Varstvo osebnih podatkov v podjetju Priročnik za mala in srednja podjetja Urednica Andreja Primec Avgust 2019 Naslov Varstvo osebnih podatkov v podjetju Podnaslov Priročnik za mala in srednja podjetja Title Personal Data Protection in Enterprise Subtitle Manual for Smal and Medium-sized Enterprises Urednica Andreja Primec Editor (Univerza v Mariboru, Ekonomsko-poslovna fakulteta) Avtorji Jaka Premzel, Urban Kralj, Žiga Plavčak in Nejc Fir Authors Recenzija Borut Bratina Review (Univerza v Mariboru, Ekonomsko-poslovna fakulteta) Jezikovni pregled Alenka Plos Editing in Slovenian (Univerza v Mariboru, Ekonomsko-poslovna fakulteta) Tehnični urednik Jan Perša Technical editor (Univerzitetna založba Univerze v Mariboru) Oblikovanje ovitka Jan Perša Cover designer (Univerzitetna založba Univerze v Mariboru) Grafika na ovitku Cover graphics Fotografija delovne mize (Pixabay.com CC0) Založnik / Publihed by Izdajatelj / Co-published by Univerzitetna založba Univerza v Mariboru Univerze v Mariboru Ekonomsko-poslovna fakulteta Slomškov trg 15, 2000 Maribor, Slovenija Razlagova ulica 14, 2000 Maribor, Slovenija http://press.um.si, zalozba@um.si http://www.epf.um.si/, epf@um.si Izdaja Edition Prva izdaja Vrsta publikacije Publication type E-knjiga Dostopno na Available at http://press.um.si/index.php/ump/catalog/book/428 Izdano Published Maribor, avgust 2019 Tekst / Text © Avtorji, 2019 To delo je objavljeno pod licenco Creative This work is licensed under the Creative Commons Priznanje avtorstva- Commons At ribution-NonCommercial- 4.0 Nekomercialno 4.0 Mednarodna. International License. https://creativecommons.org/licenses/by-nc/4.0/ Projekt so sofinancirali: Javni štipendijski, razvojni, invalidski in preživninski sklad Republike Slovenije, Ministrstvo za izobraževanje, znanost in šport Republike Slovenije in Evrospki socialni sklad Naložba v vašo prihodnost Evrospke unije. CIP - Kataložni zapis o publikaciji Univerzitetna knjižnica Maribor 342.738 VARSTVO osebnih podatkov v podjetju [Elektronski vir] : priročnik za mala in srednja podjetja / urednica Andreja Primec. - 1. izd. - El. priročnik. - Maribor : Univerzitetna založba Univerze, 2019 Način dostopa (URL): http://press.um.si/index.php/ump/catalog/book/428 ISBN 978-961-286-293-0 doi: 10.18690/978-961-286-293-0 1. Drugi var. nasl. 2. Primec, Andreja COBISS.SI-ID 97076481 ISBN 978-961-286-293-0 (PDF) DOI https://doi.org/10.18690/978-961-286-293-0 Cena Brezplačni izvod Price Odgovorna oseba založnika prof. dr. Zdravko Kačič For publisher rektor Univerze v Mariboru VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) Varstvo osebnih podatkov v podjetju: Priročnik za mala in srednja podjetja ANDREJA PRIMEC Povzetek Človekova zasebnost je nedotakljiva (35. člen Ustave RS). Osebni podatki so del zasebnosti posameznika, zato je tudi njim zagotovljeno najvišje pravno varstvo. Razvoj sodobnih tehnologij in nenehno kopičenje podatkov pomeni resno grožnjo varstvu osebnih podatkov, saj se da do njih relativno enostavno dostopati in jih uporabljati za različne, velikokrat škodljive namene. Zakonodajalec Evropske unije je zato sprejel novo uredbo na področju varstva osebnih podatkov, ki je v veljavi od 28. 5. 2018. Njen namen je povečati varstvo osebnih podatkov v digitalni družbi. Določbe uredbe zavezujejo tudi slovenske gospodarske družbe in podjetnike, ki morajo izvajati politiko zasebnosti, usklajeno z novimi pravili. Ključne besede: • politika zasebnosti • GDPR • osebni podatek • varstvo osebnih podatkov • podjetje • NASLOV UREDNICE: Andreja Primec, Univerza v Mariboru, Ekonomsko-poslovna fakulteta, Maribor, Slovenija, e-pošta: andreja.primec@um.si. DOI https://doi.org/10.18690/978-961-286-293-0 ISBN 978-961-286-293-0 Dostopno na: http://press.um.si. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) Kazalo PREDGOVOR ...................................................................................................... 1 UVOD ................................................................................................................ 3 1 SPLOŠNO O OSEBNIH PODATKIH .................................................. 5 1.1 Kaj je osebni podatek? ................................................................................................. 5 1.2 Kaj pomeni obdelava podatkov? ............................................................................... 6 1.3 Ključna načela pri zbiranju in varovanju osebnih podatkov ................................ 7 1.4 Zbiranje, obdelovanje in varovanje osebnih podatkov .......................................... 8 1.5 Pridobivanje osebnih podatkov posameznika od drugih virov ............................ 9 1.6 Pravice posameznika .................................................................................................... 9 1.7 Nadzor nad delovnimi sredstvi ................................................................................ 10 1.8 Rok hrambe in posledično uničenje osebnih podatkov ...................................... 11 1.9 Ukrepanje v primeru zlorabe ali vdora v zbirko osebnih podatkov .................. 12 2 VARSTVO OSEBNIH PODATKOV V DELOVNEM RAZMERJU ... 13 2.1 Zbiranje in varovanje osebnih podatkov delavcev ............................................... 13 2.1.1 Delavčeva zasebna telefonska številka .................................................................... 13 2.1.2 Kopije dokumentov ................................................................................................... 14 2.1.3 Vzrok koriščenja letnega dopusta ............................................................................ 14 2.1.4 Fotografiranje delavca ............................................................................................... 14 2.1.5 Podatki iz evidence delovnega časa ......................................................................... 14 2.1.6 Objava podatkov delavcev na spletni strani .......................................................... 14 2.1.7 Podatek o izobrazbi in fotografija ........................................................................... 15 2.2 Elektronska pošta in delovno sredstvo delavca .................................................... 15 2.2.1 Vpogled v elektronsko pošto v času odsotnosti delavca ..................................... 15 2.2.2 Dostop do elektronske pošte po prenehanju delovnega razmerja .................... 15 2.2.3 Ravnanje z elektronsko pošto in delovnim sredstvom zaposlenega v primeru nenadne smrti .............................................................................................................. 16 2.3 Ravnanje z delovnim sredstvom zaposlenega v primeru suma kaznivega dejanja ........................................................................................................................... 16 2.4 Uporabniška imena in gesla za dostop do službenih računalnikov ................... 17 2.5 Povzetek smernic za ravnanje delodajalca z elektronsko pošto zaposlenih ..... 17 2.6 Telefon ......................................................................................................................... 18 2.6.1 Omejitev porabe in kritje stroškov .......................................................................... 18 2.6.2 Telefonska številka delavca po prekinitvi delovnega razmerja ........................... 18 2.7 Internet ......................................................................................................................... 18 2.8 Pošiljanje plačilnih list po e-pošti ............................................................................ 18 2.9 Objava in posredovanje osebnih podatkov ........................................................... 19 ii Kazalo 3 POLITIKA VARSTVA OSEBNIH PODATKOV ................................. 21 3.1. Namen politke varstva osebnih podatkov .............................................................. 21 3.2 Sestavine politike varstva osebnih podatkov: ......................................................... 21 3.3 Vzorec politike varstva osebnih podatkov ............................................................. 22 3.4 Politika varstva osebnih podatkov družbe.............................................................. 22 4 UREDITEV POGODBENIH RAZMERIJ Z ZUNANJIMI SODELAVCI ......................................................................................... 31 4.1 Namen ........................................................................................................................... 31 4.2 Pravna podlaga ............................................................................................................ 32 4.3 Vzorec pogodbe o obdelavi osebnih podatkov v nadaljevanju: Pogodba ........ 33 5 OBDELAVA OSEBNIH PODATKOV NA PODLAGI PRIVOLITVE .. ............................................................................................................... 51 5.1 Pogoji za veljavno privolitev ..................................................................................... 51 5.1.1 Prostovoljnost .............................................................................................................. 52 5.1.2 Izrecnost ....................................................................................................................... 53 5.1.3 Informiranost ............................................................................................................... 53 5.1.4 Nedvoumnost .............................................................................................................. 54 5.2 Primer obrazca za privolitev ..................................................................................... 55 6 SPLETNI MARKETING ..................................................................... 57 6.1 Uvod .............................................................................................................................. 57 6.2 Obdelava osebnih podatkov ..................................................................................... 57 6.3 Pravna podlaga ............................................................................................................ 58 6.3.1 Soglasje posameznika ................................................................................................. 60 6.3.2 Zakonit interes ............................................................................................................. 61 6.4 Kaj narediti z obstoječimi e-naslovi? ....................................................................... 62 6.5 Kako naprej? ................................................................................................................ 63 6.6 Na kaj moramo biti pozorni pri pošiljanju elektronskih kampanj? .................... 64 7 EVIDENCE OSEBNIH PDOATKOV ................................................ 65 7.1 Namen evidenc ............................................................................................................ 65 7.2 Primer evidence (na splošno) .................................................................................... 66 7.3 Vzorci posameznih evidenc ...................................................................................... 67 7.3.1 Evidenca o zaposlenih................................................................................................ 68 7.3.2 Evidenca o stroških dela ............................................................................................ 71 7.3.3 Imenik fizičnih oseb naročenih na elektronsko obveščanje ................................ 74 7.3.4 Evidenca o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja delavcev ................................................................... 75 7.3.5 Imenik kontaktnih podatkov poslovnih partnerjev .............................................. 77 7.3.6 Evidenca podatkov o imetnikih kartice ugodnosti ............................................... 78 ZAKLJUČEK ...................................................................................................... 81 LITERATURA IN VIRI .................................................................................... 85 VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) PREDGOVOR ANDREJA PRIEMC Priročnik Varstvo osebnih podatkov je rezultat projekta, izbranega na javnem razpisu Po kreativni poti do znanja 2017–2020, ki sta ga financirala Republika Slovenija ter Evropska unija iz Evropskega socialnega sklada. Projekt nosi ime Vzpostavitev in izvajanje politike zasebnosti v podjetju. V projektu so sodelovali študenti treh fakultet Univerze v Mariboru: Ekonomsko-poslovne fakultete, Pravne fakultete in Fakultete za varstvene vede. Kot partner v projektu je bilo vključeno podjetje Rogač plus, družba za trgovino, svetovanje in druge storitve, d.o.o., z delovno mentorico Ireno Uranjek, univ. dipl. ekon. Projekt je vodila izr. prof. dr. Andreja Primec z Ekonomsko-poslovne fakultete Univerze v Mariboru. Kot drugi pedagoški mentor je sodeloval prof. dr. Bojan Tičar s Fakultete za varnostne vede Univerze v Mariboru . Osrednji problem, ki ga je projektna skupina interdisciplinarno obravnavala, je varstvo osebnih podatkov v podjetju. Od uveljavitve prve direktive o varstvu osebnih podatkov je preteklo vrsto let. Od takrat so se razmere bistveno spremenile. Digitalizacija družbe in gospodarstva povzroča nenehno kopičenje podatkov. Večina vseh podatkov (kar 90 %), ki so obstajali v letu 2011, je nastala v obdobju zadnjih dveh let. Količina ustvarjenih podatkov je takrat dosegala 11 zetabajtov, medtem ko se za leto 2025 predvideva, da bo le-ta narasla na 44 2 VARSTVO OSEBNIH PODATKOV V PODJETJU zetabajtov (Zerlang, 2017). Posledično ustrezna zaščita podatkov, še zlasti občutljivih (osebnih) podatkov, postaja vedno pomembnejša. Evropska unija se je na spremenjene razmere odzvala z novo zakonodajo. V letu 2016 je sprejela Uredbo EU 2016/679 o varstvu osebnih podatkov (angl. General Data Protection Regulation , GDPR). Njena uporaba je postala obvezna 25. maja 2018. GDPR prinaša številne novosti in pomeni velik izziv za slovenska podjetja, ki morajo poslovati v skladu z njenimi določbami. Izbrane projektne rešitve smo zbrali v priročnik, da bodo dostopne tudi drugim slovenskim podjetjem, zlasti malim in srednjim, za katere lahko vzpostavitev politike zasebnosti v skladu z veljavno zakonodajo predstavlja velik finančni strošek. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) UVOD Živimo v času, ko nas zaradi takšnih ali drugačnih razlogov (Evropska unija, razvoj novih tehnologij) dnevno obdaja vedno več pravil. Nekatera so pomembna za vse, nekatera zavezujejo le določene osebe, dejstvo pa je, da jih je ob vsej količini težavno poznati oziroma jim slediti. Področje podjetništva je še posebej regulirano, saj je namen zakonodajalca urediti čim bolj nevtralen, nepristranski in pošten trg. Za podjetja tako obstaja kup pravil in omejitev, ki jih morajo pri svojem delovanju upoštevati, saj jih v nasprotnem primeru lahko čakajo visoke kazni, ki prav na področju varstva osebnih podatkov posebej izstopajo. Za velike družbe je pravil, ki jih morajo upoštevati, še več, vendar imajo le-te zagotovljena finančna sredstva in ustrezno usposobljene strokovnjake, ki skrbijo za to, da se pravila ne kršijo. Pri podjetnikih posameznikih in manjših družbah (ki jih bomo v nadaljevanju imenovali s kratico MSP – mala in srednja podjetja) prav tako obstaja nepregledna množica pravil, na katera morajo biti pozorna, si pa veliko težje zagotovijo primerne strokovnjake, ki bi nenehno skrbeli za skladnost poslovanja z zakonodajo, saj je za to praviloma potreben velik finančni vložek. 4 VARSTVO OSEBNIH PODATKOV V PODJETJU S 25.5.2018 se je začela uporabljati Uredba (EU) 2016/679 (v nadaljevanju: Splošna uredba o varstvu osebnih podatkov ), ki predstavlja temeljni dokument varstva osebnih podatkov v Evropski uniji. Rok od sprejema do začetka uporabe Splošne uredbe je bil približno dve leti in podjetja ter države so se različno dobro pripravile na novo zakonodajo. Novosti, ki jih uvaja, so uvedba pravice do pozabe (izbrisa), jasnejša opredelitev posameznikovega soglasja k obdelavi osebnih podatkov, obveznost obveščanja o kršitvah in pravila glede obravnave kršitev, ki presegajo meje ene države članice. Na ravni celotne Evropske unije prinaša tudi grožnjo bistveno višjih kazni za kršitelje. Globa, ki lahko doleti podjetja, lahko predstavlja do kar štiri odstotke skupnega letnega prometa podjetja v preteklem poslovnem letu. Slovenska podjetja so bila seznanjena z dejstvom, da bo na področju varstva osebnih podatkov prišlo do zakonodajnih sprememb, saj so mediji na to dalj časa opozarjali. Njihovo poročanje in strah pred visokimi kaznimi je podjetja prisilil, da so pristopila k implementaciji novih pravil pri svojem poslovanju. Z namenom, da bi podjetnikom olajšali postopek uveljavitve novih pravil na področju varstva osebnih podatkov v njihovem podjetju, smo pripravili priročnik, ki jim bo pomagal preveriti, ali ravnajo skladno z aktualno zakonodajo in jim v primeru pomanjkljivosti tudi svetoval, kako le-te odpraviti. Teoretičnim navodilom smo dodali še vzorce posameznih dokumentov (pogodba o obdelavi osebnih podatkov, politika varstva osebnih podatkov, obrazec za privolitev k obdelavi osebnih podatkov, navodila za zaposlene – kako ravnati z osebnimi podatki), ki bodo podjetnikom tudi v praktično pomoč. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 1 SPLOŠNO O OSEBNIH PODATKIH ŽIGA PLAVČAK 1.1 Kaj je osebni podatek? Osebni podatek je katerikoli podatek, ki se nanaša na posameznika. V to kategorijo uvrščamo: − identifikacijski podatek o posamezniku, − podatki, ki se nanašajo na rasno poreklo in pripadnost narodu ali narodnosti, − podatki, ki se nanašajo na družinsko razmerje, − podatki, ki se nanašajo na stanovanjske in bivalne pogoje posameznika, − podatki o zaposlitvi, − podatki o socialnem in ekonomskem stanju posameznika, − podatki o aktivnosti v prostem času, − podatki o izobrazbi in pridobljenih znanjih, − podatki o uporabi komunikacijskih sredstev, − podatki o zdravstvenem stanju, 6 VARSTVO OSEBNIH PODATKOV V PODJETJU − podatki o navadah posameznika, − podatki o ideoloških in verskih prepričanjih, − slikovni in glasovni podatki videonadzora. 1.2 Kaj pomeni obdelava podatkov? Obdelava osebnih podatkov pomeni kakršnokoli delovanje, ki jo izvajamo v zvezi z osebnimi podatki, ki so namenjeni vključitvi v zbirko osebnih podatkov. Lahko je ročna ali avtomatizirana. Pod to se uvršča: − zbiranje, − pridobivanje, − vpis, − urejanje, − shranjevanje, − prilagajanje ali spreminjanje, − priklic, − vpogled, − uporaba, − razkritje s prenosom, − sporočanje, − širjenje ali dajanje na razpolago, − razvrstitev ali povezovanje, − blokiranje, − anonimiziranje, − izbris ali uničenje. Upravljalec in obdelovalec osebnih podatkov UPRAVLJALEC podatkov je oseba, ki zbira, razpolaga z ali obdeluje osebne podatke in določa, zakaj in kako se bodo osebni podatki obdelali. OBDELOVALEC podatkov je oseba, ki v imenu upravljalca podatkov obdeluje osebne podatke. Splošno o osebnih podatkih 7 1.3 Ključna načela pri zbiranju in varovanju osebnih podatkov Pri zbiranju in varovanju osebnih podatkov imamo odgovornost upoštevati ključna načela, kar pomeni, da osebne podatke: − pridobivamo na zakonit oz. pošten način, kar pomeni, da moramo posamezniku dati jasno in odkrito vedeti, kako bomo uporabili njegove osebne podatke; − zbiramo za določene, izrecne in zakonite namene ter jih ne obdelujemo naprej na način, ki ni združljiv s temi nameni; − obdelujemo na ustrezen in omejen način glede na namen ter z osebnimi podatki ne počnemo ničesar, kar je na splošno nezakonito; − pravilno in točno zapisujemo; − potrebno je zagotoviti, da netočne osebne podatke, ob upoštevanju namenov za katere se obdelujejo, brez odlašanja posodobimo; − hranimo v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki; − obdelujemo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nepooblaščeno ali nezakonito obdelavo ter z zaščito proti naključni izgubi ali uničenju z uporabo ustreznih tehničnih ali organizacijskih ukrepov; − hranimo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo, ter jih ustrezno odstranimo, kadar niso več potrebni. Pravne podlage za obdelavo osebnih podatkov Iz vidika osebnih podatkov obstajajo štiri ključne pravne podlage ali zakonite pravice za obdelavo osebnih podatkov: − zakonska obveznost: določene osebne podatke, kot so na primer podatki o zaposlenih iz delovnega razmerja, mora podjetje obdelovati zaradi zahtev področne zakonodaje; − privolitev: predstavlja izrecno soglasje posameznika, na katerega se nanašajo osebni podatki, da lahko upravljavec v skladu z opredeljenim namenom izvaja obdelavo; 8 VARSTVO OSEBNIH PODATKOV V PODJETJU − pogodba: s pogodbo med posameznikom in upravljalcem se pridobi pravica za obdelovanje osebnih podatkov; − zakoniti interes: glej poglavje o spletnem marketingu. Obstajata še dve pravni podlagi za obdelavo osebnih podatkov, ki zaradi svoje specifičnosti nista relevantni za naš priročnik. Za celovitost prikaza ju kljub temu navajamo: − življenjski interes, − izvajanje javne naloge. 1.4 Zbiranje, obdelovanje in varovanje osebnih podatkov Pri zbiranju osebnih podatkov je potrebno osebo, od katere bomo podatke pridobili, jasno obvestiti, katere podatke bomo zbrali, za kaj jih bomo uporabili ter kako dolgo jih bomo hranili. Zbiramo le minimalno količino osebnih podatkov, ki jih potrebujemo za izpolnitev namena. Pri obdelovanju osebnih podatkov pazimo, da jih obravnavamo samo na načine, o katerih je bila oseba obveščena. Podatkov ni dovoljeno obdelati na način, ki bi bil neupravičeno škodljiv, nepričakovan ali zavajajoč za obravnavane posameznike. V kolikor želimo uporabiti osebne podatke za nov namen, katerega nismo predhodno navedli, lahko nadaljujemo le: − če je nov namen združljiv s prvotnim namenom (raziskovalni ali statistični namen); − če pridobimo individualno soglasje posameznika za nov namen. Osebnih podatkov ne hranimo dlje, kot jih potrebujemo. Tako je potrebno občasno pregledati osebne podatke, s katerimi razpolagamo, ter jih izbrisati v primeru, da jih ne potrebujemo več. V tem primeru je potrebno zbrisati tudi varnostno kopijo. Posamezniki, katerih osebne podatke hranimo, imajo pravico do izbrisa v skladu z zakonskimi določbami. Splošno o osebnih podatkih 9 1.5 Pridobivanje osebnih podatkov posameznika od drugih virov Kadar pridobimo osebne podatke od drugega vira, kot je posameznik, na katerega se nanašajo, moramo posamezniku posredovati podatke o zasebnosti: − v razumnem roku in najpozneje v enem mesecu; − če podatke uporabljamo za komunikacijo s posameznikom – najpozneje ob prvem komuniciranju; − če podatke razkrijemo drugim – najkasneje, ko razkrijemo podatke. Ko pridobimo osebne podatke posameznika od drugih virov, posamezniku ni potrebno posredovati informacij o zasebnosti v primeru, če: − je posameznik s tem že seznanjen; − je posredovanje informacij posamezniku nemogoče; − bi posredovanje informacij posamezniku onemogočilo ali resno ogrozilo doseganje ciljev obdelave. 1.6 Pravice posameznika Posameznik ima pravico dostopa do svojih osebnih podatkov. Na zahtevo lahko odgovorimo ustno ali pisno, najkasneje v roku enega meseca. Posredujemo lahko: − potrditev, da obdelujemo njihove osebne podatke; − kopijo njihovih osebnih podatkov; − namene naše obdelave; − prejemnike ali kategorije prejemnikov, ki jim razkrijemo osebni podatek; − obdobje hranjenja osebnega podatka (če ni mogoče določiti točnega datuma, podamo približno obdobje); − katere zaščitne ukrepe uporabljamo, če osebne podatke posredujemo tretji državi oz. mednarodni organizaciji. 10 VARSTVO OSEBNIH PODATKOV V PODJETJU Posameznik je upravičen le do svojih osebnih podatkov, ne pa do informacij, ki se nanašajo na druge ljudi. V primeru, da prejmemo takšno zahtevo posameznika, je priporočljivo beležiti podrobnosti o prejetih zahtevah, vključno z našimi ukrepi oz. dejanji. S takšno evidenco se izognemo kasnejšim možnim sporom. Posameznik lahko zahteva popravek, izbris, omejitev ali ugovarja načinu obdelave. Ima pravico, da se njegovi osebni podatki izbrišejo, če: − osebni podatki niso več potrebni za namen, za katerega so bili prvotno zbrani ali obdelani; − posameznik umakne svoje soglasje o obdelavi podatkov; − nimamo upravičenega interesa za nadaljnjo obdelavo teh podatkov; − smo osebne podatke pridobili ali obdelali nezakonito. V primeru izbrisa je potrebno zagotoviti tudi izbris varnostnih kopij. Posameznika je potrebno jasno seznaniti, kako bomo uresničili zahtevo izbrisa. 1.7 Nadzor nad delovnimi sredstvi − Osebni podatki na delovni površini (papirju, rač. zaslonu, mobilnem telefonu) morajo biti skriti pred tretjo osebo, ki je prisotna v istem prostoru in nima pooblastila za vpogled. Podatki nikoli ne smejo ostati brez nadzora in biti dostopni nepooblaščenim osebam ali javnosti. − Če računalniki ostanejo brez nadzora, je potrebno zagotoviti, da osebni podatki niso na voljo nepooblaščeni osebi. Priporočljiva je uporaba ohranjevalnika zaslona, da se zmanjša možnost opazovanja. − Kadar so prostori, omare ali predali, v katerih so shranjeni osebni podatki, brez nadzora, morajo biti zaklenjeni. − Potrebno je zagotoviti, da osebni podatki ne ostanejo na mizah oz. delovnih postajah v času, ko lahko pride do nepooblaščenega dostopa. − Nosilcev osebnih podatkov (dokumenti in elektronske naprave) ni dovoljeno odnašati izven podjetja brez dovoljenja nadrejenega. − V primeru, da se nosilci osebnih podatkov (dokumenti in elektronske naprave) odnašajo izven podjetja, jih ni dovoljeno puščati doma, v avtu ali kjerkoli izven podjetja ter je potrebno stalno zagotavljati njihovo varnost. Splošno o osebnih podatkih 11 − V primeru poškodbe strojne opreme, kjer se hranijo osebni podatki, je potrebno nemudoma obvestiti nadrejenega. − Dostop pooblaščenim delavcem, ki v skladu s pogodbo opravljajo vzdrževalne oz. servisne storitve, je potrebno omejiti tako, da se zagotavlja varstvo vseh podatkov, ki jih pri opravljanju svoje naloge ne potrebujejo. − Nameščanje kakršnekoli programske opreme, ki ni v skladu z zahtevami podjetja, ni dovoljeno brez soglasja nadrejenega. 1.8 Rok hrambe in posledično uničenje osebnih podatkov Časovni okvir hrambe osebnih podatkov v splošnem ni natančno opredeljen, vendar to ne dovoljuje neomejene hrambe. Določeni osebni podatki, kot so na primer podatki zaposlenih, se morajo v skladu s področno zakonodajo hraniti trajno. Za vsak posamezni tip osebnega podatka moramo predhodno preveriti, kakšne specifične omejitve nam nalaga zakonodaja. Tako se recimo evidenca vstopajočih oseb v poslovne prostore lahko hrani tri leta. Kadar v zakonskih določilih in predpisih rok hrambe ni točno opredeljen, moramo hraniti osebne podatke le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Tega osnovnega načela se je potrebno ves čas držati. Podatki morajo biti ves čas hranjeni v obliki, ki dopušča identifikacijo posameznikov. Primer obdelave, ki nima zakonsko določenega roka hrambe, so osebni podatki naročnikov na elektronske novice. V tem primeru se uporabi pravilo, da se lahko shranjujejo le toliko časa, dokler je to skladno z namenom njihove obdelave, s katerim je posameznik izrecno in nedvoumno soglašal. Hranjenje podatkov se konča tudi v primeru zahteve posameznika za izbris osebnih podatkov. Če posameznik prekliče svojo privolitev k obdelavi osebnih podatkov, bo moral upravljavec to upoštevati in z obdelavo prenehati. To pa ne pride v poštev, kadar se podatki obdelujejo na zakonski podlagi. Način uničenja osebnih podatkov, ki bi jih bilo potrebno po času obdelave uničiti, ni enotno določen. Vsakemu posameznemu upravljalcu je prepuščena izbira najprimernejše rešitve. V tem primeru je potrebno natančno presoditi vrsto, obseg in obliko, v kateri so hranjeni podatki, ter identificirati vsa povezana tveganja v primeru neustreznega uničenja. Ob uničenju je potrebno zagotoviti, 12 VARSTVO OSEBNIH PODATKOV V PODJETJU da je osebni podatek izbrisan iz vseh baz podatkov, kar zajema tudi vse varnostne kopije. 1.9 Ukrepanje v primeru zlorabe ali vdora v zbirko osebnih podatkov V kolikor se zazna, da je prišlo do zlorabe osebnih podatkov, kot je: − odkrivanje osebnih podatkov, − nepooblaščeno uničenje, − nepooblaščeno spreminjanje, − poškodovanje zbirke osebnih podatkov ali − vdor v zbirko osebnih podatkov, je treba takšno aktivnost preprečiti, v kolikor pa to ne predstavlja nevarnosti, pa brez nepotrebnega odlašanja obvestiti nadrejenega. V primeru, da bi s seznanjeno kršitvijo varstva osebnih podatkov bile ogrožene pravice in svoboščine posameznikov, je podjetje dolžno najkasneje v 72 urah uradno obvestiti pristojni nadzorni organ. Prav tako je v tem primeru potrebno obvestiti posameznika, na katerega se osebni podatki nanašajo. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 2 VARSTVO OSEBNIH PODATKOV V DELOVNEM RAZMERJU ŽIGA PLAVČAK 2.1 Zbiranje in varovanje osebnih podatkov delavcev Osebne podatke delavcev lahko zbiramo, obdelujemo, uporabljamo in dostavljamo tretjim osebam samo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja. To lahko izvaja delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. 2.1.1 Delavčeva zasebna telefonska številka Delodajalec lahko pridobi zasebno telefonsko številko s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki naj bi bilo v interesu obeh. 14 VARSTVO OSEBNIH PODATKOV V PODJETJU 2.1.2 Kopije dokumentov Delodajalec lahko za vnaprej določene namene kopira osebne dokumente na podlagi pisne privolitve delavca, pri čemer privolitev ne sme biti izsiljena. Delodajalec je dolžan uničiti kopije takoj po dosegu namena. 2.1.3 Vzrok koriščenja letnega dopusta Delavec ni dolžan navesti razloga, lahko pa v dogovoru z delodajalcem razkrije vzrok, zakaj bi rad letni dopust koristil v točno določenem času (npr. družinske obveznosti, šolske počitnice otrok) in ne v času, ki ga je določil delodajalec. 2.1.4 Fotografiranje delavca Delodajalec sme fotografirati delavca, ki krši svoje delovne obveznosti, in ima pravico obdelovanja fotografije (npr. hranjenje, posredovanje) samo za namene dokazovanja v disciplinskem postopku in samo toliko časa, dokler ti postopki trajajo. Nima pa pravice fotografirati svojih zaposlenih brez njihovega soglasja, v kolikor opravljajo svoje delovne dolžnosti. 2.1.5 Podatki iz evidence delovnega časa Podatki o prisotnosti oz. odsotnosti delavca se lahko sodelavcem razkrijejo pod pogojem, da je to potrebno zaradi uresničevanja obveznosti iz delovnega razmerja. V tem primeru lahko delodajalec delavce seznanja z razporedi dela, iz katerih je razvidno osebno ime delavca, njegova zadolžitev, ter s predvideno odsotnostjo delavca. 2.1.6 Objava podatkov delavcev na spletni strani Delodajalec lahko objavi določene podatke delavcev, katerih delo je pomembno zaradi poslovanja s strankami oz. uporabniki storitev. Ti podatki so: − osebna imena, − nazivi ali funkcije, − službene telefonske številke in − naslovi službene elektronske pošte. Varstvo osebnih podatkov v delovnem razmerju 15 2.1.7 Podatek o izobrazbi in fotografija Delodajalec lahko objavi fotografijo delavca in podatke o njegovi izobrazbi le, če izkaže, da je to potrebno zaradi uresničevanja obveznosti iz delovnega razmerja. Če to ni potrebno, ima delavec možnost, da v objavo privoli ali jo brez posledic odkloni. V primeru, da delavec svojo privolitev naknadno prekliče, mora delodajalec podatek o izobrazbi in fotografijo umakniti s spletne strani. 2.2 Elektronska pošta in delovno sredstvo delavca 2.2.1 Vpogled v elektronsko pošto v času odsotnosti delavca V primeru, da je v času odsotnosti delavca potreben vpogled v njegov službeni e-poštni predal, obstajata dve rešitvi: 1. da se ob prejetem sporočilu v njegov e-poštni predal avtomatsko pošlje kopija še na splošen predal elektronske pošte; 2. delavec v svojem poštnem predalu nastavi avtomatsko obveščanje o odsotnosti in kontaktne podatke osebe, ki ga v odsotnosti nadomešča. Opozoriti velja, da je obe možnosti treba urediti pred odsotnostjo delavca. 2.2.2 Dostop do elektronske pošte po prenehanju delovnega razmerja V tem primeru mora delodajalec v sodelovanju z bodočim bivšim delavcem poskrbeti, da bodo službena sporočila prenesena v skupni elektronski predal in tako dostopna ostalim zaposlenim, ki bodo lahko nadaljevali delo na teh vsebinah. Delavec, s katerim se prekinja delovno razmerje, pa mora imeti možnost, da iz svojega elektronskega predala izbriše sporočila in dokumente zasebne narave ter obvesti svoje zasebne kontakte, da na ta elektronski naslov ne bo več dosegljiv. Delodajalec je dolžan ob prenehanju delovnega razmerja deaktivirati elektronski poštni predal bivšega zaposlenega ter ne sme preusmeriti elektronskega naslova na drugega zaposlenega. 16 VARSTVO OSEBNIH PODATKOV V PODJETJU 2.2.3 Ravnanje z elektronsko pošto in delovnim sredstvom zaposlenega v primeru nenadne smrti V primeru nenadne smrti ima delodajalec pravico in dolžnost, da: − iz službenega sredstva skopira podatke, ki so službene narave in so nujno potrebni za poslovanje podjetja, pri čemer se v največji možni meri izogiba vpogledu v osebne podatke; − podatke zasebne narave, ki jih delodajalec sicer ni dolžan hraniti, lahko skopira in začasno shrani (najdlje toliko časa, kot je glede na konkretne okoliščine možno razumno pričakovati, da bi trajala pridobitev odredbe za zavarovanje podatkov s strani dedičev ali drugih pooblaščenih oseb) ter skopirane podatke ustrezno zavaruje; − v najkrajšem možnem času deaktivira predal elektronske pošte, pošiljatelje pa z avtomatskim obvestilom seznani, da elektronski naslov ni več aktiven; − delovno sredstvo, s katerega so bili varno skopirani podatki službene narave, formatira z nepovratnim brisanjem osebnih podatkov in ga nato preda v uporabo drugemu zaposlenemu. 2.3 Ravnanje z delovnim sredstvom zaposlenega v primeru suma kaznivega dejanja V primeru suma storitve kaznivega dejanja delavca se lahko njegov računalnik zaseže in zapečati oziroma ustrezno zavaruje pred neupravičenimi posegi, s čimer delodajalec zavaruje morebitne dokaze in delavcu onemogoči dostop do podatkov na računalniku. Potem se računalnik preda policiji. Delodajalec ne sme sam preiskati vsebine računalnika ali e-poštnega predala zaposlenega. V tem primeru lahko povzroči izničenje verodostojnosti in uporabnosti morebitnih dokazov v kasnejšem kazenskem postopku. Varstvo osebnih podatkov v delovnem razmerju 17 2.4 Uporabniška imena in gesla za dostop do službenih računalnikov Kot osebni podatek se smatrajo gesla, ki jih delavec določi sam oz. jih je imel pravico sam spremeniti, saj omogočajo dostop do nadaljnjih osebnih podatkov delavca. V kolikor se gesla hranijo v podatkovnih bazah, morajo biti shranjena v takšni obliki, da jih nihče ne more prebrati oz. razkriti. V primeru izgube ali pozabljenega gesla lahko pooblaščena oseba obstoječe geslo spremeni in uporabniku dodeli novega, ne sme pa imeti možnosti pozabljenega gesla prebrati v bazi in ga posredovati uporabniku. 2.5 Povzetek smernic za ravnanje delodajalca z elektronsko pošto zaposlenih − Vso pomembno pošto, ki jo delavci prejmejo na svoj osebni e-poštni predal in ki mora biti dostopna v primeru odsotnosti delavca, se naj sproti pošilja v določen skupni e-poštni predal. − Po prenehanju delovnega razmerja naj delavec pregleda svoj e-poštni predal in posreduje vso pomembno pošto, ki je potrebna za delovne procese podjetja. − Po prenehanju delovnega razmerja naj se vsem kontaktom pošlje enotno sporočilo, da delavec ni več zaposlen pri podjetju in da bo prejeta pošta preusmerjena na drugi e-poštni predal oz. se navede nov e-poštni predal za komuniciranje. − V primeru daljše odsotnosti delavca se naj aktivira avtomatizirano sporočilo, ki navaja odsotnost delavca (brez razloga odsotnosti). − V primeru napovedane daljše odsotnosti naj delavec poskrbi za avtomatizirano sporočilo ter navede, h komu bodo preusmerjena sporočila oz. kontakt osebe, ki ga bo nadomeščala. 18 VARSTVO OSEBNIH PODATKOV V PODJETJU 2.6 Telefon 2.6.1 Omejitev porabe in kritje stroškov Priporoča se, da delodajalec določi limit, do katerega krije stroške, ter s tem seznani delavce, ki uporabljajo službeni telefon. V primeru prekoračenega limita se stroški krijejo s strani delavca, v kolikor delavec ne dokaže, da so stroški nastali zaradi službenih procesov. 2.6.2 Telefonska številka delavca po prekinitvi delovnega razmerja Delodajalec lahko zadrži službeno številko delavca, v kolikor je bilo to predhodno dogovorjeno. V kolikor ni bilo predhodnega dogovora, mora delodajalec pridobiti privolitev delavca. V nasprotnem primeru delodajalec nima pravne podlage za nadaljnjo uporabo telefonske številke. 2.7 Internet Podatki o obiskanih spletnih straneh delavca se smatrajo kot osebni podatek, zato je vpogled delodajalca v te podatke dopusten le, če: − gre za izjemen primer, kot je nedostopnost določene spletne strani ali okužba računalnika zaradi obiska nevarne spletne strani; − je takšen vpogled skladen z internim aktom, sklenjenim med delodajalcem in delavcem za dostop do teh podatkov v izjemnih primerih. Delodajalec sme blokirati dostop do določenih spletnih strani, ki jih delavci ne potrebujejo za opravljanje delovnih procesov. 2.8 Pošiljanje plačilnih list po e-pošti V primeru pošiljanja plačilnih list v e-obliki, mora delodajalec zagotoviti, da: − pošlje plačilne liste v šifriranih datotekah; − so gesla za odpiranje posredovana delavcem osebno. Varstvo osebnih podatkov v delovnem razmerju 19 Če se plačilne liste pošiljajo na zaseben elektronski naslov, mora delodajalec od delavca pridobiti pisno privolitev. Svetujemo, da se v klasično pogodbo o zaposlitvi vstavi naslednji odstavek: Delodajalec je seznanil delavca z evidencami, s katerimi bo upravljal tekom njegove zaposlitve. Delavec soglaša, da so mu bile predstavljene smernice, kako naj ravna z osebnimi podatki, in posledice, v kolikor bo kršil smernice delodajalca ali zakonske določbe na tem področju. 2.9 Objava in posredovanje osebnih podatkov − Osebnih podatkov, s katerimi razpolaga podjetje, ni dovoljeno posredovati tretjim osebam brez pooblastila nadrejenega. − Potrebno je zagotoviti, da se osebnih podatkov ustno (v pogovoru ali telefonsko) ne obravnava v neustreznem območju oz. javnem prostoru, kjer je lahko prisotna tretja oseba. Tajnost osebnih podatkov, s katerimi se delavci srečujejo na delovnem mestu, le-te obvezuje tudi po prenehanju zaposlitve. 20 VARSTVO OSEBNIH PODATKOV V PODJETJU VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 3 POLITIKA VARSTVA OSEBNIH PODATKOV JAKA PREMZL 3.1. Namen politke varstva osebnih podatkov V sklopu sprememb, ki jih je prinesla uredba GDPR, morajo MSP urediti tudi politiko varstva osebnih podatkov. Slednje je pomembno predvsem zaradi varovanja osebnih podatkov posameznikov in za seznanitev s pravicami, ki jih imajo v zvezi z upravljanjem njihovih osebnih podatkov v podjetju. Gre za pravni dokument, v katerem podjetje sporoča osnovne informacije, predvsem pa uporabnika pouči, zakaj upravlja z njegovimi osebnimi podatki. Zaradi lažje dostopnosti se dokument običajno objavi na spletni strani podjetja. 3.2 Sestavine politike varstva osebnih podatkov: 1. izjava podjetja o varstvu osebnih podatkov, 2. podatki o upravljavcu, 3. splošne značilnosti osebnih podatkov, 4. namen uporabe osebnih podatkov in rok hranjenja, 5. kdo so obdelovalci osebnih podatkov, 6. pravice posameznikov iz naslova varovanja osebnih podatkov, 7. piškotki in sledenje strani, 22 VARSTVO OSEBNIH PODATKOV V PODJETJU 8. kontaktna oseba za varstvo osebnih podatkov, 9. spremembe politike zasebnosti. V nadaljevanju smo pripravili vzorec, ki vam bo olajšal uskladitev poslovanja z relevantno zakonodajo. Poglavja si sledijo po zgoraj navedenem vrstnem redu. Vaša naloga je, da v besedilo vstavite relevantne podatke o vašem podjetju. Ker je vzorec pripravljen na splošni ravni, smo v opombah pripravili dodatna pojasnila. Zagotovo sami najbolje poznate vaše podjetje. Natančno ste seznanjeni s podrobnostmi vašega podjetja (katere dejavnosti opravljate, kdo so vaši pogodbeni partnerji in ali vaša spletna stran uporablja piškotke). Zato svetujemo, da natančno preberete pripravljen vzorec in pripadajoče opombe. Vzorec nato prilagodite tako, da bo zajel vse relevantne informacije vašega podjetja, saj boste le tako zadostili pogojem zakonodaje Republike Slovenije in Evropske Unije na področju varstva osebnih podatkov. 3.3 Vzorec politike varstva osebnih podatkov Opomba: Z ležečim tiskom so označeni podatki, ki jih vstavijo podjetja. 3.4 Politika varstva osebnih podatkov družbe 1. IZJAVA O VARSTVU OSEBNIH PODATKOV DRUŽBE VZORČNO PODJETJE d.o.o. 1 V družbi VZORČNO PODJETJE d.o.o. izvajamo dejavnost2 (npr. računalniško programiranje trgovine na debelo z drugimi napravami in opremo, fotografska dejavnost, svetovanje o računalniških napravah in programih). Zavedamo se, da je varstvo vaše zasebnosti in vaših osebnih podatkov zelo pomembno področje. Temu vidiku tudi pri izvajanju naših spletnih dejavnosti posvečamo veliko pozornost. Naša politika varstva podatkov je zato skladna tako z veljavnimi določbami na področju varstva osebnih podatkov in drugih zakonskih določil Republike Slovenije kakor tudi z Uredbo (EU) 2016/679 Evropskega parlamenta in sveta (v nadaljevanju GDPR). V želji po najučinkovitejši zaščiti pred manipulacijami, izgubo podatkov in njihovim uničenjem in preprečitvi dostopa do njih nepooblaščenim tretjim 1 Vnesite podatke vaše družbe oziroma ime in pri mek ter oznako s.p., če ste podjetnik posameznik. 2 Vnesite dejavnost/dejavnosti, s katero/katerimi je vaša družba zavedena pri Agenciji RS za javnopravne evidence in storitve (AJPES). Politika varstva osebnih podatkov 23 osebam uporabljamo tehnične varnostne ukrepe, ki jih nadgrajujemo skladno s tehnološkim razvojem in zakonskimi spremembami. V Politiki varstva osebnih podatkov pojasnjujemo, katere vaše osebne podatke zbiramo in čemu jih uporabljamo. V nadaljevanju tudi navajamo, od kod pridobivamo osebne podatke, kako jih varujemo in kako uresničujemo vaše pravice iz naslova varovanja osebnih podatkov. 2. PODATKI O UPRAVLJAVCU3 VZORČNO PODJETJE d.o.o. Mariborska cesta 100 2000 Maribor T: + 386(0)59 1234 56 F: +386(0)59 1234 00 E-pošta: info@vzorcnopodjetje.si Internet: http://www.vzorcnopodjetje.si/ 3. KAJ SO OSEBNI PODATKI? Osebni podatki so informacije, s katerimi je mogoče ugotoviti vašo identiteto. Npr. vaše ime, naslov, poštna številka, datum rojstva, spol, naslov IP, telefonska številka ali vaš elektronski naslov in podatki o plačilu. 4 Vse informacije, ki niso neposredno povezane z vašo dejansko identiteto (npr. priljubljena spletna stran), ne spadajo v to kategorijo. Osebne podatke zbiramo5 ob naročilu in nakupu naših proizvodov, bodisi osebno na sedežu družbe, preko spletne strani ali preko mobilnega telefona. Osebne podatke zbiramo tudi kadarkoli obiščete našo spletno stran. 3 Kot je bilo pojasnjeno, »upravljalec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave«. Tukaj vstavite podatke vaše družbe. 4 Tu navedete vse osebne podatke, ki jih pridobite, oziroma s katerimi upravljate pri vašem poslovanju. 5 Navedete situacije, kjer pridobite osebne podatke. V primeru so navedene najpogostejše situacije. 24 VARSTVO OSEBNIH PODATKOV V PODJETJU Predvsem se zbirajo naslednje kategorije osebnih podatkov: - ime in priimek, naslov, elektronski naslov, telefonska številka, podatki o starosti in spolu, podatki o vrsti plačilnega sredstva in morebitni drugi podatki o plačilu, v kolikor je potrebno; - informacije o vaši uporabi naše spletne strani; - sporočila, ki jih izmenjujete z nami ali nam jih pošljete preko SMS, e-poštnih sporočil, telefonskih klicev in socialnih medijev. 4. NAMEN UPORABE OSEBNIH PODATKOV IN ROK HRANJENJA Vaši podatki se lahko uporabljajo za naslednje namene:6 - izvajanje pogodb, kot je7 na primer pogodba o poslovnem sodelovanju, naročilo opreme in druge. V okviru izvrševanja pogodbenih pravic in izpolnjevanja pogodbenih obveznosti obdelujemo vaše osebne podatke za naslednje namene: pripravo ponudbe, sklenitev pogodbe, obveščanje o morebitnih spremembah, obračunavanje storitev ter za druge namene, potrebne za izvajanje ali sklepanje pogodbenega razmerja. Za namen izvajanja pogodb obdelujemo osebne podatke, kot so ime, priimek, elektronski naslov in druge kontaktne podatke ter podatke, potrebne za izvajanje obračunavanja naših storitev (npr. davčno številko). Na podlagi pogodbenega pravnega temelja se osebni podatki v potrebnem obsegu obdelujejo tudi za namen sklenitve pogodb, v fazi pogajanj, po prejemu ponudbe oz. povpraševanja posameznika; - izpolnitev zakonske obveznosti, na primer na podlagi Zakona o delovnih razmerjih (ZDR-1), 8 za namen izvajanja pravic in obveznosti iz delovnega razmerja in na podlagi drugih predpisov, ki terjajo od nas, da v določenih primerih posredujemo osebne podatke posameznikov državnim organom in drugim upravljavcem za izpolnjevanje svojih ali njihovih zakonskih obveznosti ali pristojnosti. Na tej podlagi obdelujemo tiste osebne podatke in za tiste namene, kot nam to nalagajo veljavni predpisi; 6 V nadaljevanju je navedenih več možnih namenov. Ni nujno potrebno, da posamezna družba koristi osebne podatke za vse navedene namene. V kolikor osebnih podatkov ne boste koristili za posamezen namen, le-tega izpustite pri oblikovanju lastne politike varstva osebnih podatkov. 7 Navedite pogodbe, ki jih sklepate v okviru vašega rednega poslovanja. 8 Zakon o delovnem razmerju (ZDR-1) ureja pravice in obveznosti med delavcem in delodajalcem. Ta odstavek je namenjen predvsem ureditvi razmerja med delodajalcem in njegovimi zaposlenimi. Politika varstva osebnih podatkov 25 - zakoniti interes, za katerega si prizadevamo kot upravljavec in ki je določen v vašo korist, pri čemer vedno tehtamo vaš interes za takšno obdelavo, razen kadar nad takimi interesi prevladajo interesi in temeljne pravice ter svoboščine posameznika, na katerega se nanašajo osebni podatki in ki zahtevajo varstvo osebnih podatkov. Skladno z veljavnimi predpisi o varstvu osebnih podatkov sodi med zakonite interese tudi neposredno trženje; - preverjanje oziroma avtorizacija plačil s kreditnimi in drugimi plačilnimi karticami: podatke o plačilu uporabljamo za namene računovodenja, obračunavanja in revizije ter za odkrivanje in preprečevanje goljufivih dejanj; - administrativne ali pravne cilje: podatke uporabljamo za statistično in tržno analizo, sistemsko testiranje, ankete strank, nadzor kvalitete, vzdrževanje in razvoj ali pa za reševanje sporov oziroma zahtevkov; - carinski nadzor: morda bomo morali vaše podatke posredovati organom mejne kontrole na podlagi njihove zahteve; - komuniciranje s strankami: podatke uporabljamo za krepitev odnosov s strankami ter za izboljšanje naših storitev; - trženje: občasno vas bomo preko redne pošte, telefona ali e-komunikacij obveščali o naši ponudbi. V vsakem sporočilu boste imeli možnost zavrniti prejemanje nadaljnjih tovrstnih sporočil. Zavrnitev poteka izjemno enostavno, bodisi s povratnim sporočilom ali telefonskim klicem in je za vas popolnoma brezplačna; - vaša osebna privolitev: za obveščanje o naši ponudbi (naročilo na novice). Vaši osebni podatki se obdelujejo izključno na osnovi pravne podlage za obdelavo. Pravna podlaga je odvisna od namena, v skladu s katerim smo podatke pridobili. V večini primerov se vaši osebni podatki obdelujejo z namenom izpolnitve sklenjene prodajne pogodbe. Vaših podatkov ne bomo hranili dlje, kot je potrebno za izpolnitev namena, zaradi katerega se obdelujejo. Za določitev ustreznega obdobja hrambe upoštevamo obseg, naravo in občutljivost osebnih podatkov, namene, za katere se obdelujejo, in ali lahko te namene dosežemo z drugimi sredstvi. Pri določitvi roka hrambe moramo upoštevati tudi zakonske roke (kot jih na primer določa Zakon o davku na dodano vrednost), splošni zastaralni rok, rok za obravnavo pritožb. 26 VARSTVO OSEBNIH PODATKOV V PODJETJU Ko vaših osebnih podatkov ne bomo več potrebovali, jih bomo varno izbrisali oziroma uničili. 9 5. OBDELOVALCI OSEBNIH PODATKOV V našem imenu in za naš račun lahko osebne podatke obdelujejo tudi obdelovalci, kot so družbe, ki nam nudijo tehnično podporo pri obdelavi osebnih podatkov: To so na primer vzdrževalci naših baz podatkov, računovodski servis in ostali obdelovalci, 10 ki jih angažiramo za zagotavljanje storitev, potrebnih za izvajanje pogodb. V kolikor obdelavo vaših osebnih podatkov zaupamo v obdelavo takšnim zunanjim obdelovalcem, imamo z njimi sklenjeno ustrezno pisno pogodbo o obdelavi osebnih podatkov oziroma vsebinsko enak dogovor ali drug zavezujoč dokument. 6. PRAVICE POSAMEZNIKOV IZ NASLOVA VAROVANJA OSEBNIH PODATKOV V določenih okoliščinah imate po zakonu pravico:11 - zahtevati informacije o tem, ali imamo osebne podatke o vas; v tem primeru lahko zahtevate informacijo, katere podatke in zakaj jih hranimo oziroma uporabljamo; - zahtevati dostop do svojih osebnih podatkov; posledično vam to omogoča, da prejmete kopijo osebnih podatkov, ki jih imamo o vas, ter preverite, ali jih obdelujemo zakonito; - zahtevati popravke osebnih podatkov, ki jih imamo o vas; upravičeno lahko zahtevate popravek nepopolnih oziroma netočnih podatkov; - zahtevati izbris vaših osebnih podatkov, kadar ni razloga za nadaljnjo obdelavo oziroma kadar uveljavljate svojo pravico do ugovora glede nadaljnje obdelave; 9 Zelo pomembno je, da vaša politika o varstvu osebnih podatkov vsebuje to določilo, saj je izbris osebnih podatkov nujno potreben, ko teh več ne boste potrebovali. 10 Če imate sklenjene pogodbe z večimi obdelovalci, jih je v tem odstavku potrebno navesti. Gre za osebe, ki bodo imele dostop do osebnih podatkov, ki ste jih pridobili v skladu z zakonom. 11 Gre za poglavje, ki ureja pravice oseb, od katerih ste pridobili osebne podatke. Te so določene v skladu z Uredbo GDPR in relevantno zakonodajo RS. V kolikor bo posameznik želel uveljaviti svojo pravico, mu boste to morali tudi omogočiti. Politika varstva osebnih podatkov 27 - ugovarjati nadaljnji obdelavi osebnih podatkov, kjer se zanašamo na zakoniti interes; popolnoma enako je v primeru zakonitega interesa tretje osebe; ne glede na določilo prejšnjega stavka imate pravico kadarkoli ugovarjati, če obdelujemo vaše osebne podatke za namene neposrednega trženja; - zahtevati omejitev obdelave vaših osebnih podatkov; to vam omogoča, da prekinete obdelavo osebnih podatkov o vas; - zahtevati prenos vaših osebnih podatkov v strukturirani elektronski obliki k drugemu upravljavcu; - preklicati privolitev oziroma soglasje, ki ste ga podali za zbiranje, obdelavo in prenos vaših osebnih podatkov za določen namen; po prejemu obvestila, da ste umaknili svojo privolitev, bomo prenehali obdelovati vaše osebne podatke za namene, ki ste jih prvotno sprejeli, razen če nimamo druge legitimne pravne podlage za to, da to storimo zakonito. V kolikor želite uveljavljati katero koli od navedenih pravic, pošljite zahtevek po elektronski pošti na info@vzorcnopodjetje.si ali z redno pošto na naslov VZORČNO PODJETJE d.o.o., Mariborska cesta 100, 2000 Maribor, s pripisom »osebni podatki«. Za dostop do osebnih podatkov ali uveljavljanje katere koli druge pravice vam ni treba plačati takse. Vendar pa lahko zaračunamo razumno plačilo, če je vaša zahteva za dostop očitno neutemeljena ali pretirana. Druga možnost je, da v takih okoliščinah zavrnemo izpolnitev zahteve. 12 V primeru uveljavljanja pravic iz tega naslova bomo morda morali od vas zahtevati določene informacije, ki nam bodo pomagale pri potrditvi vaše identitete, kar je le varnostni ukrep, ki zagotavlja, da se osebni podatki ne razkrijejo nepooblaščenim osebam. Preklic privolitve ne vpliva na zakonitost obdelave, ki se je na podlagi privolitve izvajala do njenega preklica. 12 S tem odstavkom se boste zavarovali pred nesmiselnimi in neupravičenimi zahtevami oseb glede njihovih osebnih podatkov. 28 VARSTVO OSEBNIH PODATKOV V PODJETJU Posameznik ima pravico vložiti pritožbo pri Informacijskem pooblaščencu RS (Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana, Slovenija, e- pošta: gp.ip(at)ip-rs.si), če meni, da se njegovi osebni podatki obdelujejo v nasprotju z veljavnimi predpisi, ki urejajo varstvo osebnih podatkov. 7. PIŠKOTKI IN SLEDENJE STRANI13 Ob obisku naše spletne strani vaš računalnik v programski opremi brskalnika shranjuje informacije v obliki piškotkov. Piškotki hranijo podatke o vaši uporabi spletne strani, ki jih nato uporablja družba VZORČNO PODJETJE d.o.o. Uporaba piškotkov vam olajša uporabo funkcij, saj ob nadaljnjih obiskih vaš računalnik že prepoznamo, kar poenostavi morebiten ponovni vnos podatkov. Piškotki, ki jih uporabljamo (majhne datoteke, ki vsebujejo informacije o konfiguraciji), nam pomagajo ugotoviti pogostost uporabe in število uporabnikov naše spletne strani, vam pa omogočajo celovito uporabo naše storitve. Nadalje vam lahko v VZORČNO PODJETJE d.o.o. na podlagi piškotkov po e-pošti pošiljamo personalizirane informacije o določenih produktih ali prodajnih akcijah in vam priporočamo produkte ali storitve, ki bi vas utegnile zanimati. Večina brskalnikov je nastavljenih tako, da samodejno sprejmejo piškotke. Kljub vsemu pa lahko shranjevanje piškotkov izklopite ali svoj brskalnik nastavite tako, da vas vsakokrat obvesti o pošiljanju piškotkov. Poleg tega obstaja še možnost, da lahko shranjene piškotke sami kadar koli izbrišete s svojega trdega diska. Naše storitve lahko v omejenem obsegu uporabljate tudi brez piškotkov. Če želite več informacij o piškotkih in kako preprečiti namestitev piškotkov, obiščite spletno mesto: http://www.al aboutcookies.org. Pri vsakem dostopu do vsebin naše spletne ponudbe se splošne informacije samodejno shranijo (npr. število obiskovalcev in trajanje obiska na posameznih straneh ipd.). Ti podatki niso osebni in se zato obdelujejo v anonimizirani obliki. Te vrste podatkov uporabljamo izključno v statistične namene in z njihovo pomočjo optimiziramo našo spletno ponudbo. 13 Navedeno poglavje velja le za družbe, katerih spletne strani shranjujejo podatke v obliki piškotkov. Politika varstva osebnih podatkov 29 8. KONTAKTNA OSEBA ZA VARSTVO OSEBNIH PODATKOV14 V VZORČNO PODJETJE d.o.o. je kontaktna oseba za varstvo osebnih podatkov dosegljiva po elektronski pošti na naslovu info@vzorcnopodjetje.si oz. navadni pošti na naslovu VZORČNO PODJETJE d.o.o., Mariborska cesta 100, 2000 Maribor, s pripisom »osebni podatki«. Posamezniki, na katere se nanašajo osebni podatki, lahko s kontaktno osebo za varstvo podatkov sami stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov in uresničevanjem njihovih pravic na podlagi veljavnih predpisov, ki urejajo varstvo osebnih podatkov. 9. SPREMEMBE POLITIKE ZASEBNOSTI Spremembe Politike zasebnosti se objavijo na spletni strani http://www.vzorcnopodjetje.si/ in se v spremenjeni vsebini uporabljajo od dneva objave dalje. VZORČNO PODJETJE d.o.o. 14 37. člen Uredbe določa, da upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, podatke redno in sistematično obsežno spremljati, ali pa temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10. V kolikor vaša družba ni zajeta z navedenim členom, niste zavezani za imenovanje pooblaščene osebe za varstvo osebnih podatkov. 30 VARSTVO OSEBNIH PODATKOV V PODJETJU VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 4 UREDITEV POGODBENIH RAZMERIJ Z ZUNANJIMI SODELAVCI JAKA PREMZL 4.1 Namen Majhne družbe in podjetniki posamezniki se pogosto odločijo, da bodo glede določenih segmentov svojega poslovanja sklenili pogodbe z zunanjimi sodelavci. Razlog je v tem, da sami nimajo zadostnih znanj in usposobljenega kadra, da bi učinkovito uredili določeno področje poslovanja. Med temi področji prednjačijo področja s pravnega in davčnega svetovanja ter računovodenje. Podjetnik posameznik, ki dejavnost v večini primerov opravlja sam ali z enim do dvema zaposlenima, nima potrebnih virov, da bi skrbel še za področje računovodenja. Zato se odloči najeti računovodski servis, za katerega je prepričan, da bo uredil njegove bilance. Gre namreč za strokovne organizacije, ki se dnevno ukvarjajo s tem strokovnim področjem in bodo svoj del opravile veliko učinkoviteje kot sam podjetnik. Za svoje delo pa bodo te organizacije seveda potrebovale dostop do podatkov družbe ali podjetnika, ki jih je najel. 32 VARSTVO OSEBNIH PODATKOV V PODJETJU 4.2 Pravna podlaga Na tej točki se pogodbenika srečata s težavo, saj morata zadostiti pogojem, ki jih je postavila Splošna uredba o varstvu osebnih podatkov. Ta določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov. Pogodbenika sta zavezana upoštevati določila Splošne uredbe, saj je ta v skladu s pravom Evropske Unije neposredno uporabna. To pomeni, da države niso zavezane sprejeti izvedbenih zakonov, da bi slednja lahko veljala. Ker bosta torej pogodbenika upravljala z osebnimi podatki, morata ustrezno urediti medsebojno pogodbeno razmerje. Uredba natančno določa vsebino prej omenjene pogodbe, upravičenja ter obveznosti pogodbenikov. V izogib dodatnim stroškom, ki bi nastali, če bi podjetnik najel odvetnika, da mu pripravi pogodbo, smo v tem priročniku pripravili vzorec pogodbe, ki jo stranki le ustrezno prilagodita z vstavljanjem svojih podatkov. Osnutek pogodbe je sicer pripravljen kot pogodba med podjetnikom posameznikom15 (ki bo v našem primeru upravljalec s podatki) in družbo, ki se ukvarja z davčnimi storitvami. Smiselno enaka določila bi bila tudi v primeru, ko bi pogodbo sklepali z družbo, ki bi se ukvarjala s servisiranjem računalniške opreme ali katerimkoli drugim zunanjim sodelavcem. Osnutek smo pripravili na podlagi izkušenj s podjetniki, ki se v večini primerov odločijo za »outsourcing« storitev, ki zajemajo računovodske storitve. 15 Ali katerokoli družbo v pravno-organizacijski obliki, ki se lahko oblikujejo po Zakonu o gospodarskih družbah (ZGD-1). Ureditev pogodbenih razmerij z zunanjimi sodelavci 33 4.3 Vzorec pogodbe o obdelavi osebnih podatkov v nadaljevanju: Pogodba Opomba: Z ležečim tiskom so označeni podatki, ki jih vstavijo podjetja. »Poudarjamo, da ni nujno, da bo vaša pogodba zajemala vso navedeno vsebino. Zaradi abstraktnosti tega vzorca smo navedli več možnosti, med katerimi sami izbirate oziroma jih prilagodite glede na potrebe vašega podjetja.« Pogodbeni stranki sta: Pravna oseba OSEBA A, d.o.o. Naslov Mariborska cesta 010, 2000 Maribor Matična številka 8888888000 Davčna številka 88888888 ki jo zastopa zakoniti zastopnik: Janez Krajnc, direktor v nadaljevanju tudi: »Upravljavec« in »Oseba A«16 in Pravna oseba OSEBA B, d.o.o. Naslov Trg Leona Štuklja 001, 2000 Maribor Matična številka 8888888000 Davčna številka 88888888 ki jo zastopa zakoniti zastopnik: Tomaž Horvat, prokurist v nadaljevanju tudi: »Obdelovalec« in »Oseba B«. 17 16 Upravljalec je pravni subjekt, ki upravlja z osebnimi podatki. Za potrebe tega priročnika bo to največkrat s.p. (tudi d.o.o., d.d. in d.n.o.), ki bo želel vzpostaviti ustrezno politiko zasebnosti v svojem podjetju. 17 Obdelovalec je pravni subjekt, ki bo v skladu s »krovno pogodbo« imel dostop do osebnih podatkov, s katerimi razpolaga upravljalec. 34 VARSTVO OSEBNIH PODATKOV V PODJETJU I. Splošno 1. člen (namen Pogodbe) (1) Upravljavec in obdelovalec sklepata Pogodbo na podlagi Člena 28 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: »Uredba 2016/679«) z namenom, da se uredijo medsebojna upravičenja in obveznosti v zvezi z obdelavo osebnih podatkov, ki jo obdelovalec opravlja za upravljavca pri izvajanju Pogodbe o opravljanju storitev s področja pravnega svetovanja/računovodenja z dne 01.01.2010 (v nadaljevanju tudi: » Krovna pogodba«). (2) Pogodba določa: 1. vsebino in trajanje obdelave, naravo in namen obdelave, vrste osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter upravičenja in obveznosti upravljavca; 2. obveznosti obdelovalca do upravljavca. 2. člen (zakonitost obdelave) Upravljavec je dolžan zagotoviti zakonite podlage za obdelavo osebnih podatkov. Upravljavec izjavlja, da za vse osebne podatke, ki so predmet te Pogodbe, razpolaga z zakonitimi podlagami za obdelavo, kot jih določa Uredba 2016/679. II. Obdelava, osebni podatki, obveznosti in pravice upravljavca Ureditev pogodbenih razmerij z zunanjimi sodelavci 35 3. člen (vsebina obdelave)18 (1) Vsebina obdelave se nanaša na: − posameznike, ki so pri upravljavcu zaposleni kot delavci na podlagi pogodbe o zaposlitvi (v nadaljevanju: »delavci«); − posameznike, ki pri upravljavcu opravljajo delo ali zanj opravljajo storitve na podlagi pogodb civilnega prava (v nadaljevanju: »zaposleni po pogodbah civilnega prava«); 19 − posameznike, ki so upravljavčev poslovni partner (v nadaljevanju: »poslovni parterji«); 20 − posameznike, ki so upravljavčevi lastniki (v nadaljevanju: »lastniki«); 21 − druge posameznike, katerih osebni podatki so nujno potrebni za obdelavo osebnih podatkov posameznikov iz predhodnih alinej (v nadaljevanju: »drugi posamezniki«). (2) Obdelovalec bo od upravljalca prejete osebne podatke obdeloval izključno v imenu in za račun upravljalca in samo v okviru in obsegu potrebnem za izvajanje storitev po Krovni pogodbi. 4. člen (trajanje obdelave) Obdelovalec bo obdelavo opravljal v času veljavnosti Krovne pogodbe, ki je sklenjena za nedoločen čas z možnostjo enostranske odpovedi ali sporazumnim prenehanjem. 18 Kot smo že zapisali, v vzorcu navajamo več možnosti, med katerimi izbirate glede na potrebe lastnega podjetja. 19 Npr. na podlagi podjemne pogodbe. 20 Npr. kupci, dobavitelji, posojilojemalci, posojilodajalci, najemojemalci, najemodajalci 21 Npr. družbeniki 36 VARSTVO OSEBNIH PODATKOV V PODJETJU 5. člen (narava in namen obdelave) (1) Glavnina osebnih podatkov je splošne narave. Od podatkov posebne narave se zaradi izpolnjevanja zakonskih obveznosti s področja delovnega prava ter prava socialne varnosti obdelujejo podatki o zdravju delavcev, in sicer o tem, ali je delavec invalid in kategorija invalidnosti. (2) Nameni obdelave so: (a) obdelava za namene izvajanja pogodb, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, in izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodb: − obračunavanje dohodkov delavcev; 22 − obračunavanje dohodkov drugih oseb – plačila za delo ali storitve po pogodbah civilnega prava23 – in plačila, ki pripadajo lastnikom; − računovodenje24 – zajemanje podatkov o finančnih učinkih izvajanja pogodb v poslovne knjige in oblikovanje informacij za vodenje upravljavčevega poslovanja; (b) obdelava za namene izpolnjevanja zakonskih obveznosti, ki veljajo za upravljavca: − vodenje poslovnih knjig in priprava poročil za zunanje uporabnike skladno z določili predpisov, ki urejajo poslovanje gospodarskih družb in slovenskih računovodskih standardov; − obračunavanje davkov25 in obveznih prispevkov za socialno varnost; − vodenje evidenc in poročanje pristojnim državnim institucijam26 skladno z določili predpisov, ki urejajo poslovanje gospodarskih družb, davke in obvezne prispevke za socialno varnost ter državno statistiko; − dokumentiranje v davčnih zadevah skladno z določili predpisov, ki urejajo davčni postopek; − vodenje evidenc in dokumentiranje skladno z določili predpisov s področja delovnega prava ter prava socialne varnosti. 22 Plač in ostalih prejemkov 23 Npr. podjemna pogodba; pogodba o izvedbi avtorskega dela 24 Knjigovodstvo, finančno računovodstvo in stroškovno računovodstvo 25 Zlasti davek na dodano vrednost, davek od dohodkov pravnih oseb, dohodnina. 26 Zlasti Finančna uprava Republike Slovenije, Zavod za pokojninsko in invalidsko zavarovanje, Zavod za zdravstveno zavarovanje Slovenije, Agencija za javnopravne evidence in storitve. Ureditev pogodbenih razmerij z zunanjimi sodelavci 37 6. člen (vrste osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki) (1) Za namene izvajanja obdelave osebnih podatkov kategorije posameznikov »delavci« upravljavec obdelovalcu periodično ali po potrebi izroča naslednje vrste osebnih podatkov: 1. podatki iz evidenc na področju dela, kot so te določene z veljavnimi predpisi s področja delovnega prava ter prava socialne varnosti: − podatki iz evidence o zaposlenih delavcih, evidence o stroških dela in evidence o izrabi delovnega časa, kot je to navedeno v prilogi 1 Pogodbe. 2. podatki o lastnem vozilu delavca, 27 ki ga uporabi za službene namene; 3. podatki o vzdrževanem družinskem članu delavca za potrebe uveljavljanja olajšave pri izračunu akontacije dohodnine: − ime in priimek, − leto rojstva, − davčna številka, − sorodstveno razmerje. 4. podatki o delavčevem upniku, katerega terjatev se poplačuje z odtegljajem od plače delavca:28 − ime in priimek, − naslov stalnega oz. začasnega prebivališča29, − številka transakcijskega računa. 5. drugi podatki, ki so nujno potrebni za izvajanje obdelave skladno z nameni iz 5. člena Pogodbe. (2) Za namene izvajanja obdelave osebnih podatkov kategorije posameznikov »zaposleni po pogodbah civilnega prava« in »lastniki« upravljavec obdelovalcu periodično ali po potrebi izroča naslednje vrste osebnih podatkov: − ime in priimek, − naslov stalnega oz. začasnega prebivališča30, − davčna številka, 27 Registrska številka vozila. 28 Administrativne prepovedi 29 Ulica, hišna številka, kraj, poštna številka, država 30 Ulica, hišna številka, kraj, poštna številka, država 38 VARSTVO OSEBNIH PODATKOV V PODJETJU − enotna matična številka občana31 ali datum rojstva, če oseba nima EMŠO, − številka transakcijskega računa, na katerega se izplačujejo plačila po pogodbi, − podatki potrebni za obračun in izplačilo dohodka32, − podatki potrebni za obračun predpisanih obveznih dajatev33, − drugi podatki, ki so nujno potrebni za izvajanje obdelave skladno z nameni iz 5. člena Pogodbe. (3) Za namene izvajanja obdelave osebnih podatkov kategorije posameznikov »poslovni partnerji« upravljavec obdelovalcu periodično ali po potrebi izroča naslednje vrste osebnih podatkov: − ime in priimek, − naslov stalnega oz. začasnega prebivališča34, − davčna številka, če je izvajanje pogodbe povezano z izplačilom dohodka fizični osebi, ki podlega obračunu davkov in/ali prispevkov, − številka transakcijskega računa, na katerega se izplačuje plačilo po pogodbi, − podatki, potrebni za obračun in izplačilo dohodka35, − drugi podatki, ki so nujno potrebni za izvajanje obdelave skladno z nameni iz 5. člena Pogodbe. Vrste osebnih podatkov iz tega odstavka upravljavec obdelovalcu praviloma izroča v sklopu zapisov iz knjigovodskih listin, zlasti v izdanih računih, izdanih dobropisih, izpiskih transakcijskega računa, listinah o gotovinskem poslovanju, pobotnih izjavah in obračunih potnih nalogov. (4) Vrsta podatkov za kategorijo posameznikov »drugi posamezniki« je odvisna od okoliščin primera, zato upravljavec in obdelovalec teh vrst podatkov vnaprej ne moreta določno opredeliti. Upravljavec in obdelovalec bosta zato vrste podatkov za kategorijo posameznikov »drugi posamezniki« določala sproti v dokumentirani obliki v odvisnosti od potrebe po obdelavi, pri čemer bosta upoštevala načelo »najmanjši obseg podatkov«. 