Več
Navigacija
POGLAVJE I Splošne določbe (1-4)
Člen 1. Predmet urejanja in ciljiČlen 2. Področje uporabeČlen 3. Ozemeljska veljavnostČlen 4. Opredelitev pojmov
POGLAVJE II Načela (5-11)
Člen 5. Načela v zvezi z obdelavo osebnih podatkovČlen 6. Zakonitost obdelaveČlen 7. Pogoji za privolitevČlen 8. Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbeČlen 9. Obdelava posebnih vrst osebnih podatkovČlen 10. Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrškiČlen 11. Obdelava, ki ne zahteva identifikacije
POGLAVJE III Pravice posameznika, na katerega se nanašajo osebni podatki (12-23)
Člen 12. Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatkiČlen 13. Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatkiČlen 14. Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajoČlen 15. Pravica dostopa posameznika, na katerega se nanašajo osebni podatkiČlen 16. Pravica do popravkaČlen 17. Pravica do izbrisa („pravica do pozabe“)Člen 18. Pravica do omejitve obdelaveČlen 19. Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelaveČlen 20. Pravica do prenosljivosti podatkovČlen 21. Pravica do ugovoraČlen 22. Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilovČlen 23. Omejitve
POGLAVJE IV Upravljavec in obdelovalec (24-43)
Člen 24. Predmet urejanja in ciljiČlen 25. Vgrajeno in privzeto varstvo podatkovČlen 26. Skupni upravljavciČlen 27. Predstavniki upravljavcev ali obdelovalcev, ki nimajo sedeža v UnijiČlen 28. ObdelovalecČlen 29. Obdelava pod vodstvom upravljavca ali obdelovalcaČlen 30. Evidenca dejavnosti obdelaveČlen 31. Sodelovanje z nadzornim organomČlen 32. Varnost obdelaveČlen 33. Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkovČlen 34. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov
Člen 35. Ocena učinka v zvezi z varstvom podatkov
Člen 36. Predhodno posvetovanjeČlen 37. Imenovanje pooblaščene osebe za varstvo podatkovČlen 38. Položaj pooblaščene osebe za varstvo podatkovČlen 39. Naloge pooblaščene osebe za varstvo podatkovČlen 40. Kodeksi ravnanjaČlen 41. Spremljanje odobrenih kodeksov ravnanjaČlen 42. PotrjevanjeČlen 43. Organi za potrjevanje
POGLAVJE V Prenos osebnih podatkov v tretje države ali mednarodne organizacije (44-50)
Člen 44. Splošno načelo za prenoseČlen 45. Prenosi na podlagi sklepa o ustreznostiČlen 46. Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepiČlen 47. Zavezujoča poslovna pravilaČlen 48. Prenosi ali razkritja, ki jih pravo Unije ne dovoljujeČlen 49. Odstopanja v posebnih primerihČlen 50. Mednarodno sodelovanje za varstvo osebnih podatkov
POGLAVJE VI Neodvisni nadzorni organi (51-59)
Člen 51. Nadzorni organČlen 52. NeodvisnostČlen 53. Splošni pogoji za člane nadzornega organaČlen 54. Pravila o ustanovitvi nadzornega organaČlen 55. PristojnostČlen 56. Pristojnosti vodilnega nadzornega organaČlen 57. NalogeČlen 58. PooblastilaČlen 59. Poročila o dejavnostih
POGLAVJE VII Sodelovanje in skladnost (60-70)
Člen 60. Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organiČlen 61. Medsebojna pomočČlen 62. Skupno ukrepanje nadzornih organovČlen 63. Mehanizem za skladnostČlen 64. Mnenje odboraČlen 65. Reševanje sporov s strani odboraČlen 66. Nujni postopekČlen 67. Izmenjava informacijČlen 68. Evropski odbor za varstvo podatkovČlen 69. NeodvisnostČlen 70. Naloge odboraČlen 71. PoročilaČlen 72. PostopekČlen 73. PredsednikČlen 74. Naloge predsednikaČlen 75. SekretariatČlen 76. Zaupnost
POGLAVJE VIII Pravna sredstva, odgovornost in kazni (77-84)
Člen 77. Pravica do vložitve pritožbe pri nadzornem organuČlen 78. Pravica do učinkovitega pravnega sredstva zoper nadzorni organČlen 79. Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalcaČlen 80. Zastopanje posameznikov, na katere se nanašajo osebni podatkiČlen 81. Začasna ustavitev postopkaČlen 82. Pravica do odškodnine in odgovornostČlen 83. Splošni pogoji za naložitev upravnih globČlen 84. Kazni
POGLAVJE IX Določbe o posebnih primerih obdelave (85-91)
Člen 85. Obdelava ter svoboda izražanja in obveščanjaČlen 86. Obdelava in dostop javnosti do uradnih dokumentovČlen 87. Obdelava nacionalne identifikacijske številkeČlen 88. Obdelava v okviru zaposlitveČlen 89. Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične nameneČlen 90. Obveznost varovanja skrivnostiČlen 91. Veljavna pravila o varstvu podatkov cerkva in verskih združenj
POGLAVJE X Delegirani akti in izvedbeni akti (92-93)
Člen 92. Izvajanje prenosa pooblastilaČlen 93. Postopek v odboru
POGLAVJE XI Končne določbe (94-95)
Člen 94. Razveljavitev Direktive 95/46/ESČlen 95. Razmerje z Direktivo 2002/58/ESČlen 96. Razmerje s predhodno sklenjenimi sporazumiČlen 97. Poročila KomisijeČlen 98. Pregled drugih pravnih aktov Unije o varstvu podatkovČlen 99. Začetek veljavnosti in uporaba
SUVP (GDPR) > Člen 35. Ocena učinka v zvezi z varstvom podatkov
Prenos PDF

