Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.01.2020
Naslov: Varstvo osebnih podatkov, odprtje podjetja
Številka: 07121-1/2020/85
Vsebina: Delovna razmerja, Evidence dejavnosti obdelave , Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec Republike Slovenije (v nadaljevanju: IP) je dne … po elektronski pošti prejel vaš dopis v katerem prosite za nasvet na kaj morate biti pozorni s področja varstva osebnih podatkov v primeru odprtja manjšega podjetja, ki bo imelo tri zaposlene. Zanima vas tudi ali morate izjavo delavca o varovanju osebnih podatkov podpisati vsi, tudi zaposleni, ki ne razpolagajo z osebnimi podatki drugih zaposlenih ter kaj mora podpisati delavec, direktor in administrativno osebje. 

 

 

***

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. 4. 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Ob tem poudarjamo, da IP izven konkretnih inšpekcijskih postopkov ne more presojati posameznih primerov obdelave oziroma posredovanja osebnih podatkov.

 

Ureditev in imenovanje pooblaščene osebe za varstvo podatkov določa Oddelek 4 Splošne uredbe. Splošna uredba določa kriterije, po katerih morate v zasebnem sektorju sami oceniti, ali morate imeti pooblaščeno osebo za varstvo podatkov. 

 

V kolikor imajo dostop do osebnih podatkov, ki jih vodite vi kot upravljavec osebnih podatkov, tudi vaši pogodbeni partnerji, morate upoštevati tudi določbe člena 28 Splošne uredbe in imeti z njimi sklenjeno pogodbo o obdelavi osebnih podatkov.

 

Vsak upravljavec osebnih podatkov mora v skladu z določbami člena 30 Splošne uredbe voditi tudi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti.

 

IP poudarja, da na področju zavarovanja osebnih podatkov še vedno velja ZVOP-1, ki v 24. členu določa predmet zavarovanja osebnih podatkov, in sicer, da zavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov.

 

Poleg določbe o predmetu zavarovanja, ZVOP-1 v 25. členu določa tudi dolžnost zavarovanja osebnih podatkov, in sicer, da so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1. Upravljavci v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Pri presoji ustreznosti postopkov in ukrepov, s katerimi se zagotavlja ustrezna raven varnosti osebnih podatkov, je potrebno nadalje upoštevati tudi določbo člena 32 Splošne uredbe, ki določa, da ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje.

 

V nadaljevanju vam pojasnjujemo, da je Izjava o varovanju osebnih podatkov eden od možnih ukrepov s katerim delodajalec izkaže, da je zaposlene seznanil z obveznostmi zagotavljanja varnosti osebnih podatkov. Kot upravljavec osebnih podatkov morate glede na vse predvidene ukrepe zagotavljanja varnosti osebnih podatkov in dolžnosti seznanitve z obveznostmi glede varnosti osebnih podatkov vseh tistih, ki z osebnimi podatki delajo, sami presoditi komu boste takšno izjavo dali v podpis.

 

Dodajamo, da je pri delu v praksi ključnega pomena zlasti izobraževanje zaposlenih, tako glede politike čiste mize (pospravljanje spisov, dokumentov in ostalih gradiv v omare, ki jih redno zaklepate) kot politike čistega zaslona (vodenje računalniških datotek v mapah in ne na zaslonu računalnika), redno zaklepanje dostopa do računalnika z geslom, redno menjavanje računalniških gesel ipd.

 

Na spletni strani IP www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ lahko v zgoraj navedene namene pridobite zgolj kot pomoč tudi vzorec Evidence dejavnosti obdelave za upravljavce in obdelovalce osebnih podatkov in Obvestila o imenovanju pooblaščene osebe za varstvo osebnih podatkov. V nadaljevanju pa se z vsemi drugimi ukrepi in obveznostmi delodajalca kot upravljavca osebnih podatkov lahko seznanite tudi na spletni strani upravljavec.si.

 

 

S spoštovanjem,

 

 

Pripravila:                                          

Alenka Antloga, univ. dipl. prav.,

državna nadzornica za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka