Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Najpogostejša vprašanja in odgovori

+ -

Imate vprašanje glede Splošne uredbe o varstvu osebnih podatkov ali Zakona o varstvu osebnih podatkov (ZVOP-2), ki verjetno zanima tudi druge? Če odgovora na svoje vprašanje ne najdete med spodnjimi, nam pišite - vprašanje in odgovor bosta objavljena.

Kaj je GDPR?

GDPR je kratica za General Data Protection Regulation oz. za Splošno uredbo EU o varstvu podatkov, ki določa nova pravila glede varstva osebnih podatkov (od tu naprej: Splošna uredba).

Kje dobim uradno besedilo Splošne uredbe?

TUKAJ.

Kdaj se je začela uporabljati?

25.5. 2018.

Zakaj je bilo treba spreminjati pravila?

Zato. Pa tudi zato. In zato.

Katere so glavne novosti, kaj pomenijo za nas kot podjetje ali ustanovo?

Povzetek ključnih novosti Splošne uredbe najdete tukaj.

Kaj pa ZVOP-2?

Splošna uredba postavlja enotna pravila za varstvo osebnih podatkov v EU, nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice. Navedeno  ureja ZVOP-2, ki se uporablja s 26.1.2023. 

Kaj ureja ZVOP-2?

Nacionalni predpis lahko glede na določbe Splošne uredbe uredi določena vsebinska področja, kot so uporaba zdravstvenih, biometrijskih in genetskih podatkov, nekatere postopkovne vidike (npr. postopek izrekanja sankcij in pravna sredstva) ter relacijo do drugih področij in pravic (npr. dostop do informacij javnega značaja, uporaba osebnih podatkov v raziskovalne, arhivske in statistične namene). Poleg tega ureja dodatne pogoje za pooblaščene osebe za varstvo podatkov, spreminja ureditev videonadzora, zagotavljanja sledljivosti in nekatera druga področja. ZVOP-2 pa ne sme spreminjati določb Splošne uredbe, saj se mora uredba neposredno uporabljati.

Ali še ostajajo izjeme, ki jih je ZVOP-1 predvideval za podjetja z manj kot 50 zaposlenimi?

Splošna uredba in tudi ZVOP-2 ne poznata takšnih izjem, vendar pa ne nalagata vseh obveznosti za vsa podjetja - nekatera podjetja niso dolžna imeti pooblaščenih oseb (angl. Data Protection Officer, DPO) in jim ni treba izvajati ocen učinkov, nekaterim celo ni treba imeti popisanih zbirk oziroma procesov obdelav podatkov (kar sicer odsvetujemo). Za več informacij glejte odgovore na vprašanja spodaj.

Ali obstajajo bolj podrobne razlage posameznih določb Splošne uredbe?

Priporočamo vam pregled smernic o ključnih temah, kot so pooblaščene osebe, ocene učinkov ali pravila glede profiliranja posameznikov, ki jih skupaj pripravljamo vsi nadzorni organi v EU. Vse nove evropske smernice objavljamo tu. Ko bodo na voljo prevodi v slovenščino, jih boste prav tako našli na tej strani.

Ali moramo ponovno dobiti privolitev naših strank?

Gre za eno najpogosteje zastavljenih vprašanj. Splošna uredba v 171. uvodni določbi določa naslednje: »Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe.«. To zelo verjetno pomeni, da številne privolitve, ki so bile veljavne po ZVOP-1 ne izpolnjujejo vseh pogojev za veljavnost privolitve po Splošni uredbi. Absolutno priporočamo, da temeljito preverite vse vaše obrazce za soglasje, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Podrobno si poglejte predvsem uvodne določbe 32, 33, 42, 43 in 171 ter člene 7, 8 in 9.

Posebej priporočamo, da si preberete EU smernice o privolitvi.

Ali moramo imenovati pooblaščeno osebo za varstvo osebnih podatkov (»DPO«)?

Splošna uredba v 37. členu določa, kdaj je potrebno imenovanje pooblaščenih oseb za varstvo osebnih podatkov (»DPO«). Obveznost imenovanja pooblaščenih oseb ni vezana na število zaposlenih v podjetju, temveč GDPR določa kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščena oseba. Imenovati jih morajo:

1.      Javni organi in telesa. Kaj vse sodi med javni sektor oz. v definicijo javnega organa  določa ZVOP-2, in sicer v javni sektor sodijo: državni organi, samoupravne lokalne skupnosti, nosilci javnih

pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni

zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom.

2.      Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov (npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami – angl. CRM), zdravstveni IT sistemi itd.). Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, niso dolžna imenovati pooblaščene osebe.

3.      Tista podjetja in institucije, ki izvajajo obsežno obdelavo obdelujejo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste podatkov – klinični centri, bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, zapori in prevzgojni zavodi. Posamezen zasebni zdravnik, zobozdravnik ali odvetnik ni dolžan imenovati pooblaščene osebe.

Poleg navedenega pa morate upoštevati tudi določbe ZVOP-2 glede pooblaščenih oseb (členi 44 do 50) – več informacij o tem najdete na podstrani: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/poobla%C5%A1%C4%8Dena-oseba-za-varstvo-podatkov.

Za podrobnejšo seznanitev s pogoji imenovanja in drugimi vprašanji v zvezi s pooblaščenimi osebami priporočamo EU smernice o pooblaščenih osebah za varstvo podatkov

Nimamo ustrezne osebe, ki bi lahko bila pooblaščena oseba. Kaj lahko storimo?

Splošna uredba dopušča, da naloge pooblaščene osebe opravlja zunanja oseba, v določenih primerih lahko ena pooblaščena oseba opravlja naloge za več družb oziroma organov. Podobno si preberite člene od 37 do 39, ZVOP-2 pa določa posebne dodatne okoliščine ali omejitve.

Slišali smo, da naj bi posameznik lahko zahteval izbris svojih podatkov, kako je s tem?

Splošna uredba daje posameznikom pravico do izbrisa oz. pozabe, a je ta pravica precej omejena, in sicer predvsem na primere, kot so nespametne objave podatkov na družabnih omrežjih v mladosti, ki posamezniku kasneje v življenju škodijo ali pa izbrisi nezakonito zbranih podatkov. Če hrambo podatkov določa ali zahteva zakon, ali pa za objavo prevlada javni interes, potem praviloma posameznik izbrisa ne bo dosegel. Omenjeno pravico ureja 17. člen Splošne uredbe.

Kdaj bo na voljo certifikacija?

Certifikacija bo možna šele, ko bodo razviti akreditacijski in certifikacijski mehanizmi, kar pa je kompleksna naloga in terja svoj čas. ZVOP-2 daje podlago za ureditev potrjevanja (certifikacije) v 52. in 53. členu.

Ali moramo izvajati ocene učinkov?

Ocene učinkov so potrebne v primerih, kjer so tveganja za varstvo osebnih podatkov velika. Taki primeri so npr.:

·         vzpostavitev novega kluba zvestobe,

·         aplikacija za zajem in zbiranje zdravstvenih podatkov,

·         programska rešitev za vodenje ocen otrok v šolah,

·         državni projekti e-uprave in centralni gradniki,

·         videonadzor javnih površin,

·         uvedba sekcijskih radarjev, brezpilotnih letal, avtomatskih prevajalcev registrskih tablic, inteligentne video-analitike in transportnih sistemov, biometrijskih ukrepov in druge napredne tehnološke rešitve za zbiranje in obdelavo osebnih podatkov …

Informacijski pooblaščenec je izdal seznama obdelav, za katere je treba izdelovati ocene učinka, dostopen je tukaj.

Priporočamo tudi smernice na EU ravni glede ocen učinka, prav tako si oglejte praktične smernice Informacijskega pooblaščenca.

Določene zahteve glede ocene učinkov postavlja tudi ZVOP-2 – glej člene 22, 24, 69 in 80.

Se moramo res »samoprijaviti«, če kršimo varstvo podatkov? V katerih primerih in kako?

Drži. Če se vam, npr. zgodi, da izgubite prenosnik z bazo osebnih podatkov, ali pa vam vdrejo na spletno stran in ukradejo osebne podatke strank, boste morali obvestiti IP kot nadzorni organ, in sicer v 72-ih urah. V ta namen lahko uporabite obrazec , ki je dosegljiv na naši spletni strani. Obveznost poročanja podrobneje urejata 33. in 34. člen Splošne uredbe, več o tej temi pa najdete v smernicah.

