Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 10.01.2018
Naslov: Obveznosti po GDPR, pogodbena obdelava, register zbirk
Številka: 0712-3/2017/84
Vsebina: Pogodbena obdelava OP, Register zbirk osebnih podatkov, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše sporočilo, v katerem navajate, da ste enoosebna družba (d.o.o.), v lasti imate bazo kontaktov cca 50.000 fizičnih oseb. Vsi ti osebni podatki so bili pridobljeni z njihovim strinjanjem in jasno predstavljenim namenom uporabe njihovih podatkov. Od vsakega posameznika imate z njihove strani jasno privoljenje in vzpostavljeno imate tudi sledljivost, kdaj vam je kdo svoje osebne podatke zaupal. Seveda omogočate tudi možnost odjave in izbrisa, ter vpogled. Bazo uporabljate v skladu z namenom s katerim je bila pridobljena: občasno pošiljanje e-novic s komercialno vsebino oglaševalca.

 

Zanima vas:

- dostop do baze imate vi in programer, ki sodeluje z vami na daljavo – z njim boste sklenil dogovor o varstvu osebnih podatkov;

- glede na to, da ste enoosebna družba - ali potrebujete tudi kakšen interni akt;

- ali morate bazo kontaktov kje prijaviti.

 

Glede internega akta IP pojasnjuje, da ga GDPR izrecno ne predvideva. Vendar pa IP opozarja, da mora vsak upravljavec zagotoviti vse organizacijske, tehnične in druge ukrepe, da zagotovi in je tudi zmožen dokazati, da obdelava osebnih podatkov poteka v skladu z uredbo. Tudi zaposleni morajo biti seznanjeni z ukrepi za zagotavljanje varstva osebnih podatkov ter njihovo zakonito obdelavo. IP se za ta namen sprejetje nekega akta, npr. Pravilnika o obdelavi in varstvu osebnih podatkov, vsekakor zdi najbolj smiselno.

 

Prijava zbirke osebnih podatkov v register Informacijskega pooblaščenca, ne bo več obvezna. Ta obveznost velja le še do 25. 5. 2018.

 

Obdelavo osebnih podatkov s strani obdelovalca v imenu upravljavca, ureditev razmerij med njima in morebitnimi drugimi obdelovalci, obvezna ravnanja, odgovornosti ipd. določa člen 28 GDPR. V skladu z navedenim členom uredbe se razmerje med upravljavcem in obdelovalcem, ki zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov z zahtevami iz uredbe (lahko z zavezo k odobrenemu kodeksu ravnanja ali z izvajanjem odobrenega mehanizma potrjevanja) in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki, uredi s pisno pogodbo (ali drugim pravnim aktom v skladu s pravom Unije ali pravom države članice), ki poleg obveznosti obdelovalca v razmerju do upravljavca določa še vsebino in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ključno pri tem je, da obdelovalec sprejme vse ukrepe za varnost obdelave osebnih podatkov (ob pomoči upravljavca), ki jih za čas opravljanja storitev obdeluje le po dokumentiranih navodilih upravljavca (vključno s prenosi osebnih podatkov v tretjo državo) in le preko pooblaščenih oseb za obdelavo osebnih podatkov zavezanih zaupnosti, preko drugega obdelovalca (podizvajalca) pa le ob upoštevanju določenih pogojev za njihovo zadolžitev, med katerimi je tudi obveznost, da upravljavec zadolžitvi podizvajalca ne ugovarja. Obdelovalec ob upoštevanju narave obdelave in informacij, ki so mu dostopne, upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 uredbe, poleg tega mora na zahtevo sodelovati z nadzornim organom (člen 31), sprejeti in izvajati ustrezne tehnične in organizacijske ukrepe (člen 32), upravljavca brez nepotrebnega odlašanja uradno obvestiti o kršitvah varstva osebnih podatkov (člen 33), spremljati in izvajati sprejete kodekse ravnanja (člen 40), posameznikom neposredno odgovarjati za storjeno škodo z obdelavo njihovih osebnih podatkov, če ne izpolnjuje obveznosti iz uredbe oziroma kadar prekorači zakonita navodila upravljavca ali ravna v nasprotju z njimi (člen 82) ipd.

 

Za več informacij o GDPR vas napotujemo še na že napisana pojasnila na spletni strani IP:

 

Podatki o Splošni uredbi EU o varstvu podatkov (GDPR) se nahajajo na spletni strani: letak (https://www.ip-rs.si/fileadmin/user_upload/Pdf/GDPR/Splosna_uredba_o_varstvu_podatkov-letak_maj2017_v2.pdf), kjer dobite glavne informacije o novostih, ki jih prinaša uredba.

 

Za informacije o tem, kako delovati v skladu z GDPR, si oglejte informativni letak (https://www.ip-rs.si/fileadmin/user_upload/Pdf/GDPR/GDPR_TOP10_14sep2017.pdf), ki vas bo napotil na posamezne člene uredbe.

 

Vse ostale informacije pa so na voljo na naslovu https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ .

 

 

S spoštovanjem,

 

             Pripravila:                                                                              

      Petra Lešnik Kromar                                                             Mojca Prelesnik, univ. dipl. prav.,

državna nadzornica za varstvo                                                       informacijska pooblaščenka

        osebnih podatkov