Zakonita uporaba osebnih podatkov in popis evidenc

Opredeljen namen in pravna podlaga sta osnovi zakonite obdelave osebnih podatkov.

1. Za kakšen namen podatke uporabljate?

Ko ste v podjetju raziskali, kje vse vodite zbirke in obdelujete osebne podatke, se morate vprašati po namenu oziroma razlogu zbiranja teh podatkov. Ne zbirajte osebnih podatkov »na zalogo«, ampak že pred zbiranjem natančno določite namen obdelave. Če vodite zbirko kontaktnih podatkov svojih strank, potem morate že pred vzpostavitvijo zbirke določiti, zakaj boste podatke uporabili (le zaradi kontaktiranja strank v zvezi s konkretno pogodbo ali pa nameravate pošiljati tudi oglasna sporočila).

Hrbtenica varstva osebnih podatkov so njegova načela.

Gre za temeljne principe varstva osebnih podatkov, ki zahtevajo naj se:

  1. Podatke obdeluje POŠTENO, PREGLEDNO in ZAKONITO. Za obdelavo osebnih podatkov potrebujete (eno) pravno podlago – to je lahko, na primer privolitev, pogodba ali zakonska podlaga. Pri obdelavi osebnih podatkov je vselej treba ravnati pošteno do posameznikov in z obzirom do njihovih pravic ter svoboščin. Podatke morate obdelovati pregledno, tako da so posamezniki ustrezno informirani o vseh bistvenih vidikih obdelave.
  2. Podatke obdeluje le za določene, izrecne in zakonite namene in da se prepreči njihova nadaljnja obdelava, ki ni skladna z nameni zbiranja. NAČELO OMEJITVE NAMENA zahteva, da se podatkov ne zlorablja za druge namene, ki niso združljivi s prvotnim namenom zbiranja. Ni namreč dopustno, da bi na primer zbirali podatke strank zaradi izvajanja pogodbe in jih prodajali tretjim ponudnikom za neposredno trženje izdelkov teh ponudnikov. Ko uporabljate podatke za drug namen, je treba preveriti združljivost namenov ali pa iskati drugo ustrezno pravno podlago (npr. privolitev).
  3. Zbira le tiste podatke, ki so ustrezni, relevantni in omejeni na namen zbiranja, s čimer se prepreči zbiranje osebnih podatkov »na zalogo«. NAČELO NAJMANJŠEGA OBSEGA PODATKOV zahteva, da že pri zbiranju upravljavec poskusi zbirati le tiste podatke, ki jih potrebuje za dosego namena. Za delovanje aplikacije »lučka« na mobilnem telefonu ni potrebno, da ima aplikacija dostop tudi do imenika, baze elektronskih naslovov itd. Če aplikacija lučka zahteva dostop tudi do navedenih podatkov, mora upravljavec pojasniti, za kakšen namen jih zbira in katera je pravna podlaga za njihovo zbiranje.
  4. Hrani podatke le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo in da naj se osebni podatki shranjujejo za daljše obdobje le za namene arhiviranja v javnem interesu, za znanstveno ali zgodovinsko-raziskovalne namene ali statistične namene. NAČELO OMEJITVE SHRANJEVANJA terja odgovorno ravnanje upravljavcev tudi ko gre za hrambo osebnih podatkov. Po prenehanju namena zbiranje je osebne podatke treba ustrezno uničiti. Prenehanje namena običajno pomeni iztek zakonskega roka hrambe (pri računovodskih izkazih za knjiženje poslovnih dogodkov je na primer rok hrambe deset let). Ko podatke obdelujete na podlagi privolitve, je rok hrambe odvisen od namena zbiranja, običajno pa do preklica privolitve. Upoštevajte, da lahko podatke hranite tudi za uveljavljanje ali obrambo pred pravnimi zahtevki, kjer običajno velja splošni zastaralni rok po Obligacijskem zakoniku, ki je pet let.
  5. Skrbi, da so zbirke TOČNE in AŽURNE. Ažurnost terja od upravljavca, da sproti osvežuje in pregleduje zbirke podatkov. To načelo zahteva tudi, da je upravljavec skrben pri vnosu podatkov v zbirke in da je odziven na zahteve posameznikov po spremembah netočnih podatkov.
  6. Zagotovi skrb za CELOVITOST in DOSTOPNOST osebnih podatkov, ki sta stebra varnosti osebnih podatkov. Osebni podatki morajo biti upravljavcu ves čas na voljo in pod njegovo kontrolo. Če pride do nepooblaščenega vdora v informacijski sistem in napadalci vstavijo izsiljevalsko programje, ki upravljavcu preprečuje dostop do osebnih podatkov, pride do kršitve dostopnosti zbirk. Če se omogoči dostop do osebnih podatkov zaposlenim, ki nimajo razloga, da dostopajo do osebnih podatkov, gre za kršitev načela celovitosti ali integritete.
  7. Ključna novost, ki jo prinaša Uredba pa je NAČELO ODGOVORNOSTI (ang. accountability principle), ki zavezancem nalaga dolžnost, da so v vsakem trenutku sposobni izkazati, da osebne podatke obdelujejo skladno in izpolnjujejo vse zahteve, ki jih nalaga Uredba ter nacionalni predpisi varstva osebnih podatkov.