Člen 35 SUVP (GDPR). Ocena učinka v zvezi z varstvom podatkov

1. Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

ISO 27701 Povezana besedila
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

(EN) […]


to read the full text

Povezana besedila

2 Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3. Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a) sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b) obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

Povezana besedila
Povezana besedila

(c) obsežnega sistematičnega spremljanja javno dostopnega območja.

Smernice in sodna praksa
Smernice in sodna praksa

4. Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

Povezana besedila
Povezana besedila

5. Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6. Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

Povezana besedila
Povezana besedila

7. Ocena zajema vsaj:

(a) sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

Smernice in sodna praksa
Smernice in sodna praksa

(b) oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d) ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8. Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

Povezana besedila
Povezana besedila

9. Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

10. Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

Povezana besedila
Povezana besedila

11. Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Splošna uredba o varstvu podatkov (SUVP, GDPR)

ISO 27701 Uvodne izjave Smernice in sodna praksa Pustite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

(EN) […]


to read the full text

Uvodne izjave

(75) Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko in ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genetskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi, kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili, kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok; ali kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(84) Za povečanje skladnosti s to uredbo, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov, da bi ocenili predvsem izvor, naravo, posebnost in resnost tega tveganja. Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu s to uredbo. Kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z nadzornim organom.

(89) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov. Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov. Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

(90) V takih primerih bi moral upravljavec pred obdelavo izvesti oceno učinka v zvezi z varstvom podatkov, da bi se ocenili posebna verjetnost in resnost velikega tveganja, pri čemer bi upoštevali naravo, obseg, okoliščine in namene obdelave ter izvor tveganja. Ta ocena učinka pa bi morala obsegati zlasti ukrepe, zaščitne ukrepe in mehanizme, ki so načrtovani za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to uredbo.

(91) To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic. Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih. Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu. Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika. V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

(92) V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka v zvezi z varstvom podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi ali telesa vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno okolje za uporabo ali obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

(93) V okviru sprejetja prava držav članic, na katerem temelji opravljanje nalog javnega organa ali telesa in ki ureja zadevne posebna dejanja obdelave ali nize dejanj, lahko države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

Smernice in sodna praksa Pustite komentar
[js-disqus]