MORAM BITI OBVEŠČEN

Dolžnost vseh upravljavcev je zagotoviti jasne, razumljive in pregledne informacije, kako bodo osebne podatke obdelovali.

Osebni podatek je katerikoli podatek, ki se nanaša na vas, ne glede na obliko, in na podlagi katerega vas je mogoče določiti oz. identificirati brez posebnega truda ali stroškov.

Poenotena zakonodaja s področja varstva osebnih podatkov prinaša vsem prebivalcem Evropske unije več nadzora in lažji dostop do podatkov, usklajeno ukrepanje v primeru kršitev, predvsem pa bolj odkrita in obrazložena pojasnila, kdo in na kakšen način bo z vašimi podatki upravljal. Dolžnost vseh upravljavcev, podjetij in organizacij, je zagotoviti jasne, razumljive in pregledne informacije, kako bodo podatke obdelovali in kakšna so morebitna tveganja in zaščitni ukrepi. Prav tako vas morajo obvestiti o vaših pravicah in kako lahko vložite pritožbo.

Upravljavec je tisti, ki določa, zakaj in kako bodo vaši podatki obdelovani. To so praviloma podjetja, javni organi, agencije ali druga telesa, ki samo ali skupaj z drugimi določa namene in sredstva obdelave.

Katere informacije vam upravljavci morajo zagotoviti, še preden jim zaupate svoje podatke?

Kdo obdeluje vaše podatke?

Upravljavec mora navesti svojo identiteto in kontaktne podatke: naziv podjetja ali organizacije in naslov oz. sedež ter podatke o pooblaščeni osebi za varstvo podatkov, če je ta imenovana.

Zakaj obdelujejo osebne podatke?

Upravljavci morajo čim natančneje opredeliti, za kakšen namen in na kateri pravni podlagi obdelujejo vaše osebne podatke. Kadar obdelava poteka na podlagi zakonitih interesov, pa tudi o zakonitih interesih, ki jih zasledujejo. Če od vas zahtevajo, da posredujete svoje osebne podatke (npr. zaradi pogodbe), naj tudi navedejo, kakšne bodo posledice, če jih ne posredujete.

Komu bodo podatke posredovali?

Upravljavci morajo navesti, katerim tretjim osebam bodo posredovali vaše osebne podatke (npr. zunanji vzdrževalci spletnega mesta, oglaševalska podjetja, javni organi), pri čemer se zaposleni v podjetju oz. organizaciji ne štejejo za uporabnike. Prav tako vas morajo seznaniti, če bodo vaše podatke prenesli v tretje države ali mednarodne organizacije.

Koliko časa bodo podatke hranili?

Upravljavec mora opredeliti, koliko časa bo osebne podatke hranil, kjer pa to ni mogoče, vsaj kriterije, po katerih se določi čas hrambe osebnih podatkov, npr. podatke bomo hranili za čas trajanja prodajne akcije XY ali podatke bomo hranili do preklica privolitve za prejemanje e-novic.

Katere so vaše pravice?

Dolžnost upravljavca je seznaniti vas z vašimi pravicami s področja osebnih podatkov.

Splošna uredba o varstvu podatkov določa, da imajo posamezniki pravico do:

  1. dostopa (tudi prepisa in kopiranja),
  2. popravka netočnih ali dopolnitve nepopolnih podatkov,
  3. izbrisa,
  4. omejitve obdelave,
  5. ugovora in
  6. prenosljivosti osebnih podatkov.

Prav tako vas morajo upravljavci obvestiti o pravici do pritožbe pri nadzornem organu za primere kršitev.

V Sloveniji je nadzorni organ za kršitve pravic Splošne uredbe o varstvu osebnih podatkov Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si, telefon 012309730, spletna stran www.ip-rs.si.

Če podjetje ali organizacija podatke obdeluje na osnovi vaše privolitve, vas morajo obvestiti, da lahko privolitev kadarkoli prekličete. Če na podlagi vaših podatkov zakonito izvajajo profiliranje oziroma sprejemajo avtomatizirane odločitve s pravnim ali podobnim učinkom, morajo navesti tudi, kateri so razlogi za profiliranje ali avtomatizirano odločanje, kot tudi pomen in predvidene posledice, ki jih tovrstna obdelava prinaša.

Obdelava za drug namen

Kadar upravljavec namerava nadalje obdelovati vaše osebne podatke za drug namen, kot tistega, za katerega so bili osebni podatki zbrani, vam mora sporočiti ta drug namen že ob zbiranju, npr. »elektronski naslov, ki ste nam ga posredovali ob spletnem nakupu, bomo uporabili tudi za neposredno trženje«.

Katere informacije vam upravljavec mora zagotoviti, če osebnih podatkov ni pridobil neposredno od vas?

Kadar osebnih podatkov niste sami zaupali upravljavcu, ampak jih je pridobil iz drugega vira, vam mora zagotoviti sledeče informacije:

  • vse zgoraj navedene informacije in dodatno še,

  • vrste osebnih podatkov, ki jih je pridobil,

  • od kje izvirajo vaši osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov.

Te informacije vam morajo zagotoviti najpozneje v enem mesecu po prejemu vaših osebnih podatkov. Če nameravajo vaše osebne podatke uporabiti za komuniciranje z vami, vam morajo zgoraj opisane informacije posredovati najpozneje ob prvem komuniciranju. Če bodo osebne podatke razkrili tretji osebi, vam morajo zgoraj opisane informacije posredovati najpozneje ob prvem razkritju.

Kako vas morajo upravljavci obvestiti o obdelavi in vaših pravicah?

Ustrezna obveščenost je temeljna pravica vseh prebivalcev Evropske unije, na drugi strani pa upravljavci s transparentno komunikacijo dokažejo, da z vašimi podatki ravnajo odgovorno in skladno z zakonodajo. Obvestilo o obdelavi vaših osebnih podatkov mora biti:

  • jedrnato, brez nepotrebnega obremenjevanja,

  • pregledno in jasno ločeno od ostalih informacij (torej ne zakopano med Splošne pogoje v pogodbi ali skrito na spletni strani),

  • razumljivo povprečnemu posamezniku, pri čemer je pomembno upoštevati, kdo je ciljna javnost (obvestilo mora biti prilagojeno, npr. otrokom, mladostnikom),

  • v lahko dostopni obliki, npr. vidno na prvi pogled, brez posebnega iskanja (neposredne povezave, posebna okenca, preko vmesnikov pri svetovanju v obliki klepeta),

  • v pisni obliki (ali z drugimi sredstvi, kjer je ustrezno z elektronskimi sredstvi),

  • brezplačno in nepogojeno,

  • obveščeni morate biti v tistem trenutku, ko upravljavec zbira podatke od vas oz. najkasneje v enem mesecu, če podatke pridobil iz drugega vira.

Več napotkov v smernicah »Informirani potrošnik – komu dajem katere osebne podatke in zakaj?«.