Upravljavci podatkov se morajo za zakonito obdelavo osebnih podatkov opreti na „pravno podlago“. Bistveno je opredeliti ustrezno pravno podlago, saj lahko vsebuje posebne zahteve (npr. privolitev mora biti svobodna, specifična, informirana in nedvoumna) in vpliva na pravice posameznikov (npr. pravica do prenosljivosti velja le, kadar je pravna podlaga privolitev ali pogodba).
Na tej strani boste našli več informacij o različnih pravnih podlagah v skladu s Splošno uredbo o varstvu podatkov. Preberite več o pravicah, ki veljajo za posamezno pravno podlago.
Katere so možne pravne podlage v skladu s Splošno uredbo o varstvu podatkov?
Upravljavci lahko osebne podatke obdelujejo le v eni od naslednjih okoliščin:
- s privolitvijo zadevnih posameznikov;
- če obstaja pogodbena obveznost (pogodba med vašo organizacijo in posameznikom);
- izpolnjevanje pravne obveznosti v skladu z zakonodajo EU ali nacionalno zakonodajo;
- kadar je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu v skladu z zakonodajo EU ali nacionalno zakonodajo;
- zaradi varovanja življenjskih interesov posameznika;
- za zakonite interese vaše organizacije (razen če nad njimi prevladajo interesi ali temeljne pravice posameznikov).
Poleg tega Splošna uredba o varstvu podatkov določa dodatne pogoje za obdelavo občutljivih podatkov.
Privolitev
Vaša organizacija se lahko opre na privolitev za obdelavo osebnih podatkov.
Če upravljavec uporablja privolitev kot pravno podlago za obdelavo osebnih podatkov, mora zagotoviti, da je ta privolitev dana prostovoljno, informirano, konkretno in nedvoumno. To pomeni, da morajo imeti posamezniki resnično svobodno izbiro glede tega, ali se strinjajo z obdelavo svojih osebnih podatkov ali ne; potrebujejo dovolj informacij, da lahko razumejo, kateri podatki se obdelujejo, za kakšen namen ter kako se to izvaja; in morajo imeti možnost, da svobodno umaknejo svojo privolitev (brez kakršnih koli negativnih posledic), če si kasneje premislijo.
Če mora organizacija obdelovati podatke in ne more resnično omogočiti posameznikom, da prekličejo svojo privolitev, je to znak, da privolitev ni ustrezna pravna podlaga za obdelavo, zato je treba oceniti, ali bi se lahko uporabila druga pravna podlaga.
Pogoji za privolitev
Brezplačna
Privolitev je prostovoljna, kadar lahko posamezniki zavrnejo in umaknejo privolitev brez tveganja zunanjega pritiska ali negativnih posledic. Posamezniki morajo imeti tudi pravico, da kadar koli prekličejo svojo privolitev; ta postopek mora biti enostaven za posameznike (tako enostaven, kot jo je bilo mogoče podati). Preklic privolitve ne sme vplivati na obdelavo osebnih podatkov posameznika, ki je bila opravljena pred preklicem, ko je bila privolitev še veljavna.
Na primer, zaposleni načeloma ne bodo mogli svobodno dati privolitve za obdelavo, ki jo izvaja njihov delodajalec, saj lahko zaposleni menijo, da ne morejo zavrniti zahteve delodajalca.
Specifična
Da bi bila privolitev veljavna, mora biti specifična tudi za namen obdelave. Ta pogoj je tesno povezan s pogojem prostovoljne privolitve: posamezniki morajo biti obveščeni o posebnih namenih v preprostem in lahko razumljivem jeziku, tako da imajo jasno predstavo, za katere namene se obdelujejo njihovi podatki. To pomeni tudi, da bi bilo treba posameznike ponovno zaprositi za privolitev, če se spremenijo nameni postopka obdelave ali če se dodajo dodatna dejanja obdelave. Če ima postopek obdelave več namenov, je treba dati privolitev za vsakega od njih.
Na primer, pretočna storitev zbira osebne podatke svojih strank, da jim ponudi prilagojene predloge za ogled. Po določenem času se pretočna storitev odloči, da bo osebne podatke svojih strank delila s tretjimi osebami, tako da lahko strankam pošlje ciljno usmerjeno oglaševanje na podlagi njihovih navad gledanja. Ker je to nov namen, bo morala pretočna storitev svoje stranke zaprositi za privolitev.
Obveščena
Ko vaša organizacija zaprosi za privolitev posameznika, mora zagotoviti, da je ta zahteva posredovana posamezniku v razumljivi in lahko dostopni obliki v jasnem in preprostem jeziku. Zagotoviti bi bilo treba informacije o namenih, identiteti upravljavca, vrstah podatkov, prejemnikih in pravici do preklica privolitve.
Nedvoumna
Da bi bila privolitev nedvoumna, je potrebno jasno pritrdilno dejanje (brez vnaprej označenih polj in ločeno od veljavnih splošnih pogojev).
Priporočljivo je, da se privolitev osveži v ustreznih časovnih presledkih. Poleg tega morate biti sposobni dokazati, da je posameznik, katerega podatki se obdelujejo, dal privolitev, na primer s pisno ali podpisano izjavo ali z namernim dejanjem, kot je označitev polja.
Pogoji, ki veljajo za privolitev otrok
Kot upravljavec si morate razumno prizadevati, da preverite starost posameznika.
Za otroke, stare 16 let in več velja, da lahko podajo svojo privolitev.
Za otroke, mlajše od 16 let, mora vaša organizacija zaprositi za privolitev zakonitega skrbnika ali starša tega otroka. V tem primeru bi si morali razumno prizadevati, da preverite, ali ima oseba, ki privoli v imenu otroka, starševsko odgovornost. Vendar upoštevajte, da Splošna uredba o varstvu podatkov državam EU omogoča, da z nacionalno zakonodajo določijo starost za privolitev med 13 in 16 let, kadar se storitve zagotavljajo prek interneta. Zato je priporočljivo, da preverite svoje nacionalne določbe o tej zadevi.
Kadar otroci lahko podajo privolitev, bi bilo treba jezik, ki se uporablja za sporočanje informacij v zvezi s storitvijo, prilagoditi njihovi starosti.
Izvajanje pogodbe
Obdelava osebnih podatkov posameznika za izvajanje pogodbe je veljavna pravna podlaga, na primer v naslednjih primerih:
- Vaša organizacija mora za zagotavljanje storitve obdelovati osebne podatke posameznika.
- Potencialna stranka ali stranka vas je prosila, da pred sklenitvijo pogodbe z vašo organizacijo nekaj storite, na primer, želi prejeti ponudbo za storitve, ki jih zagotavljate, za katere boste morda morali obdelati nekatere njene osebne podatke.
Obdelava mora biti potrebna za izvajanje pogodbe. V praksi to pomeni, da vaša organizacija ne more nadaljevati izvajanje pogodbe ali storitve brez zadevnih osebnih podatkov. Priporočljivo je, da vaša organizacija dokumentira razloge, zakaj je obdelava podatkov posameznika potrebna za izvajanje pogodbe.
Poleg tega morate poskusiti zbrati najmanjšo količino osebnih podatkov, potrebnih za izvedbo pogodbene storitve ali za izvedbo ustreznih predpogodbenih ukrepov. Zlasti ne smete uporabiti pogodbe za umetno razširitev kategorij osebnih podatkov ali vrst dejanj obdelave. Namesto tega bi morali zagotoviti resnično medsebojno razumevanje pogodbenega namena, ki temelji na pričakovanjih povprečnega posameznika ob sklenitvi pogodbe.
Ta pravna podlaga se lahko uporablja tudi za nekatera dejanja, povezana s pogodbeno garancijo in za nekatera dejanja, ki jih je mogoče razumno predvideti in so potrebna v običajnem pogodbenem razmerju, kot so pošiljanje uradnih opominov o neporavnanih plačilih ali popravljanje napak ali zamud pri izvajanju pogodbe.
