke

5. Izključitev uporabe Uredbe Splošna Uredba o varstvu osebnih podatkov se ne uporablja za obdelavo osebnih podatkov:  v okviru dejavnosti zunaj področja uporabe prava Unije,  kadar države članice izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2, naslova V PEU („skupna zunanja in varnostna politika EU“ – nadzor na mejah, azilni postopki…),  s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti,  s strani pristojnih organov za namen preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Izrecno je izključena uporaba Splošne Uredbe o varstvu osebnih podatkov za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Za obdelavo osebnih podatkov z njihove strani se uporablja Uredba ES 45/2001.

6. Omejitev uporabe Uredbe Države članice lahko z zakonom omejijo uporabo določb o pravicah posameznika (tudi načel in obveznosti obveščanja o kršitvah – kolikor se nanašata na uveljavljanje pravic posameznikov) v zvezi z obdelavo osebnih podatkov na področjih (člen 23): - državne varnosti, - obrambe, - javne varnosti, - varstva neodvisnosti sodstva in sodnega postopka, - preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, - preprečevanja, preiskovanja in pregona kršitev etike v zakonski urejenih poklicih…

7. Ozemeljska veljavnost 1. Za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne. 2. Za obdelavo osebnih podatkov posameznikov, ki so v Uniji (prebivalci Unije), s strani upravljavca, ki nima sedeža v Uniji, kadar so delavnosti obdelave povezane: 1. z nudenjem blaga ali storitev posameznikom v Uniji (ne glede na to, ali je za blago ali storitev potrebno plačilo), 2. s spremljanjem njihovega vedenja, kolikor to poteka v Uniji. 3. Za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo Unije uporablja na podlagi mednarodnega javnega prava (npr. na diplomatskih in konzularnih predstavništvih držav članic).

8. OSNOVNI POJMI Osebni podatek je vsak podatek, ki se nanaša na določenega ali določljivega posameznika. Osebni podatek, posameznik, obdelava, zbirka, upravljavec, uporabnik, obdelovalec - enako Splošna Uredba odpravlja dvome in med osebne podatke izrecno šteje tudi:  spletne identifikatorje,  ID piškotkov,  RFID oznake,  IP naslove. Posebej Splošna uredba ureja tudi t.i. psevdonimne podatke in genetske podatke.

9. POJMI  Omejitev obdelave – označevanje shranjenih OP zaradi omejevanja njihove obdelave v prihodnosti.  Oblikovanje profilov – vsaka oblika avtomatizirane obdelave OP, ki vkljčuje uporabo OP za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.  psevdonimizacija – obdelava OP na tak način, da OP brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo OP, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se OP ne pripišejo določenemu ali dolocčljivemu posamezniku.

10. POJMI  Občutljivi OP - Posebne vrste OP – OP, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.  Genetski podatki – OP v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika (Gataca)  Podatki o zdravstvenem stanju – OP, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju.

11. Načela 1. ZAKONITOST 2. PRAVIČNOST 3. PREGLEDNOST 4. OMEJITEV NAMENA 5. MINIMIZACIJA (NAJMANJŠI POTREBEN OBSEG PODATKOV) 6. TOČNOST 7. OMEJITEV SHRANJEVANJA 8. CELOVITOST 9. ODGOVORNOST UPRAVLJAVCA

12. ZAKONITOST Obdelava OP je dopustna, če:  1. je posameznik vanjo PRIVOLIL  2. je potrebna za IZVEDBO POGODBE ali za SKLENITEV POGODBE,  3. je potrebna za IZPOLNITEV ZAKONSKE OBVEZNOSTI,  4. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika,  5. je v javnem interesu ali  6. je v zakonitem interesu upravljavca ali tretje osebe

13. ZAKONITOST Privolitev mora biti: 1. nedvoumna (v treh primerih izrecna), neaktivnost ni dovolj, 2. informirana (informacije morajo biti enostavno dosegljive, zapisane jedrnato in v enostavnem jeziku), 3. specifična, dana ločeno po namenih (t.i. granularnost privolitve) 4. svobodna (če je pogoj za določeno storitev, ne šteje za svobodno, prav tako ne šteje za svobodno, če je posameznik brez škode zanj ne more preklicati). Privolitev ne more biti pravna podlaga, kjer obstaja pomembno nesorazmerje moči med upravljavcem in posameznikov (javni sektor).

