Piškotki

Spletna stran uporablja za delovanje nujne piškotke, ki se konec seje, takrat ko zapustite spletno stran, izbrišejo. Pri ogledih nekaterih video posnetkov izobraževanj, ki si jih ogledate preko naše spletne strani, pa se na vaš računalnik naložijo youtube piškotki, ki so namenjeni prikazovanju video posnetkov. V kolikor ste v brskalnik prijavljeni z google računom, pa youtube zbira statistične podatke o ogledih video posnetkov.

Inšpekcijski nadzor izvaja Informacijski pooblaščenec. Namen inšpekcijskega nadzora je v odpravi nepravilnosti, zato je zelo pomembno preventivno ukrepanje tudi z vidika nadzora. V okviru inšpekcijskega nadzora državni nadzorni organ preverja ali je ravnanje zavezancev za varstvo osebnih podatkov skladno z določbami GDPR in nacionalno zakonodajo. Na morebitni inšpekcijski nadzor vas mi ustrezno pripravimo in vam skozi ves proces tudi pomagamo.

Splošna uredba o varstvu podatkov EU (GDPR) varuje temeljne pravice in svoboščine posameznikov ter njihovo pravico do varstva osebnih podatkov. Predvsem je poudarjen pomen posameznika. Po GDPR so zavezanci v vsakem trenutku dolžni izkazati, da podatke obdelujejo skladno in po zahtevah Splošne uredbe o varstvu podatkov EU in nacionalnimi predpisi. Kršitev varnosti osebnih podatkov v smislu GDPR pomeni kršitev, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov. Do kršitev lahko pride načrtno (naklepno) ali nehote (npr. malomarnost). Kršitve varnosti osebnih podatkov so v praksi raznovrstne, kot npr.:

nezakonito razkrivanje osebnih podatkov;
dostop s strani nepooblaščene osebe;
izguba ali kraja računalniške opreme, ki vsebuje osebne podatke;
sprememba osebnih podatkov brez potrebnega dovoljenja;
nezakonita obdelava osebnih podatkov pri izvajanju neposrednega trženja;
nezakonito zbiranje oz. zahtevanje osebnih podatkov;
nezakonito izvajanje videonadzora;
neustrezno zavarovanje osebnih podatkov;
nepooblaščeno uničenje baz z osebnimi podatki;
obdelava osebnih podatkov v nasprotju z namenom zbiranja;
obdelava osebnih podatkov po preteku roka hrambe;
uporaba netočnih podatkov;
kršitve pravic posameznikov.

POOBLAŠČENA OSEBA ZA VARSTVO PODATKOV

Pooblaščena oseba za varstvo podatkov ali krajše DPO – (ang. »DPO – Data Protection Officer«):

Splošna uredba za varstvo podatkov (GDPR), ki je začela veljati 25.05.2018 od vseh subjektov javnega sektorja in tudi večjega števila zasebnih poslovnih subjektov zahteva imenovanje pooblaščene osebe za varstvo podatkov. Imenovanje pooblaščene osebe olajša skladnost z določbami GDPR, hkrati pa podjetjem zagotavlja konkurenčno prednost. Položaj DPO-ja mora biti v imenovani organizaciji/podjetju neodvisen, s čimer se zagotavlja, da ne prihaja do konflikta interesov (predvsem položaji, ki bi omogočali opredelitev namenov ali storitev obdelave osebnih podatkov). Posledično se tako zagotavlja najvišja stopnja kakovosti delovanja.

Poslovni subjekti lahko imenujejo notranjega ali zunanjega DPO. Po 37. členu GDPR so pooblaščeno za varstvo podatkov dolžni imenovati vsi javni organi in podjetja, katerih osnovne dejavnosti vključujejo obsežno, redno in sistematično spremljanje oseb, s podatki katerih razpolagajo, ali obsežno obdelavo podatkov posebnih kategorij in osebnih podatkov, povezanih s kazenskimi obsodbami ali prekrški.

Bistvene naloge DPO po 39. člen GDPR:

spremljanje skladnosti obdelave osebnih podatkov s slovenskimi in evropskimi predpisi,
priprava ustrezne dokumentacije potrebne za dosego skladnosti z GDPR,
izobraževanje in ozaveščanje odgovornih in zaposlenih glede varstva podatkov,
poročanje in svetovanje odgovornim osebam glede izvedbe vseh potrebnih ukrepov za učinkovito varovanje osebnih podatkov,
svetovanje pri pripravi analize učinka na varstvo osebnih podatkov,
je kontaktna točka z nadzornimi organi (Informacijskim pooblaščencem) in posamezniki, katerih organizacija ali podjetje obdeluje.

Kdo je lahko DPO:

Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje svojih nalog.

Zadevne spretnosti in strokovno znanje vključujejo:

strokovno znanje o nacionalnih in evropskih zakonih in praksah na področju varstva podatkov ter poglobljeno razumevanje Splošne uredbe o varstvu podatkov;
razumevanje dejanj obdelave, ki se izvajajo;
razumevanje informacijskih tehnologij in varstva podatkov;
poznavanje poslovnega sektorja in organizacije ter
sposobnost spodbujanja kulture varstva podatkov v organizaciji.

PRAVICE POSAMEZNIKOV

Uredba GDPR daje posameznikom, na katere se nanašajo osebni podatki možnost, da sami odločajo o usodi le -teh.
V skladu z Uredbo GDPR ima posameznik sledeče pravice iz varstva osebnih podatkov:

• Zahteva lahko informacije o tem, ali ima upravljavec osebne podatke o njem in, če je tako, katere podatke ima ter na kakšni podlagi jih ima in zakaj jih uporablja.

