Več
Navigacija
POGLAVJE I Splošne določbe (1-4)
Člen 1. Predmet urejanja in ciljiČlen 2. Področje uporabeČlen 3. Ozemeljska veljavnostČlen 4. Opredelitev pojmov
POGLAVJE II Načela (5-11)
Člen 5. Načela v zvezi z obdelavo osebnih podatkov
Člen 6. Zakonitost obdelaveČlen 7. Pogoji za privolitevČlen 8. Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbeČlen 9. Obdelava posebnih vrst osebnih podatkovČlen 10. Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrškiČlen 11. Obdelava, ki ne zahteva identifikacije
POGLAVJE III Pravice posameznika, na katerega se nanašajo osebni podatki (12-23)
Člen 12. Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatkiČlen 13. Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatkiČlen 14. Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajoČlen 15. Pravica dostopa posameznika, na katerega se nanašajo osebni podatkiČlen 16. Pravica do popravkaČlen 17. Pravica do izbrisa („pravica do pozabe“)Člen 18. Pravica do omejitve obdelaveČlen 19. Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelaveČlen 20. Pravica do prenosljivosti podatkovČlen 21. Pravica do ugovoraČlen 22. Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilovČlen 23. Omejitve
POGLAVJE IV Upravljavec in obdelovalec (24-43)
Člen 24. Predmet urejanja in ciljiČlen 25. Vgrajeno in privzeto varstvo podatkovČlen 26. Skupni upravljavciČlen 27. Predstavniki upravljavcev ali obdelovalcev, ki nimajo sedeža v UnijiČlen 28. ObdelovalecČlen 29. Obdelava pod vodstvom upravljavca ali obdelovalcaČlen 30. Evidenca dejavnosti obdelaveČlen 31. Sodelovanje z nadzornim organomČlen 32. Varnost obdelaveČlen 33. Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkovČlen 34. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkovČlen 35. Ocena učinka v zvezi z varstvom podatkovČlen 36. Predhodno posvetovanjeČlen 37. Imenovanje pooblaščene osebe za varstvo podatkovČlen 38. Položaj pooblaščene osebe za varstvo podatkovČlen 39. Naloge pooblaščene osebe za varstvo podatkovČlen 40. Kodeksi ravnanjaČlen 41. Spremljanje odobrenih kodeksov ravnanjaČlen 42. PotrjevanjeČlen 43. Organi za potrjevanje
POGLAVJE V Prenos osebnih podatkov v tretje države ali mednarodne organizacije (44-50)
Člen 44. Splošno načelo za prenoseČlen 45. Prenosi na podlagi sklepa o ustreznostiČlen 46. Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepiČlen 47. Zavezujoča poslovna pravilaČlen 48. Prenosi ali razkritja, ki jih pravo Unije ne dovoljujeČlen 49. Odstopanja v posebnih primerihČlen 50. Mednarodno sodelovanje za varstvo osebnih podatkov
POGLAVJE VI Neodvisni nadzorni organi (51-59)
Člen 51. Nadzorni organČlen 52. NeodvisnostČlen 53. Splošni pogoji za člane nadzornega organaČlen 54. Pravila o ustanovitvi nadzornega organaČlen 55. PristojnostČlen 56. Pristojnosti vodilnega nadzornega organaČlen 57. NalogeČlen 58. PooblastilaČlen 59. Poročila o dejavnostih
POGLAVJE VII Sodelovanje in skladnost (60-70)
Člen 60. Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organiČlen 61. Medsebojna pomočČlen 62. Skupno ukrepanje nadzornih organovČlen 63. Mehanizem za skladnostČlen 64. Mnenje odboraČlen 65. Reševanje sporov s strani odboraČlen 66. Nujni postopekČlen 67. Izmenjava informacijČlen 68. Evropski odbor za varstvo podatkovČlen 69. NeodvisnostČlen 70. Naloge odboraČlen 71. PoročilaČlen 72. PostopekČlen 73. PredsednikČlen 74. Naloge predsednikaČlen 75. SekretariatČlen 76. Zaupnost
POGLAVJE VIII Pravna sredstva, odgovornost in kazni (77-84)
Člen 77. Pravica do vložitve pritožbe pri nadzornem organuČlen 78. Pravica do učinkovitega pravnega sredstva zoper nadzorni organČlen 79. Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalcaČlen 80. Zastopanje posameznikov, na katere se nanašajo osebni podatkiČlen 81. Začasna ustavitev postopkaČlen 82. Pravica do odškodnine in odgovornostČlen 83. Splošni pogoji za naložitev upravnih globČlen 84. Kazni
POGLAVJE IX Določbe o posebnih primerih obdelave (85-91)
Člen 85. Obdelava ter svoboda izražanja in obveščanjaČlen 86. Obdelava in dostop javnosti do uradnih dokumentovČlen 87. Obdelava nacionalne identifikacijske številkeČlen 88. Obdelava v okviru zaposlitveČlen 89. Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične nameneČlen 90. Obveznost varovanja skrivnostiČlen 91. Veljavna pravila o varstvu podatkov cerkva in verskih združenj
POGLAVJE X Delegirani akti in izvedbeni akti (92-93)
Člen 92. Izvajanje prenosa pooblastilaČlen 93. Postopek v odboru
POGLAVJE XI Končne določbe (94-95)
Člen 94. Razveljavitev Direktive 95/46/ESČlen 95. Razmerje z Direktivo 2002/58/ESČlen 96. Razmerje s predhodno sklenjenimi sporazumiČlen 97. Poročila KomisijeČlen 98. Pregled drugih pravnih aktov Unije o varstvu podatkovČlen 99. Začetek veljavnosti in uporaba
SUVP (GDPR) > Člen 5. Načela v zvezi z obdelavo osebnih podatkov
Prenos PDF