31 EMŠO 32 Npr. vrednost opravljenega dela po podjemni pogodbi 33 Prispevki, dohodnina 34 Ulica, hišna številka, kraj, poštna številka, država 35 Npr. znesek najemnine Ureditev pogodbenih razmerij z zunanjimi sodelavci 39 (5) Za izročene podatke iz 1. do 4. odstavka tega člena se štejejo tudi podatki, ki jih obdelovalec ustvari pri obdelavi, ki jo opravlja za upravljavca, na podlagi podatkov, prejetih od upravljavca, to so npr. : − podatek o znesku bruto plače in nadomestila plače, ki ga obdelovalec pri mesečnem obračunu dohodkov izračuna na podlagi podatkov o znesku osnovne plače, izrabi delovnega časa, višini dodatka na delovno dobo in znesku plače iz naslova uspešnosti; − izpis stanja terjatev do kupcev, ki ga obdelovalec za upravljavca pripravi na podlagi v poslovnih knjigah vsebovanih podatkov o izdanih računih in plačilih na transakcijski račun oz. gotovinskih plačilih. III. Obveznosti obdelovalca do upravljavca 7. člen (obdelava po navodilih upravljavca) (1) Obdelovalec bo osebne podatke, ki jih je prejel v obdelavo s strani upravljavca, obdeloval samo po dokumentiranih navodilih upravljavca. Za dokumentirano navodilo upravljavca se štejejo navodila v pisni obliki in navodila prejeta po elektronski pošti. Če obdelovalec meni, da je posamezno navodilo upravljavca v nasprotju s predpisi s področja varstva osebnih podatkov, o tem nemudoma obvesti upravljavca. (2) Obdelava po dokumentiranih navodilih upravljavca velja tudi za morebitne potrebne prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če tak prenos obdelovalcu nalagata pravo Unije ali pravo države članice, ki velja za obdelovalca. V slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu. 8. člen (zavezanost k zaupnosti) (1) »Zaupnost« za namene Pogodbe pomeni, da osebni podatki niso na voljo nepooblaščenim osebam, zlasti da se nepooblaščenim osebam ne dajejo v obdelavo in da se nepooblaščenim osebam onemogoča obdelava (dostop). (2) Obdelovalec se zavezuje, da bodo zaposleni in drugi posamezniki, ki opravljajo dela ali naloge obdelave osebnih podatkov, vse s strani upravljavca 40 VARSTVO OSEBNIH PODATKOV V PODJETJU prejete osebne podatke za neomejen čas in tudi po prenehanju veljavnosti Pogodbe obravnaval kot zaupne, razen v primeru, če bi to bilo v nasprotju s pravom Unije ali pravom države članice, ki velja za obdelovalca. 9. člen (ukrepi za varnost obdelave) (1) Ukrepi za varnost obdelave obsegajo ukrepe, s katerimi se preprečuje slučajno ali namerno nepooblaščeno uničenje osebnih podatkov, njihove spremembe ali izgube in nepooblaščena obdelava. (2) Obdelovalec se zavezuje, da bo izvajal tehnične in organizacijske ukrepe, ki izhajajo iz Pogodbe in morebitnih aneksov k tej pogodbi. (3) Obdelovalec izvaja naslednje ukrepe za varnost obdelave: − prostor, v katerem se obdelujejo osebni podatki, je v primeru daljše obdelovalčeve odsotnosti iz prostora36 zaklenjen; − papirji, ki vsebujejo osebne podatke, se ne puščajo na vidnem mestu; − vstop v osebne računalnike, na katerih se obdelujejo osebni podatki, je možen samo z geslom; v primeru prenehanja dela z računalnikom se opravi odjava iz računalnika oz. se računalnik izklopi; − vstop v programsko opremo, s pomočjo katere se izvaja obdelava osebnih podatkov37, je možen samo z geslom, v primeru prenehanja dela s programsko opremo se opravi odjava iz programske opreme; − osebni računalniki, na katerih se obdelujejo osebni podatki, so varovani z antivirusnim programom, ki se redno posodablja; − za osebne podatke v elektronski obliki in za tekoče rezultate njihove obdelave v elektronski obliki se izdeluje varnostna kopija na trdem disku osebnega računalnika in/ali na prenosnem mediju; − seznam vstopnih/dostopnih gesel se hrani ločeno samo v fizični obliki v obliki šifriranega zapisa; − z zunanjimi izvajalci, ki za obdelovalca opravljajo storitve servisiranja in podpore na podatkovnih enotah, napravah ali programski opremi, ki tehnično omogočajo dostop do osebnih podatkov, se po predhodnem pisnem dovoljenju upravljavca sklene pogodba o obdelavi podatkov. Kadar zunanji izvajalec podporo zagotavlja z uporabo programske 36 Odsotnost, ki je daljša od 15 minut. 37 Program za vodenje poslovnih knjig Ureditev pogodbenih razmerij z zunanjimi sodelavci 41 opreme za oddaljen dostop do naprave informacijske tehnologije, ga obdelovalec pri tem nadzoruje; − nepotrebni in odpadni nosilci osebnih podatkov (papir, trdi diski, USB ključki), na katerih se hranijo ali so se hranili osebni podatki, se ne odtujijo38, dokler na njih vsebovani podatki niso nepovratno izbrisani ali uničeni. Nepotrebni papirji, ki vsebujejo osebne podatke, se sproti uničujejo z rezalnikom za papir. Kadar obstaja potreba po uničenju večje količine papirja z osebnimi podatki, se po predhodnem soglasju upravljavca za uničevanje dokumentacije najame zunanjega strokovnjaka, s katerim se sklene tudi ustrezna pogodba o obdelavi osebnih podatkov. 10. člen (zaposlitev drugih obdelovalcev – podobdelovalcev) (1) Obdelovalec za namene obdelave podatkov, ki jo opravlja za upravljavca, ne bo zaposloval drugih obdelovalcev (v nadaljevanju: »podobdelovalcev«) brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca v najkrajšem možnem času in brez nepotrebnega odlašanja obvesti o vseh nameravanih spremembah glede zaposlitve podobdelovalcev ali njihove zamenjave. (2) Obdelovalec izbira podobdelovalce po lastni presoji. Upravljavec ima pravico nasprotovati izbranemu podizvajalcu in ima v primeru, če obdelovalec vztraja pri izbiri tega podobdelovalca, pravico odpovedati Pogodbo in pogodbo iz 1. odstavka 1. člena Pogodbe brez odpovednega roka s takojšnjim učinkom. (3) Obdelovalec mora v primeru zaposlovanja podobdelovalca s slednjim skleniti pogodbo o obdelavi osebnih podatkov, s katero ga zaveže k spoštovanju enakih ali strožjih standardov varstva osebnih podatkov, kot jih zahteva Pogodba. Obdelovalec je pogodbo s podobdelovalcem pred njeno sklenitvijo dolžan predložiti v vpogled upravljavcu. 38 Odložijo med smeti, prodajo, podarijo. 42 VARSTVO OSEBNIH PODATKOV V PODJETJU 11. člen (posebno dovoljenje za zaposlitev podobdelovalcev) Upravljavec daje posebno soglasje, da obdelovalec za potrebe servisiranja in podpore podatkovnih enot, naprav in programske opreme, ki jo uporablja pri obdelavi, zaposluje naslednje podobdelovalce: − podpora programske opreme za obračun plačil: Oseba C, d.o.o. − servisiranje podatkovnih enot in naprav: Nejc Horvat s.p. 12. člen (pomoč upravljavcu pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika) Obdelovalec ob upoštevanju narave obdelave v okviru svojih zmožnosti z ustreznimi tehničnimi in organizacijskimi ukrepi pomaga upravljavcu pri izpolnjevanju njegovih obveznosti v zvezi z uresničevanjem pravic posameznikov, na katere se osebni podatki nanašajo, zlasti: − pri oblikovanju preglednih informacij, sporočil in načinov za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki (členi 12 do 14 Uredbe 2016/679); − pri uresničevanju pravice posameznika do dostopa do podatkov, ki se nanašajo nanj (člen 15 Uredbe 2016/679); − pri uresničevanju pravice posameznika do popravka (člen 16 Uredbe 2016/679); − pri uresničevanju pravice posameznika do izbrisa oziroma t. i. pozabe (člen 17 Uredbe 2016/679); − pri uresničevanju pravice posameznika do omejitve obdelave (člen 18 Uredbe 2016/679); − pri uresničevanju pravice posameznika do prenosljivosti podatkov (člen 20 Uredbe 2016/679); − pri uresničevanju pravice posameznika do ugovora (člen 21 Uredbe 2016/679); − pri uresničevanju pravic posameznika v zvezi z avtomatiziranim odločanjem na podlagi profila (člen 22 Uredbe 2016/679). Ureditev pogodbenih razmerij z zunanjimi sodelavci 43 13. člen (pomoč upravljavcu pri varnosti osebnih podatkov) (1) Obdelovalec ob upoštevanju narave obdelave in informacij, ki so mu dostopne, pomaga upravljavcu pri izpolnjevanju naslednjih obveznosti: − pri zagotavljanju varnosti obdelave z izvajanjem ustreznih tehničnih in organizacijskih ukrepov (člen 32 Uredbe 2016/679); − pri uradnem obveščanju nadzornega organa o kršitvi varstva osebnih podatkov (člen 33 Uredbe 2016/679); − pri sporočanju posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov (člen 34 Uredbe 2016/679); − pri izvedbi ocene učinka v zvezi z varstvom osebnih podatkov pred obdelavo (člen 35 Uredbe 2016/679); − pri predhodnem posvetovanju z nadzornim organom po opravljeni oceni učinka v zvezi z varstvom osebnih podatkov (člen 36 Uredbe 2016/679). (2) V primeru kršitve varstva osebnih podatkov obdelovalec po seznanitvi s kršitvijo brez nepotrebnega odlašanja uradno obvesti upravljavca. 15. člen (obveznosti po zaključku storitev obdelave) (1) Obdelovalec v skladu z odločitvijo upravljavca vse osebne podatke po izvršitvi posamezne storitve obdelave, najpozneje pa ob prenehanju pogodbe,: − izbriše39 oziroma uniči40 oziroma − jih obdelovalcu vrne, ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov pri obdelovalcu. (2) Če pravo Unije ali pravo države članice ne predpisuje shranjevanja osebnih podatkov pri obdelovalcu, ima obdelovalec pravico do zavrnitve odločitve upravljavca o izbrisu oziroma uničenju osebnih podatkov osebnih podatkov, če meni, da je odločitev upravljavca v nasprotju z zakonskimi obveznostmi, ki veljajo za upravljavca, za kršitev katerih se po predpisih lahko kaznuje tudi obdelovalec. 39 Podatki v elektronski obliki 40 Podatki v listinski obliki 44 VARSTVO OSEBNIH PODATKOV V PODJETJU (3) Knjigovodske listine in s tem v njih vsebovani osebni podatki, ki jih je obdelovalec za namene obdelave prejel od upravljavca, se upravljavcu vračajo sproti in sicer enkrat na leto po predložitvi predpisanih letnih poročil in obračunov leta, na katerega se knjigovodske listine nanašajo. (4) V primeru vračila osebnih podatkov upravljavec in obdelovalec o tem sestavita zapisnik, ki vsebuje zlasti navedbe o datumu vračila, obliki vrnjenih osebnih podatkov, vrstah vrnjenih osebnih podatkov in obsegu vrnjenih osebnih podatkov. (5) V primeru izbrisa oziroma uničenja osebnih podatkov in uničenja obstoječih kopij, se izbris oziroma uničenje opravi v prisotnosti upravljavca. Stroške uničenja osebnih podatkov v elektronski obliki nosi obdelovalec, stroške uničenja podatkov v listinski obliki nosi upravljavec. 15. člen (dajanje informacij in sodelovanje) Obdelovalec se zavezuje, da bo upravljavcu dal na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz člena 28 Uredbe 2016/679, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogočil izvajanje revizij, tudi pregledov, in pri njih sodeloval. IV. Končne določbe 16. člen (obseg Pogodbe) Pogodba je sestavljena iz besedila Pogodbe, ki vsebuje člene od 1 do vključno 19 ter priloge. 17. člen (spremembe Pogodbe) Spremembe Pogodbe upravljavec in obdelovalec določata v pisni obliki z aneksom, ki je podpisan s strani obeh pogodbenih strank. Ureditev pogodbenih razmerij z zunanjimi sodelavci 45 18. člen (reševanje sporov) Morebitne spore bosta pogodbeni stranki poskušali rešiti sporazumno. Če to ne bo mogoče, je za reševanje pristojno stvarno pristojno sodišče v Mariboru. 19. člen (veljavnost Pogodbe) (1) Pogodba začne veljati z dnem, ko jo podpišeta zakonita zastopnika obeh pogodbenih strank. Pogodba je sestavljena/napisana v dveh (2) enakih papirnih izvodih, ki se oba štejeta za izvirnik, od katerih prejme vsaka pogodbena stranka po en izvod. (2) Pogodbeno razmerje traja dokler traja Krovna pogodba. Upravljavec Obdelovalec Oseba A d.o.o. Oseba B d.o.o. Janez Krajnc, direktor Tomaž Horvat, prokurist Maribor, dne: _______________ Maribor, dne: _______________ 46 VARSTVO OSEBNIH PODATKOV V PODJETJU PRILOGA Vrste osebnih podatkov iz 1. točke 6. člena Pogodbe – kategorija posameznikov »delavci«, podatki iz evidenc na področju dela Evidenca o zaposlenih delavcih a) podatki o delavcu: − osebno ime, − datum rojstva, če oseba nima EMŠO, − kraj rojstva, − država rojstva, če je kraj rojstva v tujini, − enotna matična številka občana, − davčna številka, − državljanstvo, − naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), − naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), − izobrazba, − ali je delavec invalid, − kategorija invalidnosti, − ali je delavec delno upokojen, − ali delavec opravlja dopolnilno delo pri drugem delodajalcu, − ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, − naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj). b) podatki o delovnem dovoljenju delavca (tujci): − vrsta delovnega dovoljenja, − datum izdaje delovnega dovoljenja, Ureditev pogodbenih razmerij z zunanjimi sodelavci 47 − datum izteka delovnega dovoljenja, − številka delovnega dovoljenja, − organ, ki je izdal delovno dovoljenje. c) podatki o sklenjeni pogodbi o zaposlitvi: − datum sklenitve pogodbe o zaposlitvi, − datum nastopa dela, − vrsta sklenjene pogodbe o zaposlitvi, − razlog za sklenitev pogodbe o zaposlitvi za določen čas, − poklic, ki ga opravlja delavec, − strokovna usposobljenost, potrebna za opravljanje del in nalog delovnega mesta, za katero je delavec sklenil pogodbo o zaposlitvi, − naziv delovnega mesta oziroma podatki o vrsti dela, za katerega je delavec sklenil pogodbo o zaposlitvi, − število ur tedenskega rednega delovnega časa, − razporeditev delovnega časa, − kraj, kjer delavec opravlja delo, − ali pogodba o zaposlitvi delavca vsebuje konkurenčno klavzulo. č) podatki o prenehanju pogodbe o zaposlitvi: − datum prenehanja pogodbe o zaposlitvi, − način prenehanja pogodbe o zaposlitvi. Evidenca o stroških dela a) podatki o delavcu: − številka transakcijskega računa, na katerega se izplačujejo plače in ostali prejemki. 48 VARSTVO OSEBNIH PODATKOV V PODJETJU b) podatki o plačah in nadomestilih plač, ki bremenijo delodajalca: − plače za tekoči mesec v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: − bruto plača za delo s polnim delovnim časom, − bruto plača za delo s krajšim delovnim časom od polnega, − bruto izplačila za delo preko polnega delovnega časa (nadurno delo), − bruto nadomestila plač, ki bremenijo delodajalca. − zaostala izplačila in nadomestila plač, ki bremenijo delodajalca, izplačana v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: − bruto zaostala izplačila in nadomestila plač. − izredna izplačila (izplačilo po drugih osnovah, ki ne predstavlja redne mesečne plače): − bruto izplačila na podlagi osebne delovne uspešnosti, − dodatna denarna izplačila iz naslova uspešnosti poslovanja. − neto plača. c) podatki o drugih stroških dela: − povračila stroškov v zvezi z delom, − regres za letni dopust, − jubilejna nagrada, − dodatna plačila, namenjena socialni varnosti delavcev, − plačila za prostovoljno pokojninsko zavarovanje, − solidarnostna pomoč, − odpravnina, − stroški izobraževanja delavcev, − davki na izplačane plače, − ostali stroški dela. Ureditev pogodbenih razmerij z zunanjimi sodelavci 49 č) podatki o zakonsko določenih prispevkih za socialno varnost: − prispevki v breme delodajalca za pokojninsko in invalidsko zavarovanje, zdravstveno zavarovanje, starševsko varstvo in zaposlovanje, − prispevki v breme zavarovanca za pokojninsko in invalidsko zavarovanje, zdravstveno zavarovanje, starševsko varstvo in zaposlovanje. Evidenca o izrabi delovnega časa − podatki o številu ur, − skupno število opravljenih delovnih ur s polnim delovnim časom in s krajšim delovnim časom od polnega z oznako vrste opravljenega delovnega časa, − opravljene ure v času nadurnega dela, − neopravljene ure, za katere se prejema nadomestilo plače iz sredstev delodajalca, z oznako vrste nadomestila, − neopravljene ure, za katere se prejema nadomestilo plače v breme drugih organizacij ali delodajalcev in organov, z oznako vrste nadomestila, − neopravljene ure, za katere se ne prejema nadomestilo plače, število ur pri delih na delovnem mestu, za katera se šteje zavarovalna doba s povečanjem, oziroma na katerih je obvezno dodatno pokojninsko zavarovanje, z oznako vrste statusa. 50 VARSTVO OSEBNIH PODATKOV V PODJETJU VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 5 OBDELAVA OSEBNIH PODATKOV NA PODLAGI PRIVOLITVE URBAN KRALJ 5.1 Pogoji za veljavno privolitev Podjetja bodo velikokrat obdelovala osebne podatke ravno na podlagi privolitve. Do tega lahko pride pri spletnem marketingu, ko želite pošiljati elektronske novice (angl. newsletter), na sejmih, če zbirate kontaktne naslove, kadar želite objaviti fotografijo zaposlenih itd. Pri tem je potrebno biti pozoren, saj Splošna uredba o varstvu podatkov določa precej stroge standarde, da dejanje sodi pod privolitev in s tem obstaja ustrezna podlaga za obdelavo osebnih podatkov. 41 41 Tako na primer za privolitev ne šteje več, če na sejmu pridobite le elektronski naslov osebe, na primer na način, da ta oseba vpiše svoj elektronski naslov na list papirja. S tem niso izpolnjene vse štiri točke privolitve po Uredbi, ki so razložene v nadaljevanju. 52 VARSTVO OSEBNIH PODATKOV V PODJETJU Za privolitev posameznika se po Splošni uredbi o varstvu podatkov tako šteje izjava, ki je: − prostovoljna, − izrecna, − informirana in − nedvoumna. 