Varstvo posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah EU

 

POVZETEK:

Uredba (EU) 2018/1725 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah EU in o prostem pretoku takih podatkov

KAJ JE NAMEN TE UREDBE?

Uredba:

• določa pravila o tem, kako morajo institucije, organi, uradi in agencije EU obravnavati osebne podatke*, ki jih imajo o posameznikih;
• spodbuja temeljne pravice in svoboščine posameznika, zlasti pravico do varstva osebnih podatkov in pravico do zasebnosti;
• usklajuje pravila za institucije, organe, urade in agencije EU s pravili iz Splošne uredbe o varstvu podatkov (GDPR) in Direktive (EU) 2016/680, znane kot direktiva o varstvu podatkov pri kazenskem pregonu (LED), ki veljata od maja 2018;
• razveljavlja Uredbo (ES) št. 45/2001, ki je prej zajemala pravila o obdelavi osebnih podatkov s strani institucij, organov, uradov in agencij EU, in zagotavlja, da so ta skladna z istimi strogimi standardi, ki jih določa Splošna uredba o varstvu osebnih podatkov;
• razveljavlja Sklep št. 1247/2002/ES o evropskem nadzorniku za varstvo podatkov (ENVP).

KLJUČNE TOČKE

Osebni podatki morajo biti:

• obdelani zakonito, pošteno in na pregleden način;
• zbrani za določene, izrecne in zakonite namene;
• ustrezni, relevantni in omejeni na to, kar je potrebno;
• točni in, kadar je to potrebo, posodobljeni;
• hranjeni v obliki, ki dopušča identifikacijo posameznikov le toliko časa, kolikor je potrebno;
• obdelani z ustrezno zaupnostjo.

Upravljavec* je odgovoren za skladnost z vsemi navedenimi načeli obdelave podatkov in mora biti to skladnost zmožen dokazati.

Poleg tega osebni podatki:

• se lahko uporabnikom v EU, ki niso institucija, organ, urad ali agencija EU, prenesejo samo v skladu z dodatnimi zaščitnimi ukrepi;
• se smejo prenesti zunaj EU samo pod strogimi pogoji;
• ki razkrivajo rasni ali etnični izvor osebe, politična prepričanja, verska ali filozofska prepričanja, članstva v sindikatu in obdelave genskih podatkov, biometrične podatke za namen enoznačne identifikacije fizične osebe, podatke o zdravju ali podatke v zvezi s spolnim življenjem ali spolni usmerjenosti fizične osebe se ne smejo obdelovati, razen v posebnih okoliščinah;
• potrebujejo ustrezne zaščitne ukrepe, če se arhivirajo v javnem interesu ali za znanstvene, zgodovinske ali statistične namene.

Zahteve za privolitev posameznika v uporabo njihovih podatkov mora biti v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Privolitev mora biti dana z jasnim pritrdilnim dejanjem posameznika.

Posamezniki (v zakonodaji znani kot „posamezniki, na katere se nanašajo osebni podatki“) imajo pravico:

• kadarkoli preklicati svojo privolitev, kar mora biti enako enostavno, kot dati privolitev;
• biti seznanjeni s tem, ali se njihovi osebni podatki obdelujejo, in imeti dostop do njih;
• pridobiti popravek netočnih osebnih podatkov;
• odstraniti ali omejiti obdelavo osebnih podatkov pod določenimi pogoji;
• prejemati svoje osebne podatke, ki so bili posredovani upravljavcu, v strukturirani, splošno uporabljeni in strojno berljivi obliki ter jih posredovati drugemu upravljavcu;
• ugovarjati uporabi njihovih osebnih podatkov za namene javnega interesa zaradi njihovega posebnega položaja;
• da zanje ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njimi;
• do pritožbe ENVP, če menijo, da se njihovi osebni podatki obdelujejo na način, ki krši uredbo;
• do odškodnine za vso premoženjsko ali nepremoženjsko škodo, ki je nastala zaradi ukrepov institucije, organa, urada ali agencije EU;
• pooblasti neprofitno organizacijo, da pri ENVP vloži pritožbo.

Upravljavci:

• morajo posameznike, na katere se nanašajo osebni podatki, obvestiti v preprostem jeziku in z informacijami o dejanskem stanju, kot so kontaktni podatki upravljavcev podatkov in namen izvajanja, kadar se zbirajo osebni podatki;
• morajo na vse zahteve posameznika, na katerega se nanašajo osebni podatki, kot so zahteve za dostop do njihovih osebnih podatkov ali njihov popravek, odgovoriti čim prej in najkasneje v enem mesecu;
• uporabljajo ustrezne tehnične in organizacijske ukrepe, tudi psevdonimizacijo*, da zagotovijo skladnost obdelave osebnih podatkov z uredbo;
• smejo uporabljati samo obdelovalce podatkov, ki izpolnjujejo zahteve EU;
• hranijo natančne evidence obdelave podatkov, za katero so odgovorni;
• sodelujejo z ENVP;
• čim prej obvestijo ENVP in, v določenih primerih, zadevnega posameznika o vseh kršitvah varstva osebnih podatkov;
• opravijo oceno vpliva na varstvo podatkov za nekatere visoko tvegane obdelave osebnih podatkov;
• zagotovijo zaupnost in varnost svojih elektronskih komunikacijskih omrežij;
• obvestijo ENVP o pripravi upravnih ukrepov ali notranjih predpisov o obdelavi osebnih podatkov.