Člen 5 SUVP (GDPR). Načela v zvezi z obdelavo osebnih podatkov

1. Osebni podatki so:

(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

Komentar ISO 27701 Smernice in sodna praksa Uvodne izjave Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 5(1)(a) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

(EN) […]


to read the full text

Smernice in sodna praksa Uvodne izjave

(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

Povezana besedila

(b) zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

Komentar ISO 27701 Smernice in sodna praksa Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(b) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

(EN) […]


to read the full text

Smernice in sodna praksa Povezana besedila

(c) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

Komentar ISO 27701 Smernice in sodna praksa Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(c) GDPR:

7.4.1 Limit collection

Control

The organization should limit the collection of PII to the minimum that is relevant, proportional and necessary for the identified purposes.

Implementation guidance

The organization should limit the collection of PII to what is adequate, relevant and necessary in relation to the identified purposes. This includes limiting the amount of PII that the organization collects indirectly (e.g. through web logs, system logs, etc.).

Privacy by default implies that, where any optionality in the collection and processing of PII exists, each option should be disabled by default and only enabled by explicit choice of the PII principal.

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

(EN) […]


to read the full text

Smernice in sodna praksa Povezana besedila

(d) točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

Komentar ISO 27701 Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(d) GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

(EN) […]


to read the full text

Povezana besedila

(e) hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

Komentar ISO 27701 Smernice in sodna praksa Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 5(1)(e) GDPR:

7.4.4 PII minimization objectives

Control

The organization should define and document data minimization objectives and what mechanisms (such as de-identification) are used to meet those objectives.

Implementation guidance

Organizations should identify how the specific PII and amount of PII collected and processed is limited relative to the identified purposes.

(EN) […]


to read the full text

Smernice in sodna praksa Povezana besedila

(f) obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

Komentar ISO 27701 Smernice in sodna praksa Povezana besedila
Komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.2.1.

Here is the relevant paragraphs to article 5(1)(f) GDPR:

6.3.2.1 Mobile device policy

Implementation guidance

The organization should ensure that the use of mobile devices does not lead to a compromise of PII.

(EN) […]


to read the full text

Smernice in sodna praksa Povezana besedila

2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati („odgovornost“).

ISO 27701 Smernice in sodna praksa Uvodne izjave Povezana besedila
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.1.3.

Here is the relevant paragraphs to article 5(2) GDPR:

6.15.1.3 Protection of records

Implementation guidance

Review of current and historical policies and procedures can be required (e.g. in the cases of customer dispute resolution and investigation by a supervisory authority).

(EN) […]


to read the full text

Smernice in sodna praksa Uvodne izjave

(82) Za dokaz skladnosti s to uredbo bi moral upravljavec ali obdelovalec hraniti evidence o dejavnostih obdelave, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do teh evidenc, da bi bile tako lahko namenjene spremljanju dejanj obdelave.

Povezana besedila
Splošna uredba o varstvu podatkov (SUVP, GDPR)

Uvodne izjave Smernice in sodna praksa Pustite komentar
Uvodne izjave

(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

Smernice in sodna praksa Pustite komentar
[js-disqus]