14. ZAKONITOST Privolitev za mlajše od 16 let v primeru storitev informacijske družbe dajo starši (zakoniti zastopniki oziroma skrbniki). Predlog ZVOP-2 (4.4.2018) starostno mejo postavlja na 15 let. Privolitev mora na zahtevo nadzornega organa dokazovati upravljavec (načelo odgovornosti upravljavca). Uvodna določba 172 Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.

15. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  1. je posameznik vanjo IZRECNO PRIVOLIL  2. je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika na področju delovnega prava ter prava socialne varnosti in socialnega varstva,  3. je potrebna za ZAŠČITO ŽIVLJENJSKIH INTERESOV posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve  4. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem  5. je obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

16. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  5. je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost  6. je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice.  7. je potrebna za namene preventivne medicine ali medicine dela;  8. se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim in jo izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem

17. ZAKONITOST Obdelava posebnih vrst OP je dopustna, če: (10 pravnih temeljev, le 6 za obdelavo „običajnih“ OP)  9. je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti 7. je potrebna za namene preventivne medicine ali medicine dela;  10. je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice.

18. PRAVICE  INFORMIRANOST in SEZNANITEV Z LASTNIMI OP  POPRAVEK in IZBRIS – “PRAVICA DO POZABE”  PRAVICA DO OMEJITVE OBDELAVE  PRENOSLJIVOST OP (“data portability”)  PRAVICA DO UGOVORA  PRAVICE V ZVEZI Z AVTOMATIZIRANO OBDELAVO IN PROFILIRANJEM

19. PRAVICE  Informacije se posameznikom zagotavljajo v kratki, jedrnati, jasni in pregledni obliki – preprost in razumljiv jezik (ne po principu “pravniki za pravnike”). Komisija lahko določi standardizirane IKONE za informacije.  Načelo pomoči stranki – olajšati uresničevanje pravic.  Zahteva v e-obliki – odgovor v e-obliki.  Daljši roki – 1 mesec, možnost podaljšanja še za dva meseca.  Pravice se omogočijo brezplačno, razen če so zahteve “očitno neutemeljene ali pretirane” – zaračuna razumno pristojbino / zavrne obravnavo zahteve.

20. Primeri ikon

21. PRAVICA DO POPRAVKA 16. člen GDPR:  Pravica do popravka.  Ob upoštevanju namenov obdelave, pravica do dopolnitve nepopolnih osebnih podatkov, vključ̌no s predlož̌itvijo dopolnilne izjave (“supplementary statement”).

22. PRAVICA DO PRENOSLJIVOSTI OP 20. člen GDPR: “data portability” • Posameznik ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, • pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, • Če je podlaga za obdelavo privolitev ali pogodba, • se obdelava izvaja z avtomatiziranimi sredstvi, • neposredno od upravljavca do upravljavca, če je tehnično izvedljivo, • ne, če gre za obdelavo, ki je potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

23. Številne dileme o izvajanju pravice do prenosljivosti Smernice delovne skupine po členu 29 Direktive o pravici do prenosljivosti. Iz točk a) in b) so nastali trije pogoji, ki morajo biti pri prenosljivosti izpolnjeni kumulativno: 1. 1. osebni podatki morajo biti obdelani z avtomatiziranimi sredstvi (tj. brez papirnih dokumentov) na podlagi predhodne privolitve posameznika, na katerega se nanašajo osebni podatki, ali na podlagi izvajanja pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki; 2. 2. zahtevani osebni podatki morajo biti povezani s posameznikom, na katerega se nanašajo osebni podatki, pri čemer jih mora ta posameznik tudi posredovati. 3. 3. gre za podatke, ki jih posreduje posameznik, na katerega se nanašajo osebni podatki, če jih: - „posreduje“ zavestno in dejavno, kot so podatki o računu (npr. e-poštni naslov, uporabniško ime, starost), - so predloženi prek spletnih obrazcev, in tudi, - če se ustvarijo in zberejo z dejavnostmi uporabnikov, z uporabo storitve ali naprave. Šteje se, da tretjega pogoja ne izpolnjujejo podatki, ki so izpeljani ali povzeti iz podatkov, ki jih posreduje posameznik, npr. uporabniški profil, ustvarjen z analizo »surovih« podatkov. ? osebni podatki, ki jih je posameznik (na podlagi privolitve ali pogodbe) posredoval ob obiski spletne strani, spletne trgovine ipd. ?