Zakonodaja ustanavlja funkcijo ENVP, imenovanega za petletni mandat, ki se lahko enkrat obnovi. Izvajalec funkcije ima sedež v Bruslju in:

• deluje povsem neodvisno;
• vse zaupne informacije obravnava v skladu z varovanjem poklicne skrivnosti;
• spremlja, kako institucije, organi, uradi in agencije EU uporabljajo zakonodajo;
• spodbuja ozaveščenost in razumevanje javnosti o obdelavi osebnih podatkov;
• obravnava pritožbe in izvaja preiskave;
• izdaja opozorila in nalaga sankcije upravljavcem podatkov;
• o zadevah obvesti Sodišče, ki obravnava spore o zakonodaji;
• predloži letno poročilo Evropskemu parlamentu, Svetu in Evropski komisiji;
• sodeluje z nacionalnimi nadzornimi organi za varstvo podatkov.

Poslovnik ENVP

S sklepom z dne 15. maja 2020 se sprejme poslovnik ENVP. Natančneje določa:

• poslanstvo, vodilna načela in organizacijo ENVP;
• kako nadzoruje in zagotavlja uporabo uredbe;
• postopke za zakonodajno posvetovanje, spremljanje tehnologije, raziskovalne projekte in sodne postopke ter
• postopke za sodelovanje z nacionalnimi nadzornimi organi in mednarodno sodelovanje.

Posebna pravila za organe, urade in agencije EU

Posebna pravila se uporabljajo za organe, urade in agencije EU, ki obdelujejo operativne osebne podatke* za namene kazenskega pregona (npr. Eurojust). Zajema jih posebno poglavje uredbe. Pravila v tem poglavju so usklajena z direktivo o kazenskem pregonu. Poleg tega se lahko v aktih o ustanovitvi teh organov, uradov in agencij določijo natančnejša pravila, da se upoštevajo njihove značilnosti.

Obdelava operativnih osebnih podatkov s strani Europola in Evropskega javnega tožilstva je izključena iz področja uporabe uredbe in jo namesto tega urejajo posebne določbe v pravnih aktih, ki jih vzpostavljajo. Vendar pa je njihova administrativna obdelava osebnih podatkov (npr. za upravljanje osebja) predmet uredbe.

Pooblaščene osebe za varstvo podatkov

Upravljavci imenujejo pooblaščeno osebo za varstvo podatkov za obdobje treh do petih let:

• za neodvisno svetovanje o obdelavi osebnih podatkov;
• spremljanje skladnosti s pravili o varstvu podatkov.

Poročila

Evropska komisija mora svoje prvo poročilo o uporabi uredbe predložiti do 30. aprila 2022.

OD KDAJ SE TA UREDBA UPORABLJA?

Uporablja se od 11. decembra 2018, v zvezi z osebnimi podatki, ki jih obdeluje Eurojust, pa od 12. decembra 2019.

OZADJE

V členu 8 Listine o temeljnih pravicah je določeno, da ima vsakdo pravico do varstva osebnih podatkov. V členu 16 Pogodbe o delovanju Evropske unije je ta pravica podrobneje obravnavana. Ta člen je pravna podlaga za vso zakonodajo EU o varstvu podatkov.

Več informacij je na voljo na strani:

• Varstvo osebnih podatkov v EU (Evropska komisija).

KLJUČNI POJMI

GLAVNI DOKUMENT

Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39–98).

POVEZANI DOKUMENTI

Sklep Komisije (EU) 2020/969 z dne 3. julija 2020 o določitvi izvedbenih pravil v zvezi s pooblaščeno osebo za varstvo podatkov, omejitvami pravic posameznikov, na katere se nanašajo osebni podatki, in uporabo Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta ter razveljavitvi Sklepa Komisije 2008/597/ES (UL L 213, 6.7.2020, str. 12–22).

Sklep Evropskega nadzornika za varstvo podatkov z dne 15. maja 2020 o sprejetju poslovnika ENVP (UL L 204, 26.6.2020, str. 49–59).

Sklep Evropskega nadzornika za varstvo podatkov z dne 2. aprila 2019 o notranjih pravilih glede omejitev določenih pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov v okviru dejavnosti, ki jih izvaja Evropski nadzornik za varstvo podatkov (UL L 99I, 10.4.2019, str. 1–7).

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1–88).

Nadaljnje spremembe Uredbe (EU) 2016/679 so vključene v izvirni dokument. Ta prečiščena različica ima samo dokumentarno vrednost.

Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89–131).

Glej prečiščeno različico.

Zadnja posodobitev 14.01.2022