Kaj se zgodi, če se ne prijavimo, čeprav bi se morali?

S tem kršite obveznosti iz 33. in 34. člen Splošne uredbe, zaradi česar se vam lahko izreče globa, predpisana v 4. odstavku 83. člena Splošne uredbe, poleg tega pa se lahko to upošteva kot oteževalna okoliščina pri izreku višine izrečene globe.

Nas res čakajo 10 in 20 milijonske kazni za kršitve?

V Splošni uredbi sta omenjena zneska (ali odstotki prometa) navedena kot najvišji možni kazni, vendar se pri izreku kazni upošteva veliko kriterijev (malomarnost ali naklep, škoda za posameznika, število prizadetih posameznikov, obnašanje in prejšnja kaznovanost storilca itd.). Kriterije določa 83. člen Splošne uredbe.

Moramo še vedno prijavljati zbirke osebnih podatkov v register Informacijskega pooblaščenca?

Prijava zbirk po Splošni uredbi in ZVOP-2 ni več obvezna!

Kako pa je s katalogi – moramo še vedno voditi opis zbirk osebnih podatkov, ki jih imamo?

Tako je, voditi morate evidence dejavnosti obdelave, kar pomeni neke vrste popis zbirk osebnih podatkov, v katerem vsako zbirk opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost po Splošni uredbi velja ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). Več: glejte 30. člen Splošne uredbe.

Moramo z zunanjimi ponudniki še vedno imeti pisne pogodbe? Obstajajo kakšni vzorci?

Da, še vedno. Novost pa je ta, da vas morajo vaši pogodbeniki obvestiti, ali in katere podizvajalce uporabljajo, čemur pa lahko kot naročnik storitev vedno ugovarjate. Pogodbe morajo vsebovati več varovalk, ki jih določa 28. člen Splošne uredbe o varstvu podatkov. Informacijski pooblaščenec je pripravil standardna pogodbena določila za ureditev pogodbenega razmerja med upravljavci in obdelovalci podatkov, ki jih je potrdil Evropski odbor za varstvo osebnih podatkov (EDPB). Standardna pogodbena določila sledijo zahtevam 28. člena Splošne uredbe o varstvu podatkov in jih lahko upravljavci z ustreznimi prilagoditvami glede na konkretno situacijo, uporabite kot vzorčno pogodbo, ko najemate storitve pogodbenih obdelovalcev. Standardna pogodbena določila so dostopna na tej povezavi (.doc / .pdf). 

Več informacij o pogodbeni obdelavi najdete na:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/pogodbena-obdelava

 

Kaj pa pravilnik o zavarovanju oz. varnostnih postopkih – je obvezen?

Splošna uredba izrecno ne zahteva posebnega pravilnika, v katerem opišete varnostne ukrepe, ga pa močno priporočamo. Če pravilnik že imate, predvsem preverite, ali se njegove določbe res izvajajo v praksi. Nikakor ne kopirajte kar tako vzorcev pravilnikov, če nekaterih varnostnih ukrepov sploh ne uporabljate. Raje opišite, kaj imate in zaposlene seznanite z določbami pravilnika (lahko podpišejo tudi izjavo o seznanjenosti). Če ste resno in odgovorno podjetje, potem je prav, da imate v internih aktih postavljena pravila, kako ščitite osebne podatke pred izgubo, nepooblaščenim dostopom in drugimi zlorabami. Lahko si ogledate tudi naše pravilnike in smernice o informacijski varnosti (v njih je tudi manjši kontrolni seznam za preveritev ter primeri dobrih in slabih praks).

Ali lahko rešimo obveznosti po Splošni uredbi z nakupom programske opreme?

Nekateri ponudniki ponujajo različne programske rešitve za izzive Splošne uredbe, zavedati pa se morate, da pri Splošni uredbi večinoma ne gre za tehnološke obveznosti, temveč primarno za pravno-organizacijske, zato vsega ne morete rešiti samo s tehnologijo. Lahko pa vam določena orodja pomagajo pri nekaterih vidikih, kot je boljše vodenje dokumentacije in podobno.