Splošne informacije
Razumevanje področja varstva osebnih podatkov se v teoriji in praksi spreminja iz dneva v dan. Splošne informacije so informativne narave in so namenjene v pomoč posameznikom pri razumevanju zahtevne tematike varstva osebnih podatkov. V primeru nasprotja teh informacij z veljavno zakonodajo, prakso nadzornih organov in prakso sodišč imajo prednost slednje.
Kaj je osebni podatek?
Osebni podatek je katera koli informacija v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
Osebni podatki, denimo, so: ime in priimek, domači naslov, lokacija, elektronski naslov, starost, datum rojstva, kraj rojstva, državljanstvo, narodnost, pridobljena izobrazba, EMŠO, davčna številka, GSM številka, številka bančnega računa, podatki o bivalnih pogojih posameznika, kategorija invalidnosti, delovna doba, itn.
Kaj pomeni obdelava osebnih podatkov in kdaj se za obdelavo uporabljata Splošna uredba o varstvu podatkov (GDPR) in Zakon o varstvu osebnih podatkov (ZVOP-2)?
Obdelava osebnih podatkov je kakršnokoli ravnanje z osebnimi podatki. Je torej vse, kar počnemo z osebnimi podatki. Tipični primeri obdelave osebnih podatkov so zbiranje, pridobivanje, shranjevanje, posredovanje, itn.
Splošna uredba o varstvu podatkov se uporablja za obdelavo osebnih podatkov, ki poteka v celoti ali delno z avtomatiziranimi sredstvi. Če pa se obdelava v celoti izvaja ročno (ne poteka niti delno z avtomatiziranimi sredstvi), veljajo zahteve GDPR, če so podatki, ki se obdelujejo, že del zbirke ali so namenjeni vključitvi v zbirko osebnih podatkov.
ZVOP-2 se uporablja za obdelave osebnih podatkov na področjih, ki jih ureja Splošna uredba ali jih posebej ureja ta zakon in se izvajajo v celoti ali delno z avtomatiziranimi sredstvi, in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.
Kdo je upravljavec osebnih podatkov v konkretnem primeru?
Upravljavec osebnih podatkov posameznikov v konkretnem primeru je Univerza v Mariboru, Slomškov trg 15, 2000 Maribor, matična številka: 5089638000, davčna številka: 71674705. Več informacij o Univerzi v Mariboru, članicah in drugih članicah univerze lahko najdete na obstoječi spletni strani.
Kako Univerza v Mariboru zbira osebne podatke?
Univerza v Mariboru pridobiva osebne podatke iz različnih virov. Večinoma podatke posamezniki posredujejo neposredno (npr. študenti ob izpolnitvi vpisnega lista, zaposleni ob izpolnitvi izjave za povračilo stroškov prevoza na delo in z dela, itn.), Univerza v Mariboru pa obdeluje tudi podatke, ki jih pridobi iz drugih zakonitih virov (npr. uradne evidence, itn.).
Katere vrste osebnih podatkov se zbirajo in obdelujejo?
V okviru opravljanja svoje dejavnosti Univerza v Mariboru zbira in obdeluje različne vrste osebnih podatkov posameznikov. Kateri osebni podatki se obdelujejo v konkretnem primeru, je odvisno od namena in pravnega temelja za obdelavo. Pri tem dosledno spoštujemo načelo najmanjšega obsega podatkov. Na Univerzi v Mariboru obdelujemo samo tiste podatke, brez katerih ni mogoče razumno doseči namena obdelave oziroma za obdelavo katerih pridobimo soglasje posameznikov. Osebne podatke posameznikov obdelujemo zakonito, pošteno in na pregleden način. Za vsako obdelavo osebnih podatkov imamo konkreten namen in pravni temelj, ki sta ustrezno evidentirana v evidenci dejavnosti obdelave (EDO) osebnih podatkov. Kadar se nenamerno zberejo osebni podatki, za katere je očitno, da niso potrebni za konkretno obdelavo, se izbrišejo brez nepotrebnega odlašanja, drugače nepovratno uničijo ali vrnejo posamezniku, na katerega se nanašajo, ali upravljavcu ali obdelovalcu, ki jih je poslal.
Kdo so uporabniki pridobljenih osebnih podatkov?
Uporabniki pridobljenih osebnih podatkov so prvenstveno zaposleni na Univerzi v Mariboru. Pri tem dosledno upoštevamo načelo najmanjšega obsega obdelave ter celovitosti in zaupnosti podatkov.
