Kdaj lahko obdelujemo osebne podatke?

Odgovor

Podatke lahko obdelujete samo v naslednjih primerih:

• če imate privolitev zadevnih posameznikov;
• če vas k temu zavezuje pogodbena obveznost (pogodba med vašim podjetjem/organizacijo in stranko);
• da bi izpolnili pravno obveznost (določeno v zakonodaji EU ali nacionalni zakonodaji);
• kadar je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu (določeno v zakonodaji EU ali nacionalni zakonodaji);
• za zaščito življenjskih interesov posameznika;
• zaradi zakonitih interesov vaše organizacije, vendar šele po tem, ko preverite, da to nima resnega vpliva na temeljne pravice in