42 5.1.1 Prostovoljnost Za prostovoljno se tako šteje izjava, pri kateri se posameznik svobodno odloči in privoli v obdelavo osebnih podatkov. Če se posameznik čuti prisiljenega ali pa se o tem ne more pogajati, se domneva, da privolitev ni prostovoljna. Smernice, ki jih je pripravila Delovna skupina za varstvo podatkov, navajajo tudi primer takšne neprimerne prakse: »Mobilna aplikacija za urejanje slik od uporabnikov zahteva vklop GPS signala za uporabo aplikacije, poleg tega pa zbira osebne podatke za namene oglaševanja. Nobena od teh stvari ni nujna za samo aplikacijo (ker gre za aplikacijo za urejanje slik), in če je uporabnik ne more uporabljati, brez da dovoli obdelavo osebnih podatkov, ne moremo govoriti o prostovoljni privolitvi.«43 O prostovoljnosti tako ne moremo govoriti, kadar zavrnitev za obdelavo osebnih podatkov za posameznika prinaša neke druge škodljive posledice. Če bi na primer banka uporabnike zaprosila za privolitev za obdelavo osebnih podatkov v marketinške namene in bi zavrnitev posameznika povzročila višje stroške za bančne storitve, zaprtje računa ali kaj podobnega, o prostovoljnosti ni govora (povzeto po Delovna skupina za varstvo podatkov iz člena 29: Guidelines on Consent under Regulation 2016/679, stran 5). 42 Tako določa 11. točka 4. člena Splošne uredbe o varstvu podatkov, ki v celoti določa naslednje: »Privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.« 43 »[Example 1] A mobile app for photo editing asks its users to have their GPS localisation activated for the use of its services. The app also tells its users it will use the collected data for behavioural advertising purposes. Neither geo-localisation or online behavioural advertising are necessary for the provision of the photo editing service and go beyond the delivery of the core service provided. Since users cannot use the app without consenting to these purposes, the consent cannot be considered as being freely given.« Obdelava osebnih podatkov na podlagi privolitve 53 5.1.2 Izrecnost 6(1)(a) člen Splošne uredbe o varstvu podatkov določa, da posameznik privoli v obdelavo njegovih osebnih podatkov zaradi enega ali več določenih namenov. Tu se kaže izrecnost privolitve, ki v bistvu pomeni to, da lahko obdelovalec podatke obdeluje samo za namene, za katere pridobi izrecno soglasje. Če se ti tekom časa spremenijo, je potrebno pridobiti novo soglasje za nove namene; če obstaja več namenov, za katere bi se obdelovali podatki, je potrebno pridobiti izrecno soglasje za vsakega izmed njih. To pomeni tudi, da se lahko posameznik odloči in da izrecno soglasje le za določene namene, obdelovalec pa mu mora to omogočiti (s tem, da se zahteva izrecno soglasje za vsak namen ločeno in ne v celoti) (povzeto po Delovna skupina za varstvo podatkov iz člena 29: Guidelines on Consent under Regulation 2016/679, stran 12–13, in Bencak, U: Varstvo osebnih podatkov delavca v luči Splošne uredbe o varstvu osebnih podatkov, magistrsko delo, Pravna fakulteta, Maribor, 2019, stran 7). 5.1.3 Informiranost Splošna uredba o varstvu podatkov med drugim kot pogoj za primerno obdelavo osebnih podatkov določa tudi informiranost. S tem je mišljeno, da se posamezniku pred privolitvijo omogoči dostop do informacij, ki lahko vplivajo na njegovo odločitev o tem, ali sploh in v kolikšni meri (za katere namene) dati soglasje. V nasprotnem primeru je privolitev neveljavna in na podlagi tega je obdelovanje podatkov v nasprotju s predpisi. Splošna uredba o varstvu podatkov ne določa predpisane oblike za predložitev informacij, prav tako sama uredba ne določa, kaj se šteje kot zadostna informiranost uporabnikov. Delovna skupina je v ta namen izoblikovala minimalne zahteve44, da se privolitev šteje za informirano: 1. identiteta upravljalca, 2. vsi nameni, za katere se privolitev zahteva, 44 1. the controller’s identity, 2. the purpose of each of the processing operations for which consent is sought, 3. what (type of) data wil be col ected and used, 4. the existence of the right to withdraw consent, 5. information about the use of the data for decisions based solely on automated processing, including profiling, in accordance with Article 22 (2) and 6. if the consent relates to transfers, about the possible risks of data transfers to third countries in the absence of an adequacy decision and appropriate safeguards (Article 49 (1a)). 54 VARSTVO OSEBNIH PODATKOV V PODJETJU 3. vrste podatkov, ki bi se obdelovali, 4. obstoj možnosti za preklic privolitve, 5 . informacije glede uporabe podatkov na podlagi avtomatske obdelave v skladu s 22 (2). členom, 6. kadar se privolitev nanaša na prenos podatkov, tveganje v zvezi s prenosom podatkov v tretje države zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov. 45 5.1.4 Nedvoumnost Četrti in zadnji pogoj za veljavno privolitev je nedvoumnost. Splošna uredba o varstvu podatkov določa, 46 da mora biti privolitev dana z izjavo ali jasnim pritrdilnim dejanjem posameznika, ki da jasno vedeti, da se strinja z obdelavo podatkov. To je lahko dano v pisni obliki, ustno ali z elektronskimi sredstvi. Uvodna izjava Splošne uredbe o varstvu podatkov določa celo primere, kako je lahko privolitev dana: »To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. « 45 Povzeto po Delovna skupina za varstvo podatkov iz člena 29: Guidelines on Consent under Regulation 2016/679, stran 13. 46 11. odstavek 4. člena Splošne uredbe o varstvu podatkov Obdelava osebnih podatkov na podlagi privolitve 55 5.2 Primer obrazca za privolitev47 Ker je za nas Vaša zasebnost bistvenega pomena in ker bi radi še naprej komunicirali z Vami, potrebujemo Vašo privolitev za nadaljnjo obdelavo Vaših osebnih podatkov v skladu s trenutno veljavno zakonodajo. Prosimo Vas, da izpolnite naslednje: Ime in priimek: _____________________________________________ Naslov: ___________________________________________________ Elektronski naslov: __________________________________________ Telefonska številka: __________________________________________ S podpisom tega obrazca izjavljam, da se strinjam z obdelavo zgoraj navedenih osebnih podatkov za naslednje namene: ☐ namen #1 ☐ namen #2 ☐ namen #3 Hkrati dovoljujem, da me obveščate po  pošti  telefonu ali  e-pošti. Datum:_________________________Podpis:_________________________ Soglasje lahko podate za vse namene, lahko pa tudi samo za določene ali nobenega. Če ne podate soglasja za posamezen namen, potem obdelava podatkov za ta namen ni možna in dopustna (v takšnem primeru Vam morda ne bomo mogli pošiljati informacij o novostih v ponudbi in ekskluzivnih dogodkih), razen v primerih, ko je obdelava podatkov potrebna na podlagi zakona. Več o obdelavi osebnih podatkov lahko najdete na ____________ (povezava do politike zasebnosti). Zavezujemo se, da bomo vse zbrane podatke obdelovali zgolj v okviru naštetih namenov upravljanja oz. obdelave osebnih podatkov ter v skladu z Zakonom o varstvu osebnih podatkov ter drugo zadevno področno zakonodajo kot tudi 47 Ta obrazec služi samo kot primer in ni neposredno uporabljiv. Najbolje je, da obrazcu priložite tudi politiko zasebnosti organizacije, saj so tako posamezniki popolnoma informirani o svojih pravicah. 56 VARSTVO OSEBNIH PODATKOV V PODJETJU skladno z Uredbo (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov (GDPR). V primeru vseh vprašanj, nejasnosti, uveljavljanja vaših pravic iz področja osebnih podatkov se obrnite na kontaktno osebo upravljalca na naslov: ________________________ VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 6 SPLETNI MARKETING URBAN KRALJ 6.1 Uvod Z razvojem spleta so se možnosti oglaševanja podjetij enormno povečale. Danes se nenehno pojavljajo nove platforme, metode in načini, na katere poskušajo iznajdljivi podjetniki posameznikom predstaviti in približati svoje proizvode. Zaradi ogromnega obsega takšnih promocijskih vsebin obstajajo tudi na tem področju zakonodaje pravila, ki se jih je potrebno držati. V tem poglavju priročnika bodo predstavljeni primeri zakonodajno ustreznega spletnega marketinga, poleg tega pa tudi bistvena načela varstva osebnih podatkov, katerih se je potrebno vselej držati. 6.2 Obdelava osebnih podatkov Kaj so osebni podatki, kaj se šteje kot obdelava, za koga veljajo pravila glede obdelave in shranjevanja le-teh, so vprašanja, ki so obdelana v 2. poglavju priročnika. Dejstvo je, da so osebni podatki del človekove zasebnosti, na katerega včasih pozabimo in ga zanemarimo, kljub temu da lahko vsebujejo marsikatero pomembno, včasih tudi občutljivo informacijo o posamezniku. Z razvojem sodobnega spleta in informacijskih tehnologij ter z množično 58 VARSTVO OSEBNIH PODATKOV V PODJETJU komunikacijo sta se tako potreba kot tudi možnost shranjevanja in obdelovanja osebnih podatkov v podatkovnih bazah hipoma močno povečali, s tem pa se je pojavila tudi potreba po čim hitrejšem in čim obsežnejšem varstvu le-teh. Že Ustava Republike Slovenije 48 v 38. členu zagotavlja varstvo osebnih podatkov49, kljub temu pa imamo tako na državnem50 kot evropskem51 nivoju še dodatno zakonodajo, ki tematiko ureja precej podrobneje. Evropska unija je s Splošno uredba o varstvu podatkov posodobila že zastarelo zakonodajo, pri čemer Splošna uredba o varstvu podatkov ureja varstvo osebnih podatkov posameznikov in seveda velja za vse države članice. Splošna uredba o varstvu podatkov je prinesla tudi nekaj novosti, ki so pomembne za elektronsko komunikacijo podjetij s posamezniki in bodo zato predstavljene v tem poglavju Priročnika. 6.3 Pravna podlaga Osnovno pravilo glede obdelave osebnih podatkov je, da se lahko obdelujejo le v primerih, ko obstaja za to veljavna pravna podlaga. V Sloveniji Ustava določa, da zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Zakon o varstvu osebnih podatkov (v nadaljevanju: ZVOP-1) pa v 8. členu določa splošno pravno podlago za obdelavo osebnih podatkov, in sicer z naslednjo določbo: »(1) Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. (2) Namen obdelave osebnih podatkov mora biti določen v zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.« 48 Ustava Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97–UZS68, 66/00–UZ80, 24/03–UZ3a, 47, 68, 69/04–UZ14, 69/04–UZ43, 69/04–UZ50, 68/06–UZ121,140,143, 47/13–UZ148, 47/13– UZ90,97,99 in 75/16–UZ70a). 49 Zagotovljeno je varstvo osebnih podatkov. Prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi. 50 Pri nas Zakon o varstvu osebnih podatkov (Uradni list RS, št. 94/07). 51 S 25. 5. 2018 je v veljavo vstopila Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov). Spletni marketing 59 ZVOP-1 v nadaljevanju določa še podrobnejšo pravno podlago v za nas (kot podjetnika) zanimivem 10. členu, kjer določa pravno podlago v zasebnem sektorju. Ta razširja splošno pravno podlago iz primerov zakona ali soglasja še na situacije sklenitve pogodbe ali faze pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe, in na primere, kadar je obdelava osebnih podatkov nujna zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki. 52 Te štiri pravne podlage Splošna uredba o varstvu podatkov še dodatno razširja in v 6. členu določa, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev: − posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov zaradi enega ali več določenih namenov; − obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe; − obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca; − obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe; − obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu; − obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine 52 10. člen ZVOP-1: (1) Osebni podatki v zasebnem sektorju se lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. (2) Ne glede na prejšnji odstavek se lahko v zasebnem sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe. (3) Ne glede na prvi odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki. 60 VARSTVO OSEBNIH PODATKOV V PODJETJU posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Kot je razvidno iz šestega člena Splošne uredbe o varstvu podatkov, je razen prve točke zmeraj govora o »potrebni« obdelavi. To pomeni, da je obdelava zakonita v primerih, kadar je obdelava dejansko nujna, da se doseže ena od naštetih možnosti. Povedano drugače, če se lahko doseže popolnoma enak namen brez uporabe osebnih podatkov, obdelava ni zakonita. Za potrebe spletnega marketinga se bomo osredotočili na prvo točko 6. člena Splošne uredbe o varstvu podatkov, in sicer na situacije, ko je podlaga za obdelavo osebnih podatkov soglasje posameznika. Za podjetja nasploh lahko prideta v poštev tudi še druga in šesta točka. Druga točka je velikokrat uporabna v povezavi z zbiranjem osebnih podatkov delavcev in s tem povezano pogodbo o zaposlitvi, kar je opisano v tretjem poglavju priročnika, ali pa v zvezi s pogodbami z zunanjimi sodelavci, kar je opisano v četrtem poglavju. Kot že rečeno, se bomo za potrebe spletnega marketinga osredotočili na prvo točko, torej soglasje posameznika, na koncu pa omenili še šesto, in sicer zakoniti interes, ki je kot najbolj fleksibilna točka večkrat narobe interpretirana, a po drugi strani omogoča legalno obdelavo osebnih podatkov v določenih situacijah tudi brez izrecne privolitve. 6.3.1 Soglasje posameznika Za potrebe spletnega marketinga je najbolje, da se od posameznika pridobi ustrezna privolitev. V tem primeru ni nobene dileme, ali je obdelava v skladu z zakonom, prav tako je privolitev precej preprosto dokazati. Za privolitev posameznika se po Splošni uredbi o varstvu podatkov šteje izjava, ki je: − prostovoljna, − izrecna, − informirana in − nedvoumna. Soglasje posameznika je detajlno obrazloženo v prejšnjem poglavju (6. poglavje). Spletni marketing 61 6.3.2 Zakonit interes Zakonit interes je ena od možnih pravnih podlag po Splošni uredbi o varstvu podatkov (6 (1) (f) člen Uredbe) in za potrebe spletnega marketinga poleg privolitve najbolj uporabna. V primeru, da se ne pridobi privolitve posameznika, je zakonit interes tista »niša«, preko katere se lahko zakonito obdeluje osebne podatke, seveda ob predpostavki, da so izpolnjeni pogoji za zakonit interes. Glede slednjih je bilo precej nejasnosti in nesoglasij, zadeve pa je precej olajšala odločitev Sodišča Evropske unije v zadevi Rigas (sodba Sodišča Evropske unije: Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA "Rīgas satiksme", C‑13/16, ECLI:EU:C:2017:336 z dne 4. 5. 2017). Sodišče je svojo odločitev obrazložilo s tristopenjskim testom, s katerim je mogoče ugotoviti, ali gre za zakonit interes ali ne. Zakonit interes upravljalca tako obstaja, kadar: − si upravljavec ali tretja stranka ali stranke, ki so jim osebni podatki posredovani, prizadeva za zakonit interes; − je obdelava osebnih podatkov potrebna za uresničitev zakonitega interesa, ki se mu sledi; − ne prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanaša varstvo podatkov. V prvi točki je treba preveriti, s kakšnim namenom torej upravljalec zbira in obdeluje osebne podatke in ali zasleduje zakonit interes. Namenov, tudi zakonitih, obstaja mnogo, pri čemer ni izključeno, da so ti ekonomskega značaja. 53 Pri drugi točki gre za vprašanje, ali je obdelava podatkov nujno potrebna, da se uresniči namen in zakonit interes. Če je možno zakonit interes doseči tudi na kak alternativen način, brez obdelave podatkov, le-ta ne prestane testa in posledično obdelava ni zakonita. V tretji točki gre za test sorazmernosti med pravicami posameznikov, katerih osebni podatki bi se obdelovali in pravicami upravljalca. Uvodna izjava Splošne uredbe o varstvu podatkov med drugim v 47. točki določa, da » interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave.« Drugače povedano, kadar 53 Za podrobnejšo razlago poglejte smernice informacijskega pooblaščenca Velike Britanije: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection- regulation-gdpr/legitimate-interests/what-is-the-legitimate-interests-basis/#three_part_test 62 VARSTVO OSEBNIH PODATKOV V PODJETJU posameznik razumno ne more pričakovati obdelave njegovih osebnih podatkov, takšna obdelava ne bi prestala tristopenjskega testa zakonitega interesa. Nasprotno pa bi lahko ugotovili obstoj zakonitega interesa, kadar posameznik, na katerega se nanašajo osebni podatki, razumno pričakuje, da se bodo ti obdelali v zadevni namen. 54 6.4 Kaj narediti z obstoječimi e-naslovi? Glede obstoječe baze e-naslovov moramo ločiti več možnosti. Vzemimo kot primer situacijo, v kateri imamo v bazi e-naslovov tako osebne e-naslove kot tudi generične (npr. info@. ., prodaja@. . ). Generični e-naslovi niso osebni podatek in tako zanje ne veljajo pravila Splošne uredbe o varstvu podatkov. Glede osebnih e-naslovov pa je po pravilih Splošne uredbe o varstvu podatkov potrebna privolitev stranke ali katera druga pravna podlaga. Težava nastane, če privolitve nismo pridobili do 25. 