Osebne podatke posameznikov v določenih primerih obdelujejo tudi t. i. pogodbeni obdelovalci. Gre za zaupanja vredne družbe, ki jim je zaradi različnih potreb zaupana obdelava osebnih podatkov in s katerimi ima Univerza v Mariboru sklenjene posebne pogodbe o varstvu osebnih podatkov (npr. podjetje, ki izdeluje študentske izkaznice itn.)
Univerza v Mariboru osebne podatke posameznikov v določenih primerih posreduje tudi tretjim osebam (npr. Inšpektoratu Republike Slovenije za delo, Finančni upravi Republike Slovenije, sodiščem, itn.), če ji takšno obveznost posredovanja oziroma razkritja nalaga zakon ali drug predpis.
Kako dolgo Univerza v Mariboru hrani osebne podatke posameznikov?
Rok hrambe osebnih podatkov posameznikov je odvisen od namena pridobitve, pravne podlage in drugih okoliščin konkretnega primera obdelave. Na Univerzi v Mariboru osebne podatke posameznikov hranimo le toliko časa, kolikor je to potrebno za namene, za katere se podatki obdelujejo. Za primere, ko rok hrambe osebnih podatkov ni vnaprej predpisan z zakonodajo, je bilo na Univerzi v Mariboru z namenom zagotovitve uresničevanja načela omejitve shranjevanja sprejeto Navodilo o določanju rokov hranjenja in upravljanju dokumentarnega gradiva Univerze v Mariboru.
Če drug zakon za posamezne vrste osebnih podatkov ne določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo, uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.
Univerza v Mariboru ob upoštevanju narave obdelovanih podatkov in tveganj občasno in na dokumentiran način preverja, ali se upoštevajo določbe glede roka hrambe.
Na koga se lahko posameznik obrne za dodatna pojasnila ali informacije o obdelavi osebnih podatkov, vključno z informacijami o svojih pravicah?
Če imate kakršnakoli vprašanja, povezana z varstvom oziroma obdelavo vaših osebnih podatkov, se lahko obrnete na pooblaščeno osebo za varstvo osebnih podatkov Univerze v Mariboru (v angleščini: data protection officer ali skrajšano DPO), ki je dosegljiva na elektronskem naslovu dpo@um.si.
Podrobne informacije o posameznih vidikih obdelav osebnih podatkov lahko najdete tudi na spletnih straneh Informacijskega pooblaščenca Republike Slovenije in Evropskega odbora za varstvo osebnih podatkov ter v mnenjih t. i. Delovne skupine iz člena 29.
Kako lahko posameznik uveljavlja pravice s področja varstva osebnih podatkov?
Posamezniki lahko pravice s področja varstva podatkov uveljavljajo z zahtevo, ki jo naslovijo na Univerzo v Mariboru. Zahtevo je mogoče vložiti osebno ali po pošti na naslov Slomškov trg 15, 2000 Maribor ali elektronsko na rektorat@um.si ali dpo@um.si. Univerza v Mariboru o zahtevi posameznika odloči v roku 1 meseca od prejema, izjemoma se lahko ta rok podaljša za največ dva meseca ob upoštevanju kompleksnosti in števila zahtev. Pri vložitvi zahteve si lahko posamezniki pomagajo z obrazci Informacijskega pooblaščenca Republike Slovenije.
Na koga se lahko posameznik pritoži, če meni, da upravljavec nezakonito ravna z osebnimi podatki?
Zoper molk upravljavca lahko posameznik vloži pri nadzornem organu (Informacijskem pooblaščencu Republike Slovenije, Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si telefon: 012309730, spletna stran: www.ip-rs.si) pritožbo zaradi molka. Roka za vložitev pritožbe zaradi molka ni.
Zoper zavrnilni odgovor upravljavca lahko posameznik vloži pritožbo pri nadzornem organu v 15 dneh od prejema odgovora upravljavca.
Vsak posameznik, na katerega se nanašajo osebni podatki, ima brez poseganja v katero koli drugo upravno ali pravno sredstvo pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši Splošno uredbo o varstvu podatkov. Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi 78. člena Splošne uredbe o varstvu podatkov.
Posameznik, ki meni, da upravljavec ali obdelovalec iz javnega ali zasebnega sektorja krši njegove pravice, določene s Splošno uredbo ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah ZVOP-2 ali uporabe drugih pravnih sredstev.