Ta pravna podlaga pa ne velja, če želite obdelovati osebne podatke posameznika za namene trženja, preprečevanje goljufij, ciljno oglaševanje ali druge namene, povezane s poslovnim modelom vaše organizacije. V takih primerih so lahko na voljo druge pravne podlage, kot je privolitev ali zakoniti interes, če so izpolnjena ustrezna merila.
Zakonodaja lahko določa tudi obdelavo osebnih podatkov, tudi po prenehanju pogodbe (na primer za vodenje evidenc za računovodske namene).
Seveda mora biti pogodba veljavna tudi skladno s pravom, ki se uporablja.
V praksi
- Ste podjetje, ki prodaja oblačila, tako na spletu kot v trgovini in boste morda morali obdelati nekatere osebne podatke svojih strank, kot so podatki o kreditni kartici, da bi lahko obdelali nakupe vaših strank za vaša oblačila. V tem primeru je lahko obdelava osebnih podatkov strank potrebna za izvajanje pogodbe.
- Ste podjetje, ki ponuja stanovanjsko zavarovanje. Potencialni kupec je zahteval ponudbo za stanovanjsko zavarovanje. Zato so lahko nekateri njegovi osebni podatki potrebni, da mu zagotovite natančno ceno za njegovo zavarovanje.
- Ste podjetje, ki prodaja knjige, ki so jih nekatere vaše stranke kupile. Ko so te stranke kupile te knjige, ste morda zbrali nekatere njihove osebne podatke, ki so bili potrebni za obdelavo transakcije. Zdaj želite obdelovati osebne podatke teh strank, vključno s podatki o njihovih prejšnjih nakupih, da jim priporočite druge knjige, ki bi jih morda želele. Ne morete se zanašati na obdelavo osebnih podatkov za izvajanje pogodbe kot pravno podlago, ker obdelava podatkov strank za namene oglaševanja drugih knjig ni potrebna za izvajanje pogodbe.
Vaše podjetje bo moralo od strank zahtevati privolitev, da jim lahko oglašuje druge knjige, ali pa se lahko, odvisno od okoliščin, sklicuje na svoj zakoniti interes.
Preberite več
Smernice o obdelavi osebnih podatkov na podlagi člena 6(1)(b) Splošne uredbe o varstvu podatkov v okviru zagotavljanja spletnih storitev posameznikom, na katere se nanašajo osebni podatki
EOVP
Skladnost s pravno obveznostjo upravljavca
Splošna uredba o varstvu podatkov določa še eno pravno podlago, in sicer: obdelava je potrebna za izpolnjevanje pravne obveznosti, ki velja za upravljavca.
Na to pravno podlago se je mogoče sklicevati, kadar je postopek obdelave naložen organizaciji z zakonodajo EU ali nacionalno zakonodajo. Natančneje, izpolnjeni morajo biti štirje pogoji:
- pravna obveznost mora biti opredeljena v pravu EU ali nacionalnem pravu, ki velja za upravljavca;
- te pravne določbe morajo določiti jasno in specifično obveznost obdelave teh osebnih podatkov;
- te določbe morajo opredeliti vsaj namene obdelave;
- to obveznost bi bilo treba naložiti upravljavcu in ne posameznikom, na katere se nanašajo osebni podatki.
Če ti pogoji niso izpolnjeni, postopek obdelave ne more temeljiti na pravni obveznosti in je treba poiskati drugo pravno podlago.
Splošna uredba o varstvu podatkov določa številne različne okoliščine, v katerih so upravljavci zakonsko zavezani k obdelavi osebnih podatkov svojih strank ali kupcev. Delodajalci morajo na primer običajno obdelovati osebne podatke svojih zaposlenih za namene socialne varnosti ali pa mora podjetje pogosto obdelovati osebne podatke svojih strank ali kupcev za davčne namene.
Preberite več
Življenjski interesi posameznika
Na obdelavo podatkov za zaščito življenjskih interesov posameznika se je mogoče sklicevati le v redkih in posebnih primerih. To se lahko zgodi na primer, če morate obdelovati osebne podatke, da bi zaščitili človekovo življenje. Vendar je na podlagi Splošne uredbe o varstvu podatkov področje uporabe te pravne podlage zelo omejeno in se je nanjo mogoče sklicevati le v nujnih primerih.
V praksi
Vaša organizacija ponuja rafting izlete. Med potovanjem, ki ste ga organizirali, je eden od udeležencev hudo poškodovan. Posledično je udeleženec nezavesten in mora prejeti nujno zdravniško pomoč v bolnišnici. Kot organizacija boste morda morali sporočiti (= obdelovati) osebne podatke tega posameznika v bolnišnico, ki jih mora zdraviti, da bi rešila življenje te osebe. V tem okviru boste morda lahko obdelovali podatke tega posameznika, da bi zaščitili njegov življenjski interes.
Javni interes
V nekaterih posebnih primerih lahko vaša organizacija obdeluje osebne podatke posameznikov za nalogo, ki se izvaja v javnem interesu. V tem primeru mora imeti obdelava podlago v pravu EU ali nacionalnem pravu. Njegov namen mora biti določen v tej pravni podlagi ali potreben za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Zato je ta pravna podlaga lahko pomembna zlasti za postopke obdelave, ki jih izvajajo javni organi za namene opravljanja njihovih nalog.
V praksi
Vaša organizacija je medicinska praksa, ki vključuje zobozdravnika in splošnega zdravnika. Morda boste morali obdelovati osebne podatke zobozdravnika in splošnega zdravnika, da se zagotovi, da njihove kvalifikacije, moralno in etično ravnanje izpolnjujejo standarde, določene v državi, v kateri se nahaja vaša zdravstvena praksa.
Zakoniti interes
Vaša organizacija bo morda lahko obdelovala podatke posameznikov za zadeve v zvezi z zakonitimi interesi, če ti interesi (komercialni interesi, zaščita vaše lastnine itd.) ne ustvarjajo neravnovesja v škodo pravic in interesov posameznikov.
Medtem ko Splošna uredba o varstvu podatkov in ustrezna sodna praksa Sodišča Evropske unije določata primere zakonitih interesov, pa izčrpen seznam ne obstaja.
Vendar pa morate zagotoviti, da se pri zakonitem interesu upoštevajo določene zahteve:
- biti mora zakonit, jasen, resničen in prisoten;
- obdelava mora biti potrebna za uresničevanje tega interesa;
- zakoniti interes mora upoštevati posameznikove pravice do varstva podatkov, ki jih ni mogoče prevladati. V okviru te zahteve mora upravljavec pretehtati svoj zakoniti interes ter interese ali temeljne pravice in svoboščine posameznikov ter preučiti, kaj lahko razumno pričakujejo. To tehtanje je treba opraviti ob upoštevanju konkretnih pogojev, v katerih se te dejavnosti izvajajo.
V praksi
Vodite podjetje za prenovo. Ena od vaših strank izpodbija kakovost prenove kuhinje in noče plačati računa v celoti. Kot prvi korak posredujete podatke stranke svojemu odvetniku, da se dogovorite o poravnavi s stranko. Ker stranka še vedno noče plačati, se obrnete na agencijo za izterjavo dolgov. Osebne podatke, potrebne za postopek, posredujete samo agenciji za izterjavo dolgov, agencija pa izvaja le omejena preverjanja, da potrdi kontaktne podatke stranke in začne sodni postopek.
Medtem ko lahko prvi korak še vedno spada v okvir obdelave, potrebne za izvajanje pogodbe, bi se lahko nadaljnji ukrepi, kot je zaposlitev agencije za izterjavo dolgov, šteli za ukrepe v zakonitem interesu upravljavca. Ker ukrepi, ki jih sprejme agencija, niso preveč vsiljivi in je vpliv na stranko omejen, bi lahko bil zakoniti interes ustrezna pravna podlaga.