5. 2018, ko je Uredba začela veljati v državah članicah. V takšnih primerih ni dovoljeno, da bi uporabnikom poslali elektronsko sporočilo, v katerem bi prosili za izrecno soglasje, razen če bi le-to lahko upravičili preko zakonitega interesa. Takšna baza e-naslovov brez privolitev je lahko v veliko primerih neuporabna, saj zmeraj obdelovanja osebnih podatkov ne moremo opravičiti z zakonitim interesom. V takšnih primerih je najbolje začeti ustvarjati novo bazo e-naslovov, pri katerih že od samega začetka pridobimo privolitev uporabnikov. Na primer, podjetje ki izdeluje računalniške igre, izda nadgradnjo in o tem želi obvestiti uporabnike prvotne igre. E-naslove je pridobilo pred veljavo Uredbe, izrecne privolitve pa nima. Če bi želelo uporabnike obvestiti le z ekonomskega vidika, torej da bi kupili nadgradnjo, je obstoj zakonitega interesa vprašljiv, medtem ko bi bilo v primeru, da bi bila nadgradnja narejena iz varnostnih razlogov in bi bili uporabniki obveščeni zaradi tega, možnosti, da gre za zakonit interes, precej več. Kot drug primer vzemimo situacijo, ko podjetje na sejmu pridobi vizitke drugih podjetij, ki se zanimajo za njihove izdelke. Po pravilih Splošne uredbe o varstvu podatkov to ni izrecna privolitev (saj ne zadostuje vsem štirim prej navedenim točkam), kljub temu pa bi lahko šlo za zakonit interes. Pri tristopenjskem testu zakonitega interesa, še posebej pri zadnji točki (sorazmernostnem testu) je pomembno, ali lahko uporabniki razumno pričakujejo, da se bodo podatki obdelovali v nek zadevni namen. Če nekdo tako na sejmu da vizitko in pove, da se zanima za nek produkt, lahko trdimo, da je razumno pričakovati, da se tako dani osebni podatki na vizitki 54 47. točka uvodne izjave Splošne uredbe o varstvu podatkov. Spletni marketing 63 obdelujejo v ta namen. Če bi nekomu, upoštevaje opisane okoliščine, poslali elektronsko sporočilo o novem modelu produkta, bi to torej lahko (če bi prestal tristopenjski test) opravičili preko zakonitega interesa. 6.5 Kako naprej? Za zakonito delovanje je ključnega pomena, da imamo urejeno bazo e-naslovov. Ločimo tiste s privolitvijo od tistih brez, ločimo tiste, na katere se Splošna uredba o varstvu podatkov sploh nanaša (ime.priimek@,. .), in tiste, na katere se ne (info@,. .). Za elektronsko komunikacijo na B2B relacijah z generičnimi e- naslovi tako ne potrebujemo izrecnega soglasja uporabnika, kljub temu pa moramo zmeraj ponuditi možnost odjave. Prav tako moramo biti zelo previdni, ali gre dejansko za generični e-naslov ali ne. Čim obstajajo osebni podatki, sodi to pod pravila Splošne uredbe o varstvu podatkov in potem potrebujemo soglasje. Ko imamo urejeno bazo naslovov, se moramo odločiti, ali obdržimo le tiste s privolitvijo. Cilj in želja vsakega podjetnika sta pridobiti nove uporabnike. Za samo pridobivanje e-naslovov obstaja mnogo možnosti, v katere se v tem priročniku ne bomo poglabljali, pomembno pa je, da se zmeraj pridobi ustrezna privolitev. Svetujemo, da za pridobitev novih e-naslovov uporabite double opt- in postopek, pri katerem na koncu zmeraj pošljete elektronsko sporočilo, v katerem uporabnika prosite, da potrdi naročnino in s tem pristane na obdelavo osebnih podatkov. S tem se izognete kakršnemukoli dvomu o tem, ali je privolitev v skladu z zakonodajo. Slika 1: Primer double opt-in sporočila. Vir: https://medium.com/@cmccol um/how-i-beat-mailchimp-s-double-opt-in-d61ea8b422e2 64 VARSTVO OSEBNIH PODATKOV V PODJETJU Ob privolitvi moramo biti pozorni na to, da slednja ustreza vsem štirim točkam po Splošni uredbi o varstvu podatkov. Informacije (vsaj osnovne) so načelno lahko dane že v elektronskem sporočilu, podrobno pa urejene v politiki varstva osebnih podatkov, do katere lahko vodi povezava iz elektronskega sporočila. 6.6 Na kaj moramo biti pozorni pri pošiljanju elektronskih kampanj? Recimo, da imate končno urejeno bazo e-naslovov in pridobljena soglasja vseh prejemnikov v bazi. Za samo pošiljanje elektronskih kampanj obstaja ogromno spletnih platform, ki ponujajo s tem povezane storitve (od predlog, vzorcev, urejanja baz e-naslovov, . .). Ko sestavite elektronsko sporočilo, bodite pozorni na to, da uporabnikom vedno ponudite možnost odjave. Možnost odjave mora biti skladna s Splošno uredbo o varstvu podatkov, kar pomeni, da je enostavna in vsebovana v vseh elektronskih sporočilih. Poleg tega je potrebno dodati tudi povezavo do politike zasebnosti ali splošnih pogojev, kjer je obrazloženo, kdo upravlja s podatki, s katerimi podatki se upravlja, za katere namene, kakšne so pravice uporabnikov itd. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) 7 EVIDENCE OSEBNIH PDOATKOV NEJC FIR 7.1 Namen evidenc Javna objava zbirk (evidenc) podatkov s 25. 5. 2018 sicer ni več obvezna za MSP, vendar to še ne pomeni, da ni potrebno oblikovati evidenc osebnih podatkov. Potrebno se je zavedati, da evidence predstavljajo dokaz o skladnosti obdelav osebnih podatkov Splošno uredbo o varstvu podatkov. V primeru zahteve nadzornega organa bomo ravno z evidencami izkazali pravilno obdelavo osebnih podatkov. Podjetje mora zbirati, voditi in povezovati evidence osebnih podatkov v skladu s področno zakonodajo, kar še posebej velja za osebne podatke delavcev. Ti podatki se zbirajo predvsem za poročanje državnim organom in drugim nosilcem javnih pooblastil. V skladu z zakonodajo na področju dela in socialne varnosti se torej vodijo evidence podatkov o zaposlenih delavcih, stroških dela, izrabi delovnega časa ter oblikah reševanja kolektivnih delovnih sporov pri delodajalcu. Primer specifičnosti teh evidenc so zakonsko obvezne vrste osebnih podatkov in trajna hramba. Za nekatere evidence, kot je npr. evidenca o varstvu pri delu, prav tako veljajo posamezni področni zakoni in predpisi glede zahtevane obdelave podatkov. 66 VARSTVO OSEBNIH PODATKOV V PODJETJU Izredno je pomembno, da so v evidencah zabeleženi vsi osebni podatki. Poleg že predhodno omenjenih evidenc z zakonsko podlago mora podjetje torej evidentirati vse preostale obdelujoče osebne podatke. Določeni osebni podatki se lahko nahajajo v več različnih zbirkah. Identifikacija in ustrezno evidentiranje osebnih podatkov sta temelja za učinkovito varovanje. Za zagotovitev ustreznega varovanja moramo preveriti in popisati vse osebne podatke, ki se zbirajo in uporabljajo v podjetju. 1.1 7.2 Primer evidence (na splošno) V splošnem naj bi evidence osebnih podatkov imele naslednje sestavne dele: Tabela1: Splošni vzorec Postavke: Primer: Ime evidence Naziv ali ime in kontaktni podatki upravljavca Pravna podlaga obdelave podatkov Privolitev, zakonska podlaga (ni obvezno, ampak je priporočljivo) Izpolnjevanje obveznosti in uveljavljanje pravic iz delovnega razmerja, urejanje razmerij s Namen obdelave poslovnimi partnerji, statistična obdelava, pregled nad gibanjem terjatev, izvajanje trženjskih aktivnosti Opis kategorij posameznikov, na Zaposleni, študenti, kupci, poslovni katere se nanašajo osebni podatki partnerji Upravljalec računalniških aplikacij, direktor, pomočnik direktorja, Kategorije uporabnikov, ki dostopajo knjigovodja do podatkov (Navesti moramo tudi vse druge pravne osebe, ki v vašem imenu obdelujejo osebne podatke) Ime in priimek, ulica in hišna Vrste osebnih podatkov v zbirki številka, davčna številka, EMŠO, Evidence osebnih pdoatkov 67 elektronski naslov, video posnetek, fotografija, neto plača Rok hrambe 3 mesece, do konca projekta Fascikli z osebnimi podatki so shranjeni v zaklenjeni in negorljivi omari, zaklepanje prostorov v času odsotnosti, alarmni sistem, nosilci podatkov v elektronski obliki so v varovanih prostorih in njihov dostop Splošen opis tehničnih in je zaščiten s sistemom gesel, organizacijskih varnostnih ukrepov sistemsko ščitenje strežnikov in omogočen dostop samo pooblaščenim osebam. Nipa potrebno navajati konkretnih specifikacij tehnične opreme (npr. vrsta protivirusne opreme). Podatki o povezanih zbirkah osebnih Centralni register prebivalstva, podatkov iz uradnih evidenc ter Poslovni register javnih knjig DA/NE (Iznos podatkov v države Iznašanje podatkov v tretje države izven EU) Predvsem moramo biti pozorni na evidentiranje obdelave osebnih podatkov, ki predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo. Za evidence osebnih podatkov prav tako veljajo vsa osnovna načela obdelovanja podatkov. Zbirke osebnih podatkov naj bodo praviloma v najmanjšem možnem obsegu, določen naj bo najkrajši ustrezni rok in skladnost s preostalimi zbirkami. Za zagotovitev primerne hrambe evidenc je priporočljiva oblika zbirk osebnih podatkov v pisni kakor tudi elektronski obliki. 7.3 Vzorci posameznih evidenc V nadaljevanju predstavljamo posamične primere evidenc osebnih podatkov. 68 VARSTVO OSEBNIH PODATKOV V PODJETJU 7.3.1 Evidenca o zaposlenih Pred nami je primer evidence o zaposlenih delavcih v podjetju: Tabela 2: Vzorec evidence o zaposlenih Postavke: Primer: Evidenca o zaposlenih delavcih v Ime evidence podjetju Naziv ali ime in kontaktni podatki Direktor kadrovske službe upravljavca evidence Zakonska podlaga: Zakon o Pravna podlaga obdelave podatkov evidencah na področju dela in (ni obvezno, ampak je priporočljivo) socialne varnosti (ZEPDSV) Za izvajanje pogodbe o zaposlitvi. Za druge uradne namene in za Namen obdelave uveljavljanje pravic posameznika, na katerega se podatki nanašajo. Opis kategorij posameznikov, na Vsi zaposleni delavci v podjetju katere se nanašajo osebni podatki Kategorije uporabnikov, ki Delavci v kadrovski službi in drugi dostopajo do podatkov posebej pooblaščeni delavci Evidenca delavcev zajema naslednje podatke: a) podatki o delavcu: osebno ime, datum rojstva, če oseba nima EMŠO, kraj rojstva, država rojstva, če je kraj rojstva v tujini, enotna matična številka občana, davčna številka, državljanstvo, Vrste osebnih podatkov v zbirki naslov stalnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), naslov začasnega prebivališča (ulica, hišna številka, kraj, poštna številka, šifra občine, občina, šifra države, država), izobrazba, ali je delavec invalid, Evidence osebnih pdoatkov 69 kategorija invalidnosti, ali je delavec delno upokojen, ali delavec opravlja dopolnilno delo pri drugem delodajalcu, ime drugega delodajalca (in matična številka), pri katerem delavec opravlja dopolnilno delo, naslov drugega delodajalca, pri katerem delavec opravlja dopolnilno delo (ulica, hišna številka, poštna številka, kraj); b) podatki o delovnem dovoljenju delavca (tujci): vrsta delovnega dovoljenja, datum izdaje delovnega dovoljenja, datum izteka delovnega dovoljenja, številka delovnega dovoljenja, organ, ki je izdal delovno dovoljenje; c) podatki o sklenjeni pogodbi o zaposlitvi: datum sklenitve pogodbe o zaposlitvi, datum nastopa dela, vrsta sklenjene pogodbe o zaposlitvi, razlog za sklenitev pogodbe o zaposlitvi za določen čas, poklic, ki ga opravlja delavec, strokovna usposobljenost, potrebna za opravljanje del in nalog delovnega mesta, za katero je delavec sklenil pogodbo o zaposlitvi, naziv delovnega mesta oziroma podatki o vrsti dela, za katerega je delavec sklenil pogodbo o zaposlitvi, število ur tedenskega rednega delovnega časa, razporeditev delovnega časa, kraj, kjer delavec opravlja delo, ali pogodba o zaposlitvi delavca vsebuje konkurenčno klavzulo; č) podatki o prenehanju pogodbe o zaposlitvi: datum prenehanja pogodbe o 70 VARSTVO OSEBNIH PODATKOV V PODJETJU zaposlitvi, način prenehanja pogodbe o zaposlitvi. Rok hrambe Trajna hramba Dostop do osebnih podatkov preko programske opreme se varuje z gesli za avtorizacijo in identifikacijo uporabnikov. Prostor, v katerem se nahaja zbirka osebnih podatkov ter ostala dokumentacija, vezana na zbirko, se izven delovnega časa Splošen opis tehničnih in zaklepa. Zbirka osebnih podatkov, ki organizacijskih varnostnih ukrepov se vodi ročno, se izven delovnega časa zaklepa v omare. Dostop do osebnih podatkov imajo le delavci kadrovske službe in drugi posebej pooblaščeni delavci. Postopki in ukrepi za zavarovanje osebnih podatkov so določeni tudi v pravilniku varstva podatkov podjetja. Podatki o povezanih zbirkah osebnih Osebni podatki se ne povezujejo z podatkov iz uradnih evidenc ter evidencami ter javnimi knjigami. javnih knjig Iznašanje podatkov v tretje države NE Evidence osebnih pdoatkov 71 7.3.2 Evidenca o stroških dela Evidenca o stroških dela prav tako predstavlja primer zbirke podatkov z zakonsko podlago: Tabela 3: Vzorec evidence o stroških dela Postavke: Primer: Ime evidence Evidenca o stroških dela Naziv ali ime in kontaktni podatki Direktor kadrovske službe upravljavca evidence Pravna podlaga obdelave podatkov Zakonska podlaga: Zakon o evidencah (Ni obvezno, ampak je na področju dela in socialne varnosti priporočljivo) (ZEPDSV) Za izvajanje pogodbe o zaposlitvi. Za druge uradne namene in za Namen obdelave uveljavljanje pravic posameznika, na katerega se podatki nanašajo. Opis kategorij posameznikov, na Vsi zaposleni delavci v podjetju katere se nanašajo osebni podatki Kategorije uporabnikov, ki Posebej pooblaščeni delavci, zaposleni dostopajo do podatkov v kadrovski službi a) podatki o delavcu: poleg podatkov iz točke a) 13. člena vpisuje še: - številko transakcijskega računa, na katerega se izplačujejo plače in ostali prejemki. b) podatki o plačah in nadomestilih Vrste osebnih podatkov v zbirki plač, ki bremenijo delodajalca: plača za tekoči mesec, izplačana v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: - bruto plača za delo s polnim delovnim časom, - bruto plača za delo s krajšim delovnim časom od polnega, 72 VARSTVO OSEBNIH PODATKOV V PODJETJU - bruto izplačila za delo preko polnega delovnega časa (nadurno delo), - bruto nadomestila plač, ki bremenijo delodajalca; - zaostala izplačila in nadomestila plač, ki bremenijo delodajalca, izplačana v skladu s kolektivno pogodbo oziroma pogodbo o zaposlitvi: - bruto zaostala izplačila in nadomestila plač; izredno izplačilo (izplačilo po drugih osnovah, ki ne predstavlja redne mesečne plače): - bruto izplačila na podlagi osebne delovne uspešnosti, - dodatna denarna izplačila iz naslova uspešnosti poslovanja, neto plača (za mesec poročanja, za zaostala izplačila, nadomestila plač in za izredna izplačila): - plača, - zaostalo izplačilo, - nadomestilo plače, - izredno izplačilo. c) podatki o drugih stroških dela: - povračila stroškov v zvezi z delom, - regres za letni dopust, - jubilejna nagrada, - dodatna plačila, namenjena socialni varnosti delavcev, - plačila za prostovoljno pokojninsko zavarovanje, - solidarnostna pomoč, - odpravnina, Evidence osebnih pdoatkov 73 - stroški izobraževanja delavcev, - davki na izplačane plače, - ostali stroški dela. č) podatki o zakonsko določenih prispevkih za socialno varnost za posameznega delavca: prispevki v breme delodajalca: - plačani prispevki za pokojninsko in invalidsko zavarovanje, - plačani prispevki za zdravstveno zavarovanje, - plačani prispevki za starševsko varstvo, - plačani prispevki za zaposlovanje. prispevki v breme zavarovanca: - plačani prispevki za pokojninsko in invalidsko zavarovanje, - plačani prispevki za zdravstveno zavarovanje, - plačani prispevki za starševsko varstvo, - plačani prispevki za zaposlovanje. Rok hrambe Trajna hramba Dostop do osebnih podatkov preko programske opreme se varuje z gesli za avtorizacijo in identifikacijo uporabnikov. Prostor, v katerem se Splošen opis tehničnih in nahaja zbirka osebnih podatkov ter organizacijskih varnostnih ukrepov ostala dokumentacija, vezana na zbirko, se izven delovnega časa zaklepa. Zbirka osebnih podatkov, ki se vodi ročno, se izven delovnega časa zaklepa v omare. Dostop do osebnih 74 VARSTVO OSEBNIH PODATKOV V PODJETJU podatkov imajo le posebej pooblaščeni delavci. Podatki o povezanih zbirkah Osebni podatki se ne povezujejo z osebnih podatkov iz uradnih evidencami ter javnimi knjigami. evidenc ter javnih knjig Iznašanje podatkov v tretje države NE 1.1 7.3.3 Imenik fizičnih oseb naročenih na elektronsko obveščanje Kot smo že omenili, je potrebno evidentirati tudi vse preostale osebne podatke, ki niso pridobljeni z zakonsko podlago, in imeti moramo posodobljeno zbirko privolitev ali natančno opredeliti podlago zasebnega interesa. S posodobljeno zbirko pridobljenih privolitev izkazujemo skladnost z Uredbo. Primer takšne evidence je imenik fizičnih oseb, naročenih na elektronsko obveščanje podjetja: Tabela 4: Vzorec imenika fizičnih oseb naročenih na elektronsko naročanje Postavke: Primer: Imenik fizičnih oseb naročenih na Ime evidence elektronsko obveščanje Naziv ali ime in kontaktni podatki Direktor trženja upravljavca evidence Pravna podlaga obdelave podatkov Privolitev (ni obvezno, ampak je priporočljivo) Podatki se uporabljajo za obveščanje Namen obdelave naročnikov novic o ponudbi podjetja Opis kategorij posameznikov, na Vsi koristniki naših storitev in ostali katere