Varstvo posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah EU

KLJUČNE TOČKE

Osebni podatki morajo biti:

• obdelani zakonito, pošteno in na pregleden način;
• zbrani za določene, izrecne in zakonite namene;
• ustrezni, relevantni in omejeni na to, kar je potrebno;
• točni in, kadar je to potrebo, posodobljeni;
• hranjeni v obliki, ki dopušča identifikacijo posameznikov le toliko časa, kolikor je potrebno;
• obdelani z ustrezno zaupnostjo.

Upravljavec² je odgovoren za skladnost z vsemi navedenimi načeli obdelave podatkov in mora biti to skladnost zmožen dokazati.

Poleg tega osebni podatki:

• se lahko uporabnikom v EU, ki niso institucija, organ, urad ali agencija EU, prenesejo samo v skladu z dodatnimi zaščitnimi ukrepi;
• se smejo prenesti zunaj EU samo pod strogimi pogoji;
• ki razkrivajo rasni ali etnični izvor osebe, politična prepričanja, verska ali filozofska prepričanja, članstva v sindikatu in obdelave genskih podatkov, biometrične podatke za namen enoznačne identifikacije fizične osebe, podatke o zdravju ali podatke v zvezi s spolnim življenjem ali spolni usmerjenosti fizične osebe se ne smejo obdelovati, razen v posebnih okoliščinah;
• potrebujejo ustrezne zaščitne ukrepe, če se arhivirajo v javnem interesu ali za znanstvene, zgodovinske ali statistične namene.

Zahteve za privolitev posameznika v uporabo njihovih podatkov mora biti v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Privolitev mora biti dana z jasnim pritrdilnim dejanjem posameznika.

Posamezniki (v zakonodaji znani kot „posamezniki, na katere se nanašajo osebni podatki“) imajo pravico:

• kadarkoli preklicati svojo privolitev, kar mora biti enako enostavno, kot dati privolitev;
• biti seznanjeni s tem, ali se njihovi osebni podatki obdelujejo, in imeti dostop do njih;
• pridobiti popravek netočnih osebnih podatkov;
• odstraniti ali omejiti obdelavo osebnih podatkov pod določenimi pogoji;
• prejemati svoje osebne podatke, ki so bili posredovani upravljavcu, v strukturirani, splošno uporabljeni in strojno berljivi obliki ter jih posredovati drugemu upravljavcu;
• ugovarjati uporabi njihovih osebnih podatkov za namene javnega interesa zaradi njihovega posebnega položaja;
• da zanje ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njimi;
• do pritožbe ENVP, če menijo, da se njihovi osebni podatki obdelujejo na način, ki krši uredbo;
• do odškodnine za vso premoženjsko ali nepremoženjsko škodo, ki je nastala zaradi ukrepov institucije, organa, urada ali agencije EU;
• pooblasti neprofitno organizacijo, da pri ENVP vloži pritožbo.

Upravljavci:

• morajo posameznike, na katere se nanašajo osebni podatki, obvestiti v preprostem jeziku in z informacijami o dejanskem stanju, kot so kontaktni podatki upravljavcev podatkov in namen izvajanja, kadar se zbirajo osebni podatki;
• morajo na vse zahteve posameznika, na katerega se nanašajo osebni podatki, kot so zahteve za dostop do njihovih osebnih podatkov ali njihov popravek, odgovoriti čim prej in najkasneje v enem mesecu;
• uporabljajo ustrezne tehnične in organizacijske ukrepe, tudi psevdonimizacijo³, da zagotovijo skladnost obdelave osebnih podatkov z uredbo;
• smejo uporabljati samo obdelovalce podatkov, ki izpolnjujejo zahteve EU;
• hranijo natančne evidence obdelave podatkov, za katero so odgovorni;
• sodelujejo z ENVP;
• čim prej obvestijo ENVP in, v določenih primerih, zadevnega posameznika o vseh kršitvah varstva osebnih podatkov;
• opravijo oceno vpliva na varstvo podatkov za nekatere visoko tvegane obdelave osebnih podatkov;
• zagotovijo zaupnost in varnost svojih elektronskih komunikacijskih omrežij;
• obvestijo ENVP o pripravi upravnih ukrepov ali notranjih predpisov o obdelavi osebnih podatkov.

Zakonodaja ustanavlja funkcijo ENVP, imenovanega za petletni mandat, ki se lahko enkrat obnovi. Izvajalec funkcije ima sedež v Bruslju in:

• deluje povsem neodvisno;
• vse zaupne informacije obravnava v skladu z varovanjem poklicne skrivnosti;
• spremlja, kako institucije, organi, uradi in agencije EU uporabljajo zakonodajo;
• spodbuja ozaveščenost in razumevanje javnosti o obdelavi osebnih podatkov;
• obravnava pritožbe in izvaja preiskave;
• izdaja opozorila in nalaga sankcije upravljavcem podatkov;
• o zadevah obvesti Sodišče, ki obravnava spore o zakonodaji;
• predloži letno poročilo Evropskemu parlamentu, Svetu in Evropski komisiji;
• sodeluje z nacionalnimi nadzornimi organi za varstvo podatkov.

Poslovnik ENVP

S sklepom z dne 15. maja 2020 se sprejme poslovnik ENVP. Natančneje določa:

• poslanstvo, vodilna načela in organizacijo ENVP;
• kako nadzoruje in zagotavlja uporabo uredbe;
• postopke za zakonodajno posvetovanje, spremljanje tehnologije, raziskovalne projekte in sodne postopke ter
• postopke za sodelovanje z nacionalnimi nadzornimi organi in mednarodno sodelovanje.

Posebna pravila za organe, urade in agencije EU

Posebna pravila se uporabljajo za organe, urade in agencije EU, ki obdelujejo operativne osebne podatke⁴ za namene kazenskega pregona (npr. Eurojust). Zajema jih posebno poglavje uredbe. Pravila v tem poglavju so usklajena z direktivo o kazenskem pregonu. Poleg tega se lahko v aktih o ustanovitvi teh organov, uradov in agencij določijo natančnejša pravila, da se upoštevajo njihove značilnosti.

Obdelava operativnih osebnih podatkov s strani Europola in Evropskega javnega tožilstva je izključena iz področja uporabe uredbe in jo namesto tega urejajo posebne določbe v pravnih aktih, ki jih vzpostavljajo. Vendar pa je njihova administrativna obdelava osebnih podatkov (npr. za upravljanje osebja) predmet uredbe.

Pooblaščene osebe za varstvo podatkov

Upravljavci imenujejo pooblaščeno osebo za varstvo podatkov za obdobje treh do petih let:

• za neodvisno svetovanje o obdelavi osebnih podatkov;
• spremljanje skladnosti s pravili o varstvu podatkov.

Poročila

Evropska komisija mora svoje prvo poročilo o uporabi uredbe predložiti do 30. aprila 2022.