| | |
| Obveznost | Pravna podlaga | Vsebina |
| Delodajalec mora o obdelavi osebnih podatkov obvestiti delavca na ustrezen način
| 13. in 14. člen GDPR
| Delavcu morajo biti vse informacije, ki se nanašajo na obdelavo njegovih osebnih podatkov lahko dostopne, razumljive in izražene v jasnem in preprostem jeziku>> obrazci z informacijami
|
| Zagotavljanje pravic posameznikom
| 15. – 23. člen GDPR12. – 21. člen ZVOP-2
| Delodajalec mora delavcem zagotavljati tudi vse ostale pravice v zvezi z osebnimi podatki, in sicer: -
pravico do dostopa, -
pravico do popravka, -
pravico do izbrisa, -
pravico do omejitve obdelave, -
obveščanje v zvezi s popravkom ali izbrisom ali omejitvijo obdelave, -
pravico do prenosljivosti, -
pravico do ugovorov, -
pravice v zvezi z avtomatiziranim sprejemanjem odločitev, -
omejitve. >> določena pravila in postopki za zagotavljanje pravic |
| Izvajanja vgrajenega in privzetega varstva osebnih podatkov ves čas obdelave
| 25. člen GDPR
| Upravljavci že ob zasnovi in izbiri sredstev za obdelavo podatkov predvideti in zagotoviti ustrezne tehnične in organizacijske ukrepe, ki posameznikom zagotavljajo visoko raven varstva osebnih podatkov.>> določeni varnostni ukrepi in pravila
|
| Zagotavljanje evidence dejavnosti obdelav
| 30. člen GDPR
| Delodajalec mora svoje zbirke osebnih podatkov popisovati, z namenom, da se zaveda, katere osebne podatke sploh ima, na kakšni podlagi jih obdeluje, za katere namene, kje se nahajajo itd. Skrbno dokumentiranje procesov obdelav delodajalcu pomaga pri izkazovanju skladnosti s Splošno uredbo. S tem delavcu nudi boljšo obveščenost o tem, kaj o njem ve in zakaj. >> evidence dejavnosti obdelave
|
| Vodenje dnevnika obdelave
| 22. in 23. člen ZVOP-2
| Zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po ZVOP-2 vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:1. zbiranje;2. spreminjanje;3. vpogled;4. razkritje, vključno s prenosi;5. izbris;6. druga dejanja obdelave, ki jih določa zakon.Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.>> dnevnik obdelave oz. revizijska sled
|
| Zagotavljanje varnosti osebnih podatkov
| 32. člen GDPR
| Delodajalec mora s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili.Ukrepi so npr.: -
psevdonimizacija in šifriranje osebnih podatkov, -
zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov in storitev za obdelavo, -
možnost pravočasne povrnitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta, -
postopki rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave >> določeni varnostni ukrepi in pravila |