se nanašajo osebni podatki naročniki novic Kategorije uporabnikov, ki dostopajo Vsi zaposleni v podjetju do podatkov Ime in priimek fizične osebe, Vrste osebnih podatkov v zbirki elektronski naslov Ni opredeljeno – za čas namena Rok hrambe obdelave podatkov Evidence osebnih pdoatkov 75 Evidenca se hrani v zaklenjeni omari v pisarni in v računalniku. Dostop v Splošen opis tehničnih in bazo podatkov, vodenih v organizacijskih varnostnih ukrepov računalniku, je avtoriziran. Prostori se izven delovnega časa zaklepajo. Podatki o povezanih zbirkah osebnih Osebni podatki se ne povezujejo z podatkov iz uradnih evidenc ter evidencami ter javnimi knjigami. javnih knjig Iznašanje podatkov v tretje države NE 7.3.4 Evidenca o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja delavcev Prilagamo še primere pogostih evidenc osebnih podatkov (evidenca o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja delavcev, imenik kontaktnih podatkov poslovnih partnerjev, podatki o imetnikih kartice ugodnosti): Tabela 5: Vzorec evidence o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja delavcev Postavke: Primer: Evidenca o usposabljanju za varno delo in varstvo pred požarom ter Ime evidence preizkusih praktičnega znanja delavcev Naziv ali ime in kontaktni podatki Direktor podjetja upravljavca evidence Zakonska podlaga. Npr.: Zakon o Pravna podlaga obdelave podatkov varnosti in zdravju pri delu (Uradni (ni obvezno, ampak je priporočljivo) list RS, št. 56/99 in 64/01), 39. člen Zakon o varstvu pred požarom (Ur. 76 VARSTVO OSEBNIH PODATKOV V PODJETJU l. RS, št. 71/93, 87/01 in 110/02- ZGO-1), 32. in 33. člen Urejanje pravic in obveznosti delavcev s področja varnosti pri delu. Namen obdelave Izvajanje preventivnih ukrepov varstva pred požarom Zaposleni delavci družbe, študenti in Opis kategorij posameznikov, na dijaki na delovni praksi in katere se nanašajo osebni podatki počitniškem delu Kategorije uporabnikov, ki Pooblaščeni delavci dostopajo do podatkov Ime in priimek, datum in kraj rojstva, datum pričetka dela in morebitnega dela in morebitnega konca dela, podatki o strokovni izobrazbi delavca, podatki o morebitnem prerazporejanju delavca na drugo delo oziroma naloge; opis del oziroma nalog z vidika varstva pri delu; roki pridobivanja in preizkus znanja delavcev za varno opravljanje dela, vodenje ali nadzorovanje del oziroma nalog; podatki o morebitni izvedbi dodatnega izobraževanja in Vrste osebnih podatkov v zbirki ugotavljanja znanja s področja varstva pri delu, vključno z dokumentacijo programa in časa usposabljanja ter seznama oseb, ki so vodile usposabljanja in preizkuse znanja (navedba imena in priimka, strokovne izobrazbe in funkcije oziroma dela oziroma naloge, ki jih ta oseba poklicno opravlja); zapisnik o preizkusih znanja delavcev (navedba osnovnih podatkov iz programa, seznam predavateljev, njihova imena in priimki, strokovna Evidence osebnih pdoatkov 77 izobrazbe, z navedbo konkretnih del oziroma nalog, podpisi članov komisije in testno ter morebitno drugo gradivo) Rok hrambe Trajno Preizkusi praktičnega znanja se hranijo v zaklenjeni omari v pisarni, potrdila o opravljenem usposabljanju se hranijo v osebnih mapah zaposlenih, ki se nahajajo v zaklenjeni omari v pisarni, dostop v Splošen opis tehničnih in bazo podatkov, vodenih v organizacijskih varnostnih ukrepov računalniku, je avtoriziran. Dostop do osebnih podatkov imajo le pooblaščeni delavci. Postopki in ukrepi za zavarovanje osebnih podatkov so določeni v Pravilniku o zavarovanju osebnih podatkov. Podatki o povezanih zbirkah osebnih Osebni podatki se ne povezujejo z podatkov iz uradnih evidenc ter evidencami ter javnimi knjigami. javnih knjig Iznašanje podatkov v tretje države NE 7.3.5 Imenik kontaktnih podatkov poslovnih partnerjev Tabela 6: Vzorec imenika kontaktnih podatkov poslovnih partnerjev Postavke: Primer: Ime evidence Imenik kontaktnih podatkov poslovnih partnerjev Naziv ali ime in kontaktni podatki Direktor podjetja upravljavca evidence Pravna podlaga obdelave podatkov Zasebni interes ali privolitev (ni obvezno, ampak je priporočljivo) Namen obdelave Lažje komuniciranje s poslovnimi partnerji 78 VARSTVO OSEBNIH PODATKOV V PODJETJU Opis kategorij posameznikov, na Vsa podjetja, s katerimi poslujemo, in katere se nanašajo osebni podatki tista, ki so z nami navezala stik. Kategorije uporabnikov, ki dostopajo Vsi zaposleni v podjetju do podatkov Vrste osebnih podatkov v zbirki Ime podjetja, naslov, pošta in poštna številka, telefon, mobilni telefon, elektronski naslov Rok hrambe Ni opredeljeno – za čas namena obdelave podatkov Splošen opis tehničnih in Evidenca se hrani v zaklenjeni omari organizacijskih varnostnih ukrepov v pisarni in v računalniku. Dostop v bazo podatkov, vodenih v računalniku, je avtoriziran. Prostori se izven delovnega časa zaklepajo. Podatki o povezanih zbirkah osebnih Osebni podatki se ne povezujejo z podatkov iz uradnih evidenc ter evidencami ter javnimi knjigami. javnih knjig Iznašanje podatkov v tretje države NE 7.3.6 Evidenca podatkov o imetnikih kartice ugodnosti Tabela 7: Vzorec evidence podatkov o imetnikih kartice ugodnosti Postavke: Primer: Podatki o imetnikih kartice Ime evidence ugodnosti Naziv ali ime in kontaktni podatki Direktor trženja upravljavca evidence Pravna podlaga obdelave podatkov Privolitev (ni obvezno, ampak je priporočljivo) Na podlagi pisnega dovoljenja Namen obdelave imetnika kartice ugodnosti se Evidence osebnih pdoatkov 79 uporabljajo podatki za namene neposrednega trženja in prilagajanja ponudbe našim strankam. Opis kategorij posameznikov, na Imetniki kartice ugodnosti katere se nanašajo osebni podatki Kategorije uporabnikov, ki dostopajo Pooblaščeni delavci do podatkov Ime, priimek, naslov, spol, datum Vrste osebnih podatkov v zbirki rojstva, telefonska številka, e-naslov Ni opredeljeno – za čas namena Rok hrambe obdelave podatkov Pristopnice, ki še niso bile obdelane in vnesene v računalniški sistem, so hranjene v prostorih na sedežu podjetja ali pri pogodbenem obdelovalcu osebnih podatkov. Po vnosu v sistem se pristopnice trajno hranijo v posebnih varovanih prostorih na sedežu podjetja ali pri Splošen opis tehničnih in pogodbenem obdelovalcu. Dostop organizacijskih varnostnih ukrepov do baze podatkov v računalniškem sistemu imajo pooblaščeni delavci s sistemom osebnih gesel za avtorizacijo in identifikacijo uporabnikov programov in podatkov. Pristopnice, ki služijo za reševanje zahtevkov imetnikov, so izven delovnega časa hranjene v zaklenjenih omarah. Podatki o povezanih zbirkah osebnih Osebni podatki se ne povezujejo z podatkov iz uradnih evidenc ter evidencami ter javnimi knjigami. javnih knjig Iznašanje podatkov v tretje države NE 80 VARSTVO OSEBNIH PODATKOV V PODJETJU Priporočljivo je tudi vodenje evidenc glede vseh vrst obdelav osebnih podatkov, kot so posredovanje podatkov za določen namen, hramba, izbris ipd. Zabeležene naj bodo vse ugotovitve pri obdelavi v pisni obliki in ustrezno strukturirane, da je omogočen lažji pregled. VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) ZAKLJUČEK Zasebnost posameznikov je zaradi napredka družbenih omrežij v zadnjih letih zelo izpostavljena in posledično obstaja večja možnost kršitve pravice do zasebnosti. Odgovor na težave tehnološkega napredka je podala Evropska unija v obliki Splošne uredbe o varstvu osebnih podatkov. Sprejeta je bila že leta 2016, vendar se je pričela uporabljati šele 25.5.2018. Zakonodaja na nacionalni ravni, ki bi dopolnjevala področje Evropske uredbe, še ni sprejeta. Kljub temu pa morajo podjetniki prilagoditi svoje poslovanje, kot je bilo predstavljeno v zgornjih poglavjih tega priročnika. Za podjetnika to praktično pomeni, da mora svoje poslovanje prilagoditi tako, da bo upošteval obveznosti, ki mu jih nalaga Splošna uredba o varstvu osebnih podatkov. V prejšnjih poglavjih so te dolžnosti bile natančno opisane in razdelane, na tem mestu jih zgolj omenimo, kot opomnik, v kolikor bi katero spregledali. V razmerju delodajalec – delavec je priporočljivo, da delodajalec zagotovi svojemu podrejenemu navodila, kako ravnati z osebnimi podatki. Povprečen delavec namreč ni poučen, kako naj ravna s tako občutljivimi podatki. Nadalje je za podjetje potrebno, da spletna stran podjetja vsebuje politiko varstva osebnih podatkov. V poglavjih smo natančno opredelili, kaj vse mora slednja vsebovati. 82 VARSTVO OSEBNIH PODATKOV V PODJETJU Pri oblikovanju politike varstva osebnih podatkov si zamislite, da bralcu razlagate, zakaj potrebujete njegove osebne podatke in kaj boste z njimi počeli. Ob prenosu določenih storitev na zunanje izvajalce morate ob krovni pogodbi urediti tudi vprašanje obdelave osebnih podatkov. Kot upravljavec z osebnimi podatki morate poskrbeti, da ste jih pridobili v skladu z zakonom. Večina obdelovalcev bo imela vnaprej pripravljene pogodbe, s katerimi bo celotno odgovornost zakonite pridobitve osebnih podatkov prenesla na vas. V kolikor boste poslovali z obdelovalcem, ki ne bo imel pripravljene pogodbe o obdelavi osebnih podatkov, smo za vas poskrbeli z vzorcem pogodbe, ki ga boste našli v petem poglavju. Kar se tiče spletnega marketinga in pošiljanja elektronskih komercialnih sporočil je bistvenega pomena, da imate za to ustrezno pravno podlago. Ta bo običajno pridobljena s soglasjem uporabnikov, pri čemer morate biti pozorni, da bo soglasje takšno, kot zahteva Uredba. V tem priročniku je natančno opisano in opredeljeno, katere elemente soglasja poznamo, tako da pazite na to, da so vsi izpolnjeni. V primeru odsotnosti soglasja so seveda možne še druge pravne podlage (pogodba, zakonit interes,. .), le manj verjetne so. Ko imate soglasje uporabnikov, je treba biti pozoren še na to, da se v vsakem poslanem elektronskem sporočilu zagotovi možnost za odjavo iz liste prejemnikov sporočil, prav tako je priporočljivo, da sporočilo vsebuje povezavo do politike zasebnosti. Pozorni bodite tudi na to, da vodite urejeno bazo podatkov, saj lahko uporabniki kadarkoli zahtevajo informacije o svojih podatkih, ki jih hranite in tudi izbris le-teh. Pri evidencah morate biti pozorni na: − izpolnitev vseh potrebnih postavk v evidencah; − oblikovanje evidenc, da lahko opravimo preverjanje primernosti in uspešnosti varovanja osebnih podatkov v podjetju; − natančno preverjanje zabeleženih vrst osebnih podatkov v določeni evidenci; − da so zajete vse vrste osebnih podatkov; − skrben zapis in izvedbo vseh varnostnih in organizacijskih ukrepov za zaščito evidenc osebnih podatkov; Zaključek 83 − namen obdelave, ki mora biti natančno zapisan v evidencah in skladen s pravno podlago (zakonitim interesom, privolitvijo, pogodbo ali zakonsko obvezo); − ažurnost evidenc z dejanskim stanjem obdelave osebnih podatkov. 84 VARSTVO OSEBNIH PODATKOV V PODJETJU VARSTVO OSEBNIH PODATKOV V PODJETJU PRIROČNIK ZA MALA IN SREDNJA PODJETJA A. Primec (ur.) LITERATURA IN VIRI Članki in monografije Kryštufek Urban, Prenosi podatkov v luči Splošne uredbe o varstvu osebnih podatkov (2. del), Pravna praksa, št. 12–13, 2018, str. 11–14. Vošner Matej, Neposredno trženje in GDPR, Pravna praksa, št. 22, 2018, str. 26. Bencak, U: Varstvo osebnih podatkov delavca v luči Splošne uredbe o varstvu osebnih podatkov, magistrsko delo, Pravna fakulteta, Maribor, 2019. Delovna skupina za varstvo podatkov iz člena 29: Guidelines on Consent under Regulation 2016/679. Markovič Zlatka, Brajnik Maja, Slovenski poskus št. 2 - Uradni predlog novele Zakona o varstvu osebnih podatkov, Pravna praksa, št. 9, 2018, str. 6–8. Vlada RS, Predlog zakona o varstvu osebnih podatkov (ZVOP-2), IPP 007-87/2019, 6. 3. 2019. Zerlang, J. (2017). GDPR: a milestone in convergence for cybersecurity and compliance. Network Security, str. 8–11. Zakonodaja Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu osebnih podatkov), OJ L 119, 4. 5. 2018. Zakon o varstvu osebnih podatkov (ZVOP-1), Uradni list RS, št. 94/07 – uradno prečiščeno besedilo. Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06). Zakon o delovnih razmerjih (ZDR-1), (Uradni list RS, št. 21/13, 78/13–popr., 47/15– ZZSDT, 33/16–PZ-F, 52/16, 15/17–odl. US in 22/19–ZPosS). 86 VARSTVO OSEBNIH PODATKOV V PODJETJU Ustava Republike Slovenije (Uradni list RS, št. 33/91-I, 42/97–UZS68, 66/00–UZ80, 24/03–UZ3a, 47, 68, 69/04–UZ14, 69/04–UZ43, 69/04–UZ50, 68/06– UZ121,140,143, 47/13–UZ148, 47/13–UZ90,97,99 in 75/16–UZ70a). Sodbe Sodba Sodišča Evropske unije: Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde v Rīgas pašvaldības SIA "Rīgas satiksme", C‑13/16, ECLI:EU:C:2017:336 z dne 4. 5. 2017. Spletni viri https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general- data-protection-regulation-gdpr/, dostopno dne 20.5.2019. IPRS. (2019). Register zbirk. Pridobljeno 23.5.2019 na spletni strani informacijskega pooblaščenca: https://www.ip-rs.si/varstvo-osebnih-podatkov/register-zbirk/. IPRS. (2019b). Evidenca dejavnosti obdelave. Pridobljeno 18.5.2019 na spletni strani informacijskega pooblaščenca: https://www.ip-rs.si/zakonodaja/reforma- evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna- podrocja-uredbe/evidenca-dejavnosti-obdelave/. IPRS. (2018). Obrazec ED-U. Pridobljeno 23.5.2019 na spletni strani informacijskega pooblaščenca: https://www.ip- rs.si/fileadmin/user_upload/doc/obrazci/OBRAZEC_- _Evidenca_dejavnosti_obdelave_osebnih_podatkov_ZA_UPRAVLJAVCE.doc x. Jagros d.o.o. (2018). Javna zbirka osebnih podatkov podjetja Jagros d.o.o. Pridobljeno 23.5.2019 na spletni strani informacijskega pooblaščenca: https://www.ip-rs.si/varstvo- osebnih-podatkov/register-zbirk/pregled- zbirk/?tx_zbirke_registerzbirk%5Bzavezanec%5D=668166&tx_zbirke_register zbirk%5Baction%5D=show&tx_zbirke_registerzbirk%5Bcontroller%5D=Zave zanec&cHash=41f1e6c9c32588812dcb361586dac4c1. Upravljavec. (2019). Pravne podlage za obdelavo osebnih podatkov. Pridobljeno 23.5.2019 na spletni strani upravljavec.si: https://upravljavec.si/kako-uporabljate-te- podatke/kratko-o-pravnih-podlagah/ Document Outline PREDGOVOR UVOD 1 SPLOŠNO O OSEBNIH PODATKIH 1.1 Kaj je osebni podatek? 1.2 Kaj pomeni obdelava podatkov? 1.3 Ključna načela pri zbiranju in varovanju osebnih podatkov 1.4 Zbiranje, obdelovanje in varovanje osebnih podatkov 1.5 Pridobivanje osebnih podatkov posameznika od drugih virov 1.6 Pravice posameznika 1.7 Nadzor nad delovnimi sredstvi 1.8 Rok hrambe in posledično uničenje osebnih podatkov 1.9 Ukrepanje v primeru zlorabe ali vdora v zbirko osebnih podatkov 2 VARSTVO OSEBNIH PODATKOV V DELOVNEM RAZMERJU 2.1 Zbiranje in varovanje osebnih podatkov delavcev 2.1.1 Delavčeva zasebna telefonska številka 2.1.2 Kopije dokumentov 2.1.3 Vzrok koriščenja letnega dopusta 2.1.4 Fotografiranje delavca 2.1.5 Podatki iz evidence delovnega časa 2.1.6 Objava podatkov delavcev na spletni strani 2.1.7 Podatek o izobrazbi in fotografija 2.2 Elektronska pošta in delovno sredstvo delavca 2.2.1 Vpogled v elektronsko pošto v času odsotnosti delavca 2.2.2 Dostop do elektronske pošte po prenehanju delovnega razmerja 2.2.3 Ravnanje z elektronsko pošto in delovnim sredstvom zaposlenega v primeru nenadne smrti 2.3 Ravnanje z delovnim sredstvom zaposlenega v primeru suma kaznivega dejanja 2.4 Uporabniška imena in gesla za dostop do službenih računalnikov 2.5 Povzetek smernic za ravnanje delodajalca z elektronsko pošto zaposlenih 2.6 Telefon 2.6.1 Omejitev porabe in kritje stroškov 2.6.2 Telefonska številka delavca po prekinitvi delovnega razmerja 2.7 Internet 2.8 Pošiljanje plačilnih list po e-pošti 2.9 Objava in posredovanje osebnih podatkov 3 POLITIKA VARSTVA OSEBNIH PODATKOV 3.1. Namen politke varstva osebnih podatkov 3.2 Sestavine politike varstva osebnih podatkov: 3.3 Vzorec politike varstva osebnih podatkov 3.4 Politika varstva osebnih podatkov družbe 4 UREDITEV POGODBENIH RAZMERIJ Z ZUNANJIMI SODELAVCI 4.1 Namen 4.2 Pravna podlaga 4.3 Vzorec pogodbe o obdelavi osebnih podatkov v nadaljevanju: Pogodba 5 OBDELAVA OSEBNIH PODATKOV NA PODLAGI PRIVOLITVE 5.1 Pogoji za veljavno privolitev 5.1.1 Prostovoljnost 5.1.2 Izrecnost 5.1.3 Informiranost 5.1.4 Nedvoumnost 5.2 Primer obrazca za privolitev46F 6 SPLETNI MARKETING 6.1 Uvod 6.2 Obdelava osebnih podatkov 6.3 Pravna podlaga 6.3.1 Soglasje posameznika 6.3.2 Zakonit interes 6.4 Kaj narediti z obstoječimi e-naslovi? 6.5 Kako naprej? 6.6 Na kaj moramo biti pozorni pri pošiljanju elektronskih kampanj? 7 EVIDENCE OSEBNIH PDOATKOV 7.1 Namen evidenc 7.2 Primer evidence (na splošno) 7.3 Vzorci posameznih evidenc 7.3.1 Evidenca o zaposlenih 7.3.2 Evidenca o stroških dela 7.3.3 Imenik fizičnih oseb naročenih na elektronsko obveščanje 7.3.4 Evidenca o usposabljanju za varno delo in varstvo pred požarom ter preizkusih praktičnega znanja delavcev 7.3.5 Imenik kontaktnih podatkov poslovnih partnerjev 7.3.6 Evidenca podatkov o imetnikih kartice ugodnosti ZAKLJUČEK LITERATURA IN VIRI Blank Page