Obveščanje posameznikov

Posameznikom jasno in razumljivo pojasnite, kako boste obdelovali njihove osebne podatke.

Preden v podjetju od posameznikov (vaših zaposlenih, strank, kupcev vaših izdelkov ali poslovnih partnerjev) pridobite njihove osebne podatke, jim morate zagotoviti jasne, razumljive in pregledne informacije, kako točno boste podatke obdelovali in kakšna so morebitna tveganja in zaščitni ukrepi. Prav tako jih morate obvestiti, kakšne so njihove pravice in kako lahko vložijo pritožbo. Obvestilo naj bo napisano v preprostem jeziku, ki ga povprečen uporabnik lahko razume, izogibajte se zapletenim pravniškim izrazom.

Obseg informacij, ki jih morate zagotoviti, se razlikuje, če ste osebne podatke pridobili neposredno od posameznikov oz. če so podatki pridobljeni iz drugega vira, npr. za zbiranje elektronskih naslovov potencialnih kupcev ste najeli marketinško agencijo, ki vam je predala zbrane kontakte.

Kadar osebne podatke pridobite neposredno od posameznikov, jim morate zagotoviti sledeče informacije (člen 13 Uredbe):

Kdo obdeluje njihove podatke?

Navesti morate identiteto upravljavca in kontaktne podatke: naziv podjetja in naslov oz. sedež ter podatke o pooblaščeni osebi za varstvo podatkov, če je ta imenovana.

Zakaj obdelujete osebne podatke?

Čim natančneje opredelite, za kakšen namen in na kateri pravni podlagi obdelujete osebne podatke. Kadar obdelava poteka na podlagi zakonitih interesov (člen 6 (1f), pa tudi o zakonitih interesih, ki jih zasledujete. Če posameznik mora posredovati svoje osebne podatke (npr. zaradi pogodbe), navedite tudi, kakšne bodo posledice, če jih ne posreduje.

Komu posredujete podatke?

Navedite, katerim tretjim osebam boste posredovali osebne podatke (npr. zunanji vzdrževalci spletnega mesta, oglaševalska podjetja), pri čemer se zaposleni v podjetju ne štejejo za uporabnike. Navedite tudi, če bo prišlo do prenosa podatkov v tretje države ali mednarodne organizacije.

Koliko časa boste podatke hranili?

Opredelite, koliko časa boste osebne podatke hranili, kjer pa to ni mogoče, vsaj kriterije, po katerih se določi čas hrambe osebnih podatkov, npr. podatke bomo hranili za čas trajanja prodajne akcije XY ali podatke bomo hranili do preklica privolitve za prejemanje e-novic.

Katere pravice imajo posamezniki?

Posameznike ste dolžni seznaniti z njihovimi pravicami s področja osebnih podatkov. Splošna uredba določa, da imajo posamezniki pravico do:

  1. dostopa,
  2. popravka,
  3. izbrisa,
  4. omejitve obdelave,
  5. preklica privolitve,
  6. ugovora
  7. prenosljivosti.

Podrobne razlage in obveznosti glede zagotavljanja pravic posameznikov najdete na strani www.tiodlocas.si.

Navedite, katere pravice ima posameznik v konkretnem primeru in tudi, kako lahko te pravice uveljavlja, npr. »pišite na nam naslov pravice@podjetje.si, kontaktirajte nas prek spodnjega obrazca«.

Prav tako morate posameznike obvestiti o pravici do pritožbe pri nadzornem organu za primer kršitve Splošne uredbe. V Sloveniji je to Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si, telefon 012309730, spletna stran www.ip-rs.si. Če podatke posameznikov obdelujete na osnovi njihove privolitve, jih morate obvestiti, da lahko privolitev kadarkoli prekličejo. Če na podlagi podatkov o posamezniku zakonito izvajate profiliranje oziroma sprejemate avtomatizirane odločitve s pravnim ali podobnim učinkom, morate navesti tudi, kateri so razlogi za profiliranje ali avtomatizirano odločanje, kot tudi pomen in predvidene posledice, ki jih obdelava prinaša posamezniku.

Obdelava za drug namen

Kadar nameravate nadalje obdelovati osebne podatke za drug namen, kot tistega, za katerega so bili osebni podatki zbrani, morate posamezniku sporočiti ta drug namen že ob zbiranju, npr. elektronski naslov, ki ste nam ga posredovali ob spletnem nakupu, bomo uporabili tudi za neposredno trženje.

Informacijski pooblaščenec je pripravil primer obvestila posameznikom (po 13. členu Uredbe) glede obdelave osebnih podatkov, ki ga lahko prilagodite vašim okoliščinam.

Kje objaviti obvestilo posameznikom?