24. PRAVICA DO UGOVORA 21. člen GDPR:  če je podlaga 6(1) e. ali f. : Upravljavec preneha obdelovati OP, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.  V primerih neposrednega trženja: se ne obdelujejo več za ta namen.  V primeru obdelave v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) : razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

25. AVTOMATIZIRANO ODLOČANJE NA PODLAGI PROFILOV 22. člen GDPR: • Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva. • RAZEN, če je odločitev: a) nujna za sklenitev ali izvajanje pogodbe med posameznikom in upravljavcem; b) dovoljena v pravu Unije ali DČ, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika; c) utemeljena z izrecno privolitvijo posameznika (glede posebnih vrst OP le izjemoma). • V a) in c) primeru upravljavec izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

26. PRAVICA DO IZBRISA 17. člen GDPR: PRAVICA DO IZBRISA (→“pravica do pozabe”):  OP niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;  Posameznik prekliče privolitev in ni druge pravne podlage za obdelavo;  Posameznik obdelavi ugovarja po 21(1), pa ne obstajajo prevladujoči zakoniti razlogi, ali posameznik, obdelavi ugovarja po 21(2) - neposredno trženje, vključno s profiliranjem;  OP so bili obdelani nezakonito;  OP je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;  OP so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1). - starost otroka pod določeno mejo, ni privolitve starša

27. PRAVICA DO POZABE Google v Spain Sodba SEU v zadevi C - 131/12, Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, 14.5.2014

28. Specifičnost ureditve na področju elektronskih komunikacij  E-Privacy Direktiva (Direktiva 2002/58/ES Evropskega parlamenta in Sveta o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij) – 2.7.2002 (* v pripravi e-Privacy Uredba) ZEKom-1:  12. poglavje (od 144 do 161. člena) - „Obdelava osebnih podatkov in varstvo zasebnosti elektronskih komunikacij“; snemanje komunikacij, neželena komunikacija, piškotki…  opredelitve pojmov tudi v 3.členu ZEKom-1  pravice uporabnikov glede pravice do prejema nerazčlenjenih obračunov v 11. poglavju (1. in 4. odst. 139. člena)

29. Prenos Splošne uredbe (in Direktive) v ZVOP-2 1. OSNUTEK ZVOP-2 (3.10.2017) Pripombe zbirane do 13.11.2017, vseboval je 100 členov, brez posebnosti za področje neposrednega trženja. 2. 1. PREDLOG ZVOP-2 (23.1.2018) Pripombe zbirane do 2.2.2018, vseboval je 123 členov, prenos ureditve obdelave osebnih podatkov za neposredno trženje iz ZVOP-1 (92 in 93. člen predloga). 3. 2. PREDLOG ZVOP-2 (4.4.2018) Predlagan sprejem v DZ po nujnem postopku (zavrnjen), vsebuje 145 členov, zapletena ureditev neposrednega trženja v 100. in 101. čl.