Obdelava občutljivih osebnih podatkov
Dodatne zahteve veljajo, če nameravate obdelovati podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovati genetske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali podatke v zvezi s spolnim življenjem ali spolno usmerjenostjo posameznika. Te posebne vrste podatkov se običajno imenujejo „občutljivi podatki“.
Obdelava občutljivih podatkov je na splošno prepovedana, razen v naslednjih posebnih primerih.
- Posameznik je izrecno privolil v obdelavo svojih občutljivih podatkov.
- Obdelava občutljivih podatkov je potrebna, da upravljavec izpolni svoje obveznosti, zlasti v zvezi z zaposlovanjem, socialno varnostjo in socialnim varstvom. Upravljavec bo na primer morda moral obdelovati občutljive podatke posameznika, da bi lahko ugotovil, ali je upravičen do nekaterih dajatev socialne varnosti ali do zaposlitvenih štipendij.
- Obdelava občutljivih podatkov je potrebna za zaščito življenjskih interesov osebe, kadar posameznik fizično ali pravno ni sposoben dati privolitve. Na primer, če je posameznik zaradi nezgode nezavesten in potrebuje takojšnjo zdravstveno oskrbo, bo morda treba obdelati posebne vrste osebnih podatkov, da se zagotovi ustrezna zdravstvena oskrba.
- Obdelava občutljivih podatkov se izvaja v okviru zakonitih dejavnosti fundacije, združenja ali druge neprofitne organizacije s političnim, filozofskim, verskim ali sindikalnim ciljem in samo za obdelavo osebnih podatkov njihovih članov, nekdanjih članov ali oseb, ki imajo redne stike z njimi.
- Občutljive podatke so očitno objavili posamezniki.
- Obdelava občutljivih podatkov je potrebna v okviru sodnih postopkov.
- Obdelava občutljivih podatkov je potrebna v zadevah bistvenega javnega interesa.
- Obdelava občutljivih podatkov je potrebna v okviru preventivne medicine ali medicine dela. Na primer, ocena občutljivih podatkov posameznika, kot so zdravstveni podatki, je lahko potrebna za določitev delovne sposobnosti zaposlenega.
- Obdelava občutljivih podatkov je potrebna v zadevah javnega zdravja na podlagi prava EU ali nacionalnega prava. Na primer, obdelava občutljivih podatkov posameznikov je lahko potrebna za zagotovitev visoke kakovosti zdravstvenega varstva in visoke kakovosti medicinskih izdelkov ali za boj proti resnim nevarnostim za zdravje, kot so virusi.
- Obdelava občutljivih podatkov je potrebna za namene arhiviranja v javnem interesu ali za znanstvene, statistične, zgodovinske ali raziskovalne namene. Obdelava občutljivih podatkov je lahko na primer potrebna za zagotovitev točnih statističnih podatkov o razmerah v državi na določenem področju.
Kontrolni seznam za obdelavo občutljivih osebnih podatkov
- Vprašajte se, ali morate za predvideno obdelavo obdelati posebne vrste osebnih podatkov posameznika.
- Opredelite pravno podlago (= pravno utemeljitev) za obdelavo osebnih podatkov posameznika. Sklicujete se na 6. člen Splošne uredbe o varstvu podatkov.
- Ugotovite, ali so izpolnjeni dodatni pogoji za obdelavo občutljivih podatkov. Upoštevajte 9. člen Splošne uredbe o varstvu podatkov.
- Opredelite tveganja in zaščitne ukrepe za varstvo podatkov, kot so tehnični in organizacijski ukrepi, ki jih mora vaša organizacija morda uvesti pri obdelavi posebnih vrst osebnih podatkov posameznikov.
- Ne pozabite voditi evidence o svojih razlogih za obdelavo posebnih vrst osebnih podatkov posameznika, tveganjih, ki jih to lahko povzroči, in ukrepih, ki ste jih sprejeli za zmanjšanje teh tveganj.