Varstvo osebnih podatkov

Direktiva Evropskega parlamenta in Sveta 95/46/ES je referenčno besedilo na evropski ravni o varstvu osebnih podatkov Direktiva vzpostavlja ureditveni okvir za zagotovitev ravnovesja med visoko ravnjo varstva zasebnosti posameznika in prostim pretokom osebnih podatkov v okviru Evropske unije (EU). V ta namen direktiva določa stroge meje pri zbiranju in obdelavi osebnih podatkov in zahteva vzpostavitev neodvisnega državnega organa za nadzor kakršnih koli dejavnosti, povezanih z obdelavo osebnih podatkov, v vsaki od držav članic.

AKT

Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o preostem pretoku takih podatkov [Glej akte o spremembah].

POVZETEK

Ta direktiva se uporablja za obdelavo osebnih podatkov z avtomatskimi sredstvi (na primer informacijsko bazo podatkov strank) in podatkov, ki so vsebovani ali se pojavljajo v zbirki, ki ni avtomatska (tradicionalne papirne zbirke).

Ta direktiva se ne uporablja za obdelavo podatkov:

• s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti,
• med dejavnostjo, ki ne spada na področje uporabe zakonodaje Skupnosti, ter v postopkih obdelave podatkov v zvezi z javno varnostjo, obrambo ali državno varnostjo.

Cilj direktive je zaščititi pravice in svoboščine posameznikov glede na obdelavo osebnih podatkov z določitvijo ključnih meril za zakonitost obdelave in načel kakovosti podatkov.

Obdelava podatkov je zakonita le, če

• je posameznik, na katerega se osebni podatki nanašajo, dal nedvoumno soglasje; ali
• je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki; ali
• je obdelava potrebna zaradi skladnosti s pravno zavezo, ki ji je zavezan upravljavec; ali
• je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki; ali
• je obdelava potrebna za izvajanje naloge, ki se opravlja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene upravljavcu ali tretji stranki; ali
• je obdelava potrebna za namene zakonitih interesov upravljavca ali tretje strani, razen v primeru, če imajo prednosti pred njimi osnovne pravice in svoboščine posameznika, na katerega se nanašajo podatki, in ta posameznik zahteva varstvo.

Načela kakovosti podatkov, ki jih je treba izvajati pri vseh zakonitih dejavnostih obdelave podatkov, so naslednja:

• osebni podatki morajo biti pošteno in zakonito obdelani ter zbrani za določene, izrecne in zakonite namene. Biti morajo primerni, ustrezni in ne pretirani, točni in po potrebi ažurirani, ne smejo se shranjevati dalj, kot je potrebno, in se lahko shranjujejo samo za namene, za katere so bili zbrani;
• posebne vrste obdelave: prepovedana mora biti obdelava osebnih podatkov, ki kažejo na rasni ali etnični izvor, politično prepričanje, verska ali filozofska prepričanja, pripadnost sindikatu ter obdelava podatkov v zvezi z zdravjem ali spolnim življenjem. Ta določba se ne uporablja, kadar je na primer obdelava podatkov potrebna za varstvo življenjskih interesov posameznika, ali za potrebe preventivne medicine in zdravstvenih diagnoz.

Oseba, katere podatki se obdelujejo, posameznik, na katerega se nanašajo osebni podatki, ima lahko naslednje pravice:

• pravica do pridobitve informacije: upravljavec mora posamezniku, na katerega se osebni podatki nanašajo, zagotoviti določeno število informacij (istovetnost upravljavca, nameni obdelave podatkov, prejemniki podatkov itd.),
• pravica do dostopa do podatkov posameznika, na katerega se nanašajo osebni podatki: vsakemu posamezniku, na katerega se nanašajo osebni podatki, je zajamčena pravica, da pridobi od upravljavca;
• pravica posameznika, na katerega se nanašajo osebni podatki, do ugovora: posamezniku, na katerega se nanašajo osebni podatki, se mora na podlagi zakonitih razlogov zagotoviti pravica do ugovora na obdelavo podatkov, ki se nanašajo nanj. Zagotoviti se mu mora tudi, da na zahtevo in brezplačno ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, in so namenjeni trženju. Biti mora obveščen, preden se osebni podatki prvič posredujejo tretjim stranem zaradi neposrednega trženja, in izrecno opozorjen na pravico, da ugovarja takemu posredovanju,

Drugi pomembni vidiki obdelave podatkov:

• izjeme in omejitve pravic posameznika, na katerega se nanašajo osebni podatki: načela, ki se nanašajo na kakovost podatkov, informiranje zadevnega posameznika, pravico do dostopa do podatkov in objavo obdelav, se lahko omejijo zaradi zaščite, na primer v zvezi z državno varnostjo, obrambo, javno varnostjo, pregonom kaznivih dejanj, pomembnim gospodarskim ali finančnim interesom države članice ali Evropske unije ali posameznika, na katerega se nanašajo osebni podatki,
• zaupnost in varnost obdelave podatkov: : nobena oseba, ki odgovarja upravljavcu ali obdelovalcu, vključno s samim obdelovalcem, ki ima dostop do osebnih podatkov, ne sme obdelovati teh podatkov brez navodil upravljavca. Upravljavec mora poleg tega izvajati ustrezne ukrepe za zavarovanje osebnih podatkov pred slučajnim ali nezakonitim uničenjem, pred slučajno izgubo, predelavo, nepooblaščenim posredovanjem ali dostopom,
• uradno obveščanje nadzornega organa o obdelavi podatkov: upravljavec mora uradno obvestiti državni nadzorni organ pred začetkom izvajanja postopka obdelave podatkov. Po prejemu uradnega obvestila nadzorni organ izvede predhodno preverjanje posebnih nevarnosti za pravice in svoboščine posameznikov, na katere se osebni podatki nanašajo. Zagotovljena mora biti objava postopkov obdelave, nadzorni organi pa morajo voditi register postopkov obdelave, ki so uradno sporočeni.

Vsaka oseba mora imeti v primeru kršitve pravic, zagotovljenih z nacionalno zakonodajo, ki se nanaša na zadevno obdelavo, pravico do pravnega sredstva. Poleg tega ima vsaka oseba, ki je utrpela škodo kot posledico nezakonitega postopka obdelave njihovih osebnih podatkov, pravico zahtevati odškodnino za to škodo.

Prenosi osebnih podatkov iz države članice v tretjo državo so dovoljeni, če ta tretja država zagotovi ustrezno raven varstva. Čeprav se prenosi ne smejo izvršiti, kadar ni zagotovljena ustrezna raven varstva, pa so v Direktivi navedene številne izjeme tega pravila, npr. posameznik, na katerega se nanašajo osebni podatki, se sam strinja s prenosom, v primeru sklepanja pogodbe, to je potrebno zaradi javnega interesa in tudi če so bila zavezujoča poslovna pravila ali standardne pogodbene klavzule odobreni s strani države članice.

Direktiva spodbuja oblikovanje državnih kodeksov ravnanja in kodeksov ravnanja Skupnosti, katerih namen je prispevati k pravilnemu izvajanju nacionalnih predpisov in predpisov Skupnosti.

Vsaka država članica določi enega ali več javnih organov, pristojnih za spremljanje uporabe predpisov, ki so jih sprejele države članice v skladu s to direktivo, na njenem ozemlju.

Ustanovi se delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, ki jo sestavljajo predstavniki državnih nadzornih organov, predstavniki nadzornih organov institucij ali teles Skupnosti in predstavnik Komisije.

POVEZANI AKTI

POROČILO O IZVEDBI

Sporočilo Komisije Evropskemu parlamentu in Svetu z dne 7. marca 2007 z naslovom: „Sporočilo Komisije Evropskemu parlamentu in Svetu o nadaljevanju delovnega programa za boljše izvajanje Direktive o varstvu podatkov“ [ COM(2007) 87 konč. – Neobjavljeno v Uradnem listu].

V tem sporočilu je bilo pregledano delo, ki je bilo opravljeno v okviru Delovnega programa za boljše izvajanje Direktive o varstvu podatkov, ki je vključeno v Prvo poročilo o izvajanju Direktive 95/46/ES. Komisija je poudarila izboljšave, saj so vse države članice prenesle Direktivo. Poudarila je, da se Direktiva ne sme spremeniti.

Dodalo je, da bo:

• še naprej sodelovala z državami članicami in po potrebi sprožila formalne postopke za ugotavljanje kršitev,
• pripravila obrazložitveno sporočilo za nekatere določbe Direktive,
• nadaljevala z izvajanjem delovnega programa,
• v primeru večjega tehnološkega napredka na določenem področju predstavila sektorsko zakonodajo na ravni EU,
• še naprej sodelovala s svojimi zunanjimi partnerji, predvsem z Združenimi državami.

Poročilo Komisije z dne 15. maja 2003 z naslovom „Prvo poročilo o izvajanju Direktive 95/46/ES o varstvu podatkov (95/46/CE)“ [ COM(2003) 265 konč. – Neobjavljeno v Uradnem listu].

V poročilu so bili predstavljeni rezultati posvetovanj z vladami, institucijami, združenji podjetij, združenji potrošnikov in državljanov pod vodstvom Komisije o ocenjevanju Direktive 95/46/ES. Rezultati posvetovanj so pokazali, da je le malo plačnikov zahtevalo revizijo Direktive. Poleg tega je Komisija po posvetovanju z državami članicami ugotovila, da po mnenju večine od njih in državnih nadzornih organov Direktive zdaj ni treba spreminjati.

Kljub ugotovljenim zamudam in vrzelim pri njenem izvajanju je Direktiva izpolnila glavni cilj, ki je odstranjevanje ovir pri prostem pretoku osebnih podatkov med državami članicami. Poleg tega je Komisija ocenila, da je cilj, ki zadeva zagotavljanje visoke ravni varovanja v Skupnosti, dosežen, saj je Direktiva določila nekatere standarde varstva podatkov, ki so med najvišjimi na svetu.

Vendar niso ustrezno doseženi nekateri drugi cilji politike notranjega trga. Zakonodaja, ki zadeva varstvo podatkov se še vedno znatno razlikuje med posameznimi državami članicami. Te razlike preprečujejo mednarodnim organizacijam, da bi določile panevropske politike o varovanju podatkov. Zato je Komisija objavila, da bo naredila vse potrebno, da se tako stanje odpravi, in se pri tem po možnosti izognila formalnemu ukrepu.

Kar zadeva splošno raven spoštovanja zakonodaje glede varstva podatkov v EU, je treba izpostaviti tri težave:

• pomanjkanje virov, namenjenih za izvajanje,
• velike razlike med upravljalci v zvezi s spoštovanjem,
• očitno nizka raven poznavanja pravic s strani posameznikov, na katere se nanašajo podatki v obdelavi, kar je lahko tudi razlog za zgoraj navedeni pojav.

Da bi Komisija zagotovila boljše izvajanje Direktive o varstvu podatkov, je sprejela delovni program, ki vsebuje neko število ukrepov, ki jih je treba izvesti v času od sprejetja tega poročila do konca leta 2004. Te ukrepe sestavljajo naslednje pobude:

• pogovori z državami članicami in organi, odgovornimi za varstvo podatkov, o spremembah, ki jih je treba uvesti v njihove zakonodaje, da bo ta v celoti v skladu z zahtevami Direktive,
• združevanje držav kandidatk za prizadevanja z uporabo boljše in enotnejše Direktive,
• izboljšanje uradnega obveščanja o vseh pravnih aktih, ki prenašajo Direktivo,
• poenostavitev pogojev mednarodnih prenosov podatkov,
• spodbujanje tehnologij, ki bi okrepile varstvo zasebnosti,
• spodbujanje samourejanja in evropskih kodeksov ravnanja.

DIREKTIVA 'O ZASEBNOSTI IN ELEKTRONSKIH KOMUNIKACIJAH'

Direktiva 2002/58/CE Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva 'o zasebnosti in elektronskih komunikacijah') [UL L 201, 31.7.2002].

Tadirektiva je bila sprejeta leta 2002, istočasno kotnovi zakonodajni okvir za sektor elektronskih komunikacij. Obe vsebujeta določila o določenem številu bolj ali manj občutljivih tem, kot so shranjevanje podatkov o priključevanju, ki ga izvajajo države članice za namene policijskega nadzora (pridržanje podatkov), pošiljanje neželenih elektronskih sporočil, uporaba indikatorjev povezanosti (piškotkov ali cookies) in vključevanje podatkov v javne imenike.

Uredba (EU) št. 611/2013 vsebuje pravila za obveščanje o kršitvi varnosti osebnih podatkov ponudnikov javno dostopnih elektronskih komunikacijskih storitev, če se osebni podatki njihovih strank izgubijo, so ukradeni ali drugače ogroženi.

Kadar se pojavi kršitev varnosti osebnih podatkov in so osebni podatki ogroženi, morajo ponudniki v skladu z Direktivo 2002/58/ES o kršitvi obvestiti pristojni nacionalni organ za varstvo podatkov in v nekaterih primerih tudi prizadete naročnike in posameznike. Uredba (EU) 611/2013 uvaja tehnične izvedbene ukrepe, ki pojasnjujejo, kako je treba izpolnjevati te obveznosti.

Med drugim morajo ponudniki:

• pristojni nacionalni organ o incidentu obvestiti v 24 urah po odkritju kršitve, da jo čim bolj omejijo;
• upoštevati vrsto ogroženih podatkov, ko se odločajo, ali bodo obvestili naročnike in posameznike, npr. kadar podatki vključujejo finančne informacije, e-poštne podatke, internetne dnevniške datoteke, zgodovino brskanja po spletu itd;
• pristojnemu nacionalnemu organu in/ali ustreznim naročnikom oz. posameznikom posredovati podrobnosti o incidentu, vrsti zadevnih podatkov in ukrepih za ,odpravo težave.

TIPSKI POGODBENI POGOJI ZA PRENOS PODATKOV V TRETJE DRŽAVE

Odločba 2004/915/ES z dne 27. decembra 2004 o spremembi Odločbe 2001/497/ES glede uvedbe alternativnega sklopa standardnih pogodbenih klavzul za prenos osebnih podatkov v tretje države [UL L 385, 29.12.2004].

Evropska Komisija je potrdila nove tipske pogodbene pogoje, ki jih bodo lahko podjetja uporabljala kot ustrezna zagotovila pri prenosu osebnih podatkov iz EU v tretje države. Ti novi pogoji bodo dodani obstoječim pogojem v okviru odločbe Komisije iz junija 2001 (glej zgoraj).

Odločba 2001/497/ES Komisije z dne 15. junija 2001 glede uvedbe alternativnega sklopa standardnih pogodbenih klavzul za prenos osebnih podatkov v tretje države v skladu z Direktivo 95/46/ES [UL L 181, 4.7.2001].

Ta odločba določa tipske pogodbene pogoje, ki zagotavljajo ustrezno raven varstva osebnih podatkov, ki se prenašajo iz EU v tretje države. V skladu s to odločbo morajo države članice priznati, da družbe in organi, ki uporabljajo te tipske pogoje o prenosu osebnih podatkov v tretje države, zagotavljajo „ustrezno raven varstva“ podatkov.

Sklep Komisije 2010/87/EU o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovancem s sedežem v tretjih državah v skladu z Direktivno Evropskega parlamenta in Sveta 95/46/ES [Uradni list L 39, 12.2.2010].

Odločbe Komisije, ki potrjujejo ustrezno raven varstva osebnih podatkov za številne tretje države na podlagi člena 25 (6): Komisija je doslej potrdila, da Andora, Argentina, Avstralija, Kanada (komercialne organizacije), Švica, Ferski otoki, Guernsey, Izrael, otok Man, Jersey, Nova Zelandija, Urugvaj in načela varnega pristana Ministrstva za trgovino ZDA zagotavljajo ustrezno zaščito.

VARSTVO PODATKOV V INSTITUCIJAH IN ORGANIH SKUPNOSTI

Uredba (ES) 45/2001/ES Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov [UL L8, 12.1.2001].

Cilj te uredbe je zagotoviti varstvo osebnih podatkov v okviru institucij in organov Evropske unije. Besedilo vključuje:

• določila, ki zagotavljajo visoko raven varstva osebnih podatkov, ki jih obdelujejo institucije in organi Skupnosti,
• vzpostavitev neodvisnega nadzornega organa, pristojnega za nadzor uporabe teh določil.

Zadnja posodobitev 08.03.2014