Kdo in pod kakšnimi pogoji dostopa do osebnih podatkov v podjetju

Določite, kdo in pod kakšnimi pogoji lahko dostopa do osebnih podatkov, ki jih v podjetju obdelujete.

Z osebnimi podatki, ki jih obdelujete, se seznanjajo (notranji in zunanji) uporabniki osebnih podatkov. Zlasti v spletnem okolju uporabnik označuje posameznike, ki so subjekti obdelave osebnih podatkov in ne nastopajo v vlogi tistega, ki osebne podatke obdeluje.

Kljub temu se je na področju varstva osebnih podatkov treba navaditi, da pojem uporabnik označuje fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne.

Uporabniki so lahko:

  1. tisti, ki delujejo POD NEPOSREDNIM VODSTVOM UPRAVLJAVCA (zaposleni in honorarni delavci itd.);
  2. OBDELOVALCI, ki osebne podatke obdelujejo v imenu upravljavca in po njegovih navodilih, kot na primer računovodski servis, ponudnik storitev informacijske podpore, marketinško podjetje, ki v vašem imenu izvaja trženje vašim strankam itd.
  3. SKUPNI UPRAVLJAVCI, ki skupaj določijo sredstva in namene obdelave osebnih podatkov, če na primer skupaj z drugimi podjetji nastopate v marketinški kampanji pri čemer obdelujete osebne podatke, itd.
  4. TRETJE OSEBE, ki nastopajo kot samostojni upravljavci osebnih podatkov, kot na primer ZZZS, FURS, banke itd.

Kaj pa, če podatki potujejo izven EU?

Pri sodobnem poslovanju se skoraj vsako podjetje sooča s potrebo, željo ali nujnostjo, da podatke svojih zaposlenih ali strank zaupa tuji organizaciji, ki ni nujno v Sloveniji ali Evropi. Zagotavljanje spletnih storitev zelo pogosto vključuje uporabo infrastrukture, ki se nahaja zunaj EU – v tretjih državah (ZDA, Indija, Kitajska, Srbija…). Če v tem procesu pride do prenosa osebnih podatkov v tretje države (države, ki niso del EU) ali mednarodne organizacije, je treba izpolniti posebne zahteve, da se tak prenos osebnih podatkov lahko izvede.

Glede pogojev za dopusten prenos osebnih podatkov, si oglejte Smernice glede prenosa osebnih podatkov v tretje države.

Tipični primeri so najemanje strežnikov v tretjih državah, ki ponujajo ugodnejše pogoje, uporaba spletnih storitev ponudnikov iz tretjih držav, uporaba storitev multi-nacionalnih podjetij, ki same najemajo »podizvajalce« iz tretjih držav, da jim zagotavljajo podatkovni prostor ali drugo spletno storitev, s katero zaupajo osebne podatke v podobdelavo.

PRIPRAVITE AKCIJSKI NAČRT

  1. Bodite pozorni, če pri svoji dejavnosti ali z uporabo (spletnih) storitev pride do prenosa osebnih podatkov izven EU.

  2. Ko do prenosa pride, se prepričajte, da obstaja ustrezna pravna podlaga za prenos. Podrobna pojasnila in napotke o prenosu preberite v Smernicah glede prenosa osebnih podatkov v tretje države.