30. 2. Predlog ZVOP-2 100. člen  1) Upravljavec lahko uporablja osebne podatke posameznikov, na katere se nanašajo osebni podatki, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih elektronskih komunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če drug zakon ne določa drugače.  (2) Za namene izvajanja neposrednega trženja lahko upravljavec obdeluje le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte, številko telefaksa ter podatke, ki jih je posameznik, na katerega se osebni podatki nanašajo, sam objavil brez očitnega namena, da bi omejil njihovo nadaljnjo obdelavo. Na podlagi privolitve posameznika ali druge zakonske podlage lahko upravljavec obdeluje tudi druge osebne podatke, posebne vrste osebnih podatkov pa le, če ima za to izrecno privolitev posameznika.  (3) Ne glede na določbe prvega in drugega odstavka tega člena, lahko upravljavec obdeluje osebne podatke iz drugega odstavka tega člena za namene izvajanja neposrednega trženja tudi v skladu z drugimi pravnimi podlagami iz Splošne uredbe in zakona.

31. 2. Predlog ZVOP-2 100. člen (4) Upravljavec neposredno trženje po prvem in drugem (? tretjem) odstavku tega člena izvaja tako, da posamezniku ob izvajanju neposrednega trženja posreduje naslednje informacije: • identiteto in kontaktne podatke upravljavca; • ali je upravljavec podatke zbral iz javno dostopnih virov, ali v okviruzakonitegaopravljanja dejavnosti; in • na kakšen način lahko posameznik uveljavlja pravico iz 16. člena in drugega odstavka 21. člena Splošne uredbe ter iz 101. člena tega zakona. (5) Če namerava upravljavec posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom za namene neposrednega trženja, o tem obvesti posameznika in pred posredovanjem osebnih podatkov zagotovi pravno podlago za posredovanje podatkov ali pa pridobi njegovo izrecno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov vsebuje informacijo, katere podatke namerava posredovati, komu, kdaj in za kakšen namen. Stroške obvestila krije upravljavec. (6) Obdelava osebnih podatkov s področja neposrednega trženja je prepovedana za druge namene trženja, zlasti za politično trženje, kar vključuje kontaktiranje ali prepričevanje morebitnih volivcev ali njihovo profiliranje. *Uvodna določba 56 Splošne uredbe: Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo osebne podatke o političnih mnenjih ljudi, se lahko obdelava takih podatkov dovoli iz razlogov javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.

32. OBVEZNOSTI UPRAVLJAVCEV Dokazno breme za obdelavo osebnih podatkov, ki je skladna z načeli iz Splošne uredbe je izrecno na upravljavcu. Novosti: ― manj birokratskih bremen: ni več obveznosti prijave kataloga zbirk, ni več potrebno dovoljenje za iznos podatkov pri uporabi stand. pog. klavzul, * namesto kataloga evidenca dejavnosti obdelave – obveznost vseh upravljavcev ― dolžnost ocene vpliva na varstvo osebnih podatkov in posvet z nadzornim organom, če obdelava pomeni tveganje za posameznika (33. člen), ― natančneje določena obveznost informiranja (13. in 14. člen Splošne uredbe) * informacije za posameznike/notranje politike zasebnosti in varstva osebnih podatkov

33. OBVEZNOSTI UPRAVLJAVCEV Novosti: ― dolžnost imenovanja osebo, pooblaščene za varstvo osebnih podatkov (35. – 37. člen), ― dolžnost poročanja o incidentih v zvezi z osebnimi podatki (31. in 32. člen), ― spoštovanje načel vgrajenega varstva osebnih podatkov in zasebnosti prijaznih začetnih nastavitev (23. člen), ― zagrožene so visoke sankcije za prekrške – do 4% letnega prometa.

34. Odgovorna oseba za varstvo osebnih podatkov Za katere upravljavce velja obveznost, kdo so osebe za varstvo osebnih podatkov, katere naloge imajo, kakšen je njihov položaj znotraj upravljavca.