Za posameznike je pomembna sama vsebina obvestila kot tudi oblika oz. dostopnost informacij. Obvestilo naj bo enostavno dostopno (torej ne zakopano med Splošne pogoje v pogodbi ali skrito na spletni strani) in v pisni obliki. Če gre za vaše zaposlene, jim lahko ob zaposlitvi podate obrazec z informacijami, katere njihove osebne podatke boste obdelovali kot delodajalec za namene delovnega razmerja. Obrazec lahko nato objavite tudi na intranetu, oglasni deski podjetja ali drugemu zaposlenim enostavno dostopnemu mestu. Strankam na podoben način, npr. ob nakupu posredujete informacije, katere njihove osebne podatke boste obdelovali. Če gre za nakup v spletni trgovini, je tak obrazec lahko enostavno dosegljiv na spletni strani, lahko je plakat z informacijami na prodajnem mestu ali sestavni del pogodbe oziroma splošnih pogojev nudenja storitve. Prijavljenim na e-novice in obvestila lahko te informacije podate na spletni strani ob poljih, v katere vnesejo svoje podatke ali s povezavo na takšno besedilo.

Obvestilo objavite na tisti točki dotika, kjer boste od posameznikov pridobili njihove osebne podatke.

Kadar osebnih podatkov niste pridobili neposredno od posameznikov, na katere se ti nanašajo, jim morate zagotoviti sledeče informacije (člen 14 Uredbe):

  • vse zgoraj navedene informacije in dodatno še,

  • vrste osebnih podatkov, ki ste jih pridobili,

  • od kje izvirajo njihovi osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov.

Te informacije morate posameznikom zagotoviti najpozneje v enem mesecu po prejemu njihovih osebnih podatkov. Če se bodo osebni podatki uporabili za komuniciranje s posameznikom, morate te informacije posredovati najpozneje ob prvem komuniciranju. Če boste osebne podatke razkrili tretji osebi, morate te informacije posredovati najpozneje ob prvem razkritju.

Informacijski pooblaščenec je pripravil primer obvestila posameznikom (po 14. členu Uredbe) glede obdelave osebnih podatkov, ki ga lahko prilagodite vašim okoliščinam.

 

PRIPRAVITE AKCIJSKI NAČRT

  1. Pripravite seznam vseh točk dotika, kjer zbirate osebne podatke in poiščite ustrezne rešitve, kako boste obvestilo objavili (ločena spletna stran, pop-up okno, letak, izjava, člen v pogodbi itd.)

  2. Pripravite ustrezna obvestila glede na konkretne okoliščine obdelave osebnih podatkov (prihod novega zaposlenega, nakup v spletni trgovini, obisk spletne strani itd.) Bodite pozorni, ali osebne podatke dobite neposredno od posameznikov ali iz drugih virov in temu primerno posredujte vse potrebne informacije.

  3. Bodite razumljivi, informacije naj bodo pregledne in jasne, obvestilo naj bo enostavno dostopno.

Pripravite se na zahtevke

Posamezniki imajo pravico, da od vas zahtevajo dostop do osebnih podatkov, ki jih obdelujete ter pravico do popravka, izbrisa, omejitve obdelave, ugovora in prenosljivosti podatkov. Ste pripravili ustrezen odziv in tehnične rešitve, kako jim boste te pravice omogočili? Uredba predvideva, da bi morali omogočiti elektronsko vlaganje zahtev, zlasti kadar tudi osebne podatke obdelujete z elektronskimi sredstvi. Podrobne razlage posameznih pravic najdete na spletni strani www.tiodlocas.si, v pomoč pri oblikovanju in implementaciji ustreznih rešitev so vam lahko sledeča vprašanja.

Informiranje posameznikov

  • Kako nas bo posameznik kontaktiral, ko bo želel uveljaviti katero od pravic?

  • Imamo, npr. na spletni strani, naveden ustrezen kontakt ali obrazec in navodila, kako lahko posamezniki svoje pravice uveljavljajo?

Pravica dostopa (npr. seznanitev kupca s podatki o opravljenih nakupih)

  • Ali lahko ugotovimo in pripravimo izpis, katere vse posameznikove osebne podatke obdelujemo?

  • Ali imamo za posamezne vrste osebnih podatkov tudi ustrezno zabeleženo, če so ti bili razkriti tretjim osebam, preneseni v tretje države ali mednarodne organizacije, koliko časa so hranjeni in iz katerega vira smo jih pridobili, če jih nismo zbrali neposredno od posameznika?

  • Kako bomo zagotovili kopijo osebnih podatkov, ki jih o posamezniku obdelujemo? Na kakšen način bomo izpis posredovali posamezniku (prek elektronske pošte, na CD/DVD ali drugem nosilcu podatkov, fotokopirani dokumenti itd)?

  • Kolikšni bodo stroški izdelave dodatnih kopij, če jih bo posameznik zahteval?

Pravica do popravka (npr. popravek napačnega priimka)

  • Kako bomo tehnično izpeljali popravek napačnih oz. dopolnitev nepopolnih osebnih podatkov? Kako bomo zagotovili beleženje sprememb in sledenje popravkom?

  • Kako nam bo posameznik sporočil pravilne podatke, ali bomo predvideli poseben obrazec?

Pravica do izbrisa (npr. izbris elektronskega naslova posameznika za prejemanje e-novičnika)

  • Kako bomo beležili evidenco namenov, za katere zbiranje in obdelava osebnih podatkov nista več potrebni in posledično podatke tudi izbrisali?

  • Kako bomo posameznikom omogočili preklic privolitve (npr. odjava od prejemanja elektronskih novic, preklic soglasja za objavo fotografij na spletni strani podjetja) in posledično podatke izbrisali?

  • Kako bomo tehnično izpeljali izbris osebnih podatkov iz vseh podatkovnih baz – pri nas in/ali pri našem obdelovalcu?

Pravica do omejitve obdelave (npr. preprečitev izbrisa videoposnetka, ker ga posameznik potrebuje zaradi odškodninskega postopka)

  • Kako bomo tehnično izpeljali omejitev obdelave in tudi preprečili spreminjanje osebnih podatkov (npr. začasni prenos podatkov v drug sistem, preprečen dostop drugim uporabnikom ali začasna odstranitev objavljenih podatkov s spletne strani)?

  • Ali smo jasno označili v zbirki, da je obdelava osebnih podatkov omejena?

  • Ali imamo dovolj strežniških kapacitet za hrambo podatkov, ki so v stanju omejene obdelave (t.i. blokiranje osebnih podatkov)?

Pravica do prenosljivosti (npr. prenos podatkov o opravljenih nakupih v spletni knjigarni k drugemu ponudniku)

  • Kako bomo tehnično izvedli prenosljivost podatkov? Kako bomo posamezniku prenesli njegove podatke v strukturirani in strojni berljivi obliki (torej NE natisnjene ali skenirane dokumente)?

  • Ali je tehnično izvedljivo, da podatke prenesemo neposredno drugemu upravljalcu?

Pravica do ugovora (npr. zaposleni ne želi več prejemati tržnih sporočil na elektronski naslov, ki je objavljen na spletni strani podjetja, zato vloži ugovor)

  • Kako bomo zagotovili prenehanje obdelave podatkov, kadar bo pravna podlaga zakoniti interes in bo posameznik takšni obdelavi ugovarjal (npr. vodenje kontaktov oseb za B2B komunikacijo s poslovnimi partnerji)?

  • Kako bomo zagotovili prenehanje obdelave podatkov za namen neposrednega trženja in profiliranje, ko bo posameznik takšni obdelavi ugovarjal?

V kolikšnem času in na kakšen način morate odgovoriti na zahtevek?

Posamezniku, na katerega se nanašajo osebni podatki, morate odgovoriti najkasneje v enem mesecu od prejema zahteve in ga informirati o ukrepih.

Ta rok se lahko podaljša za največ dva dodatna meseca, ob upoštevanju kompleksnosti in števila zahtevkov, vendar morate posameznika o zamudi obvestiti v roku enega meseca po prejemu zahteve in tudi navesti razloge za zamudo. Če njegove zahteve ne nameravate izpolniti, morate to utemeljiti najpozneje v enem mesecu po prejemu zahteve in ga tudi obvestiti, da lahko vloži pritožbo pri Informacijskemu pooblaščencu in ima možnost uveljavljanja pravnih sredstev.

Obveščanje posameznikov in vsi ukrepi, povezani z zagotavljanjem njihovih pravic, se zagotovijo brezplačno.

Kadar so zahteve posameznikov očitno neutemeljene ali pretirane, lahko zaračunate razumno pristojbino ali zavrnete ukrepanje, vendar sami nosite dokazno breme. Če upravičeno dvomite v identiteto posameznika, ki je na vas naslovil zahtevek, lahko zahtevate dodatne informacije, ki so potrebne za potrditev identitete. Raje se prepričajte, če sploh komunicirate s pravo osebo, kot da osebni podatki pridejo v roke nepooblaščeni osebi.

PRIPRAVITE AKCIJSKI NAČRT

  1. Predvidite, kako boste posameznikom omogočili, da vas kontaktirajo glede njihovih pravic (obrazec na spletni strani, namenski elektronski naslov, posebna telefonska številka itd.). Pripravite ustrezna pojasnila in navodila, kako boste pravice uresničili.
  2. Določite osebo v podjetju, ki bo odgovorna za spremljanje in uresničevanje zahtev posameznikov.
  3. Pripravite načrt, kako boste tehnično omogočili uresničevanje posamezne pravice (dostop, popravek, izbris, omejitev obdelave, prenosljivost, ugovor).

Obrazci za vložitev zahtevkov s strani posameznikov niso predpisani, na voljo pa so neobvezujoči obrazci Informacijskega pooblaščenca.