2. Na kateri pravni podlagi obdelujete osebne podatke?

Ko opredelite namen obdelave, je treba ugotoviti, na kateri pravni podlagi podatke obdelujete.

Pravne podlage za obdelavo osebnih podatkov so navedene v prvem odstavku 6. člena Uredbe. Za posebne vrste osebnih podatkov (zdravstveni podatki, podatki o verski in politični prepričanosti, spolni usmerjenosti itd.) so dopustne podlage navedene v prvem odstavku 9. člena Uredbe. Preberite več o pravnih podlagah. 

Informacijski pooblaščenec je za enostavnejši prikaz pravnih podlag za zasebni sektor pripravil infografiko:

3. Dokumentiranje in evidentiranje dejavnosti obdelav

Ko določite, kje se podatki nahajajo, za kakšen namen jih obdelujete in na kateri pravni podlagi, je treba ugotovitve ustrezno zabeležiti. Novo načelo odgovornosti zahteva, da ste na zahtevo sposobni izkazati, da poslujete skladno s pravili varstva osebnih podatkov. Skladno poslovanje boste lahko izkazali, če boste imeli pregled nad vsemi obdelavami osebnih podatkov, ki se izvajajo pod vašim nadzorom.

Pregled nad obdelavami osebnih podatkov vam omogočajo evidence dejavnosti obdelav osebnih podatkov. Z drugimi besedami, gre za popis zbirk osebnih podatkov.

Kaj vpisati v evidence?

V evidenco lahko vpišete pomembne okoliščine v zvezi z obdelavo osebnih podatkov, kot so namen obdelave, pravno podlago, kategorije posameznikov, kategorije uporabnikov, informacije o morebitnih prenosih itd. Vsebina evidenc je predpisana in jo določa člen 30 Uredbe. Vsebina evidenc se razlikuje, če podatke obdelujete kot upravljavec oziroma če podatke obdelujete kot obdelovalec.

Na strani Informacijskega pooblaščenca najdete natančnejši opis, kaj je treba vpisati v evidence in tudi vzorca za upravljavce in obdelovalce.

PRIPRAVITE AKCIJSKI NAČRT

  1. V prvem koraku ste pripravili natančen popis, katere osebne podatke vaše podjetje obdeluje in kje se nahajajo. V drugem koraku določite, za kateri namen podatke obdelujete.

  2. Ugotovitve zabeležite v pisni obliki in jih ustrezno strukturirajte, da omogočite lažje pregledovanje.

  3. Zbrane informacije vnesite v svoje evidence, določite pravno podlago za obdelavo ter izpolnite druge potrebne informacije, ki jih navaja člen 30 Uredbe. Pomagate si lahko z vzorci, ki jih je pripravil Informacijski pooblaščenec.

Vzorec evidence dejavnosti obdelave za UPRAVLJAVCE  

Vzorec evidence dejavnosti obdelave za OBDELOVALCE