35. Odgovorna oseba za varstvo osebnih podatkov Imenovanje uradne osebe za varstvo osebnih podatkov je obvezno:  v upravljavcih in obdelovalcih v javnem sektorju;  v tistih upravljavcih in obdelovalcih osebnih podatkov, katerih osnovna dejavnost vključuje obsežno obdelavo osebnih podatkov na način rednega in sistematičnega spremljanja posameznikov ter  pri upravljavcih katerih osnovna dejavnost vključuje obsežno obdelavo posebnih kategorij osebnih podatkov iz 9 člena Splošne uredbe oziroma podatkov, ki so povezani s kazenskimi obsodbami in prekrški iz 9.a člena Splošne uredbe. V vseh ostalih primerih je odločitev za imenovanje uradne osebe za varstvo osebnih podatkov prepuščena upravljavcu oziroma pogodbenemu obdelovalcu.

36. Odgovorna oseba za varstvo osebnih podatkov Pogoji za pooblaščeno osebo v javnem sektorju (46 člen predloga ZVOP-2 4/4 2018): 1. je državljan Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora in aktivno obvlada slovenski jezik, 2. je poslovno sposoben, 3. ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 8. raven, ali ima najmanj izobrazbo, pridobljeno po študijskem programu druge stopnje, oziroma izobrazbo, ki ustreza ravni izobrazbe, pridobljene po študijskem programu druge stopnje, in je v skladu z zakonom, ki ureja slovensko ogrodje kvalifikacij, uvrščena na 9. raven, 4. ima vsaj tri leta delovnih izkušenj s področja varstva osebnih podatkov, 5. ni bil pravnomočno obsojen na kazen najmanj šestih mesecev zapora oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov ali kraje identitete in obsodba še ni bila izbrisana.

37. Odgovorna oseba za varstvo osebnih podatkov Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. obvezna je določitev t.i. vodilnega člana pravne osebe (POVOP) POVOP je lahko le posameznik ali vodilni član v pravni osebi, in mora izpolnjevati pogoje, kot jih je predlagatelj ZVOP-2 določil za POVOP v javnem sektorju, razen pogoja državljanstva Republike Slovenije ali države članice Evropske unije ali države članice Evropskega gospodarskega prostora. Enake pogoje morajo izpolnjevati tudi druge osebe, ki pomagajo vodilnemu članu pri izvajanju nalog. Pri svojem delu so vezane na navodila vodilnega člana.

38. Odgovorna oseba za varstvo osebnih podatkov Za pooblaščeno osebo in osebe, ki ji pomagajo pri izvajanju njenih nalog, se ne sme določiti oseb, ki so v konfliktu interesov z upravljavcem ali obdelovalcem ali bi bilo njihovo delo kot pooblaščene osebe v konfliktu z njegovimi drugimi nalogami ali s položajem pri upravljavcu ali obdelovalcu. V javnem sektorju se za konflikt interesov šteje:  če ima določena oseba položaj predstojnika v osebi javnega sektorja,  če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu,  če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali  če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Navedeno smiselno velja tudi za zasebni sektor (46/X člen predloga ZVOP-2 4/4 2018).

39. Konkretne naloge pooblaščene osebe za varstvo osebnih podatkov  Informiranje in svetovanje zaposlenim pri upravljavcu/pogodbenemu obdelovalcu, ki obdelujejo osebne podatke glede njihovih dolžnosti.  Spremljanje in nadziranje skladnosti obdelave osebnih podatkov pri upravljavcu oziroma pogodbenem obdelovalcu z določili Splošne uredbe drugih predpisov Unije ali države članice s področja varstva osebnih podatkov in politikami upravljavca oziroma pogodbenega obdelovalca, vključno z nalogami osveščanja in usposabljanja zaposlenih, ki so vključeni v postopke obdelave osebnih podatkov in s tem povezanih rednih pregledov.  Svetovanje glede analize vplivov na zasebnost in spremljanje ter nadziranje njenega izvajanja.  Sodelovanje z nacionalnim nadzornim organom za varstvo osebnih podatkov.  Kontaktna točka za nacionalni nadzorni organ, tudi glede predhodnega posvetovanja iz 34. člena Splošne uredbe in posvetovanja potrebnega v drugih zadevah;

40. Hvala za pozornost

Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

Vous êtes en train de lire un aperçu.

Consultez-les par la suite

Splošna Uredba o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov

Plus De Contenu Connexe

Plus par Društvo za marketing Slovenije (20)