• Zahteva lahko dostop do svojih osebnih podatkov, kar mu omogoča, da prejme kopijo osebnih podatkov, ki jih ima upravljavec o njem ter tako preveri, ali jih upravljavec obdeluje zakonito (pravica do dostopa).

• Zahteva lahko popravke osebnih podatkov, kot je popravek nepopolnih ali netočnih osebnih podatkov (pravica do popravka).

• Zahteva lahko izbris njegovih osebnih podatkov, kadar ni razloga za nadaljnjo obdelavo oziroma kadar posameznik uveljavlja svojo pravico do ugovora glede nadaljnje obdelave (pravica do izbrisa).

• Ugovarja lahko nadaljnji obdelavi njegovih osebnih podatkov (pravica do ugovora).

• Zahteva lahko omejitev obdelave njegovih osebnih podatkov, kar pomeni prekinitev obdelave osebnih podatkov o posamezniku (pravica do omejitve obdelave).

• Zahteva lahko prenos njegovih osebnih podatkov v strukturirani elektronski obliki k drugemu upravljavcu, v kolikor je to mogoče in izvedljivo (pravica do prenosljivosti).

Vsak posameznik ima tudi pravico, da prekliče dano privolitev oziroma soglasje, ki ga je podal za zbiranje, obdelavo in prenos njegovih osebnih podatkov za določen namen.
Upravljavci osebnih podatkov, so posameznike dolžni obvestiti na obstoj pravice, da lahko od upravljavca osebnih podatkov zahtevajo uveljavitev zgoraj navedenih pravic, vključno z načinom za njihovo uveljavitev.
Na zahtevo posameznika se je organizacija dolžna odzvati na zahteve posameznikov, kar vključuje tudi ustrezno obveščanje in odločanje o zahtevi, ki jo je posameznik podal.

Ocena učinkov na varstvo podatkov

Splošna uredba o varstvu podatkov zagovarja načelo odgovornosti, ki ga upravljavci in obdelovalci osebnih podatkov med drugim upoštevajo tudi s preventivnim ravnanjem. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA) so orodje za prepoznavanje in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Uredba predpisuje, da je ocena učinkov potrebna, kadar bi določena vrsta obdelave podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov.

Uredba v 35. členu določa izvedbo ocene učinkov v primerih;

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali
obsežnega sistematičnega spremljanja javno dostopnega območja.

V praksi gre najpogosteje za primere;

Obsežnega vrednotenja in profiliranja posameznikov,
avtomatiziranega odločanja s pravnim ali podobnim učinkom,
sistematičnega nadzora nad posameznikom brez njegovega zavedanja (npr. videonadzor javnih površin),
obdelave posebnih vrst osebnih podatkov za druge namene, kot za tiste, za katere so bili izbrani,
množične obdelave osebnih podatkov (npr. kartice zvestobe pri trgovcih),
primerjanja in kombiniranja različnih zbirk podatkov in analize na osnovi masovnih podatkov,
vpeljava novih tehnologij (npr. prepoznava prstnih odtisov ali obraza, senzorji v sklopu interneta stvari),
omejitve dostopa do storitve (npr. preverjanje kreditne sposobnosti posameznika).

IZOBRAŽEVANJA

na področju varstva osebnih podatkov prilagajamo dejavnosti organizacije in vključuje izvedbo delavnice z ustreznimi gradivi, odgovore na vprašanja in potrdilo o udeležbi, ki služi pri dokazovanju skladnosti s Splošno uredbo o varstvu podatkov. Na izobraževanju predstavljamo osnove nove zakonodaje s področja varstva osebnih podatkov, obveznosti iz pravnega področja, obveznosti same organizacije in njenih zaposlenih s področja zagotavljanja informacijske varnosti ter organizacijske, tehnične in logično-tehnične postopke ter ukrepe varovanja osebnih podatkov.

Tematike, ki jih pokriva izobraževanje vodstva;

Osnovni pojmi in načela
Obveznosti upravljavcev in obdelovalcev
Pravne podlage za obdelavo osebnih podatkov
Obveznosti pooblaščene osebe za varstvo podatkov
Priprava notranjih aktov, ki posegajo v področje varstva osebnih podatkov
Zagotavljanje pravic posameznikov
Ravnanje v primeru kršitev
Študije praktičnih primerov

Individualno izobraževanje pooblaščene osebe za varstvo podatkov zajema;

Osnovni pojmi in načela
Obveznosti, kompetence in naloge pooblaščene osebe za varstvo podatkov
Podpora pri projektu uskladitve s Splošno uredbo o varstvu podatkov
Izvajanje nadzora
Varnostni incidenti
Ozaveščanje in izobraževanje zaposlenih
Priprava ocene učinka na varstvo podatkov
Študije praktičnih primerov

Izobraževanje zaposlenih vključuje;

Osnovni pojmi in načela
Pravne podlage za obdelavo
Pravice posameznikov
Načela informacijske varnosti
Varovanje prostorov in opreme
Iznos in posredovanje osebnih podatkov
Oddaljen dostop do službe
Evidence dejavnosti obdelave
Pošiljanje e-pošte
Izvajanje videonadzora
Pošiljanje vabil, novic
Objava telefonskih številk
Zasebnost zaposlenih
Ravnanje v primeru kršitev
Kazni in globe
Vprašanja in praktični primeri

Ste skladni?