Dandanes praktično vsako podjetje obdeluje osebne podatke – sem sodijo podatki o strankah (njihova imena, naslovi, telefonske številke, videoposnetki), pa tudi podatki o zaposlenih (EMŠO, izraba delovnega časa, službena e-pošta, IP naslov) ter mnogi drugi podatki. Namreč osebni podatki so vsi podatki, ki posredno ali neposredno kažejo na posameznika. Obdelava osebnih podatkov pa predstavlja vsako dejanje, ki se izvaja v zvezi z osebnimi podatki (to je lahko že hramba podatkov).
Ko v podjetju od posameznikov (vaših zaposlenih, kupcev vaših izdelkov) ali iz drugih virov pridobite njihove osebne podatke, ste jim dolžni zagotoviti jasne, razumljive in pregledne informacije v zvezi z obdelavo njihovih osebnih podatkov – npr. o tem, kdo jih obdeluje, zakaj, koliko časa. Prav tako jih morate obvestiti o tem, kakšne so njihove pravice in kako lahko vložijo pritožbo. Gre za obveznost, ki jo določajo členi 12, 13 in 14 Splošne uredbe o varstvu podatkov (ang. GDPR; v nadaljevanju Splošna uredba).
Ta obvestila so po navadi poimenovana »Izjava o varstvu osebnih podatkov«, »Izjava o zasebnosti«, ang. »Privacy Policy«.
Navedite naziv in kontaktne podatke vašega podjetja ter kontaktne podatke pooblaščene osebe za varstvo podatkov (ang. kratica »DPO«), če ta obstaja.
Čim natančneje opredelite, za katere namene (npr. pošiljanje e-novic, evidenca delovnega časa) in na kateri pravni podlagi obdelujete osebne podatke. Kadar obdelava poteka na podlagi zakonitih interesov, pa opredelite tudi zasledovane zakonite interese. Možne pravne podlage za zasebni sektor so opisane v infografiki.
Navedite, katerim uporabnikom posredujete osebne podatke (npr. oglaševalska podjetja, zunanji vzdrževalci spletnega mesta, računovodski servisi). Zaposleni pri upravljavcu se ne štejejo za uporabnike. Če boste osebne podatke prenašali v tretje države (npr. če uporabljate oblačne storitve podjetja v ZDA) ali mednarodne organizacije, to tudi navedite in pripišite, na kateri podlagi se bo prenos izvajal.
Opredelite čas hrambe osebnih podatkov, kjer pa to ni mogoče, vsaj kriterije, po katerih se določi čas hrambe (npr. evidenca o izrabi delovnega časa – trajno; podatki prijavljenih na e-novice – do preklica privolitve). Preverite, katere roke hrambe določajo zakoni.
Posamezniki imajo v razmerju do upravljavca določene pravice v zvezi s svojimi osebnimi podatki, in sicer pravico do: dostopa, popravka, izbrisa, omejitve obdelave, preklica privolitve, ugovora in prenosljivosti. Naštete pravice posameznikov so podrobno pojasnjene na spletni strani www.tiodlocas.si, kjer so opisani tudi konkretni primeri. Pojasnite tudi, kako lahko posamezniki uveljavljajo te pravice (npr. »kontaktirajte nas na e-naslov: pravice@podjetje.si«). Prav tako jih obvestite, da lahko vložijo pritožbo pri Informacijskem pooblaščencu.
Če na podlagi podatkov o posamezniku zakonito izvajate profiliranje (ocenjevanje in razvrščanje posameznikov glede na njihove nakupe, preference ali druge lastnosti) oziroma sprejemate avtomatizirane odločitve s pravnim ali podobnim učinkom, morate navesti tudi, kateri so razlogi za profiliranje ali avtomatizirano odločanje, kot tudi pomen in predvidene posledice, ki jih obdelava prinaša posamezniku.
Kadar nameravate nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, je treba posamezniku sporočiti ta drug namen.
Kadar osebnih podatkov ne pridobite neposredno od posameznika, temveč iz drugih virov (npr. osebne podatke ste pridobili iz javnih virov ali jih je posredovalo drugo podjetje), morate dodatno zagotoviti tudi sledeče informacije:
Če osebne podatke pridobite neposredno od posameznika, mu morate informacije zagotoviti takrat, ko jih pridobite (npr. ob obrazcu naj bo tudi izjava o zasebnosti). V kolikor podatke pridobite iz drugih virov, morate posamezniku zagotoviti informacije v razumnem roku, a najpozneje v enem mesecu po prejemu podatkov. Če boste te podatke uporabili za komuniciranje s posameznikom, pa najpozneje ob prvem komuniciranju.
Splošna uredba določa ozek nabor izjem, ko zgoraj navedenih informacij posamezniku ni potrebno zagotoviti. Izjeme je potrebno razumeti čim bolj restriktivno.
Ko so podatki pridobljeni neposredno od posameznika, mu ni potrebno zagotoviti informacij, le v primeru, da posameznik informacije že ima, npr. morebitni kupec vam je zaupal svojo telefonsko številko in takrat ste mu natančno pojasnili, kako boste obdelovali osebne podatke. Naslednjič vam isti posameznik posreduje še e-naslov. Ker je bil že prvič obveščen tudi o obdelavi e-naslova, ga ni treba vnovič.
Če pa ste podatke pridobili iz drugih virov, ni potrebno zagotoviti informacij le v naslednjih primerih:
1) posameznik informacije že ima,
2) posredovanje informacij je nemogoče ali bi predstavljalo nesorazmeren napor,
3) posredovanje informacij bi onemogočila ali resno ovirala uresničevanje namenov te obdelave,
4) pravo EU ali države članice izrecno določa pridobitev ali razkritje podatkov,
5) podatki morajo ostati zaupni v skladu z varovanjem poklicne skrivnosti.
– razumljivo za posameznike, uporabljajte kratke in jasne povedi, izogibajte se »pravniškemu žargonu«. Ob tem imejte v mislih, komu je namenjeno besedilo in ga prilagodite naslovnikom (npr. v kolikor gre za osebne podatke otrok, prilagodite besedišče otrokom);
– jedrnato in pregledno, kar pomeni, da morajo biti informacije podane na učinkovit in jedrnat način, ob tem pa naj bodo ločene od drugih informacij (npr. naj ne bodo del splošnih pogojev poslovanja). Bodite iskreni z naslovniki in ne skrivajte informacij.
– v lahko dostopni obliki in na vidnem mestu (npr. spletna povezava na izjavo o zasebnosti, ki je dostopna z vsake strani vaše spletne strani);
– zagotovljeno brezplačno.
Svetujemo vam, da informacije podate v pisni ali elektronski obliki (saj morate biti sposobni dokazati, da ste jih posamezniku zagotovili).
Zelo pomembno je, da skrbite za ažurnost vsebine obvestila. Ob spremembah nabora zbranih podatkov, namenov zbiranja osebnih podatkov ali drugih pomembnejših okoliščin pravočasno posodobite izjavo.
Že pripravljena in neobvezujoča vzorca obvestila posameznikom najdete na povezavah:
Obvestilo posameznikom, ko osebne podatke pridobite neposredno od posameznika. Obrazec mora vsebovati vse informacije, kot zahteva člen 13 Uredbe.
Obvestilo posameznikom, kadar osebni podatki niso bili pridobljeni od posameznika. Obvestilo mora vsebovati vse informacije, kot zahteva člen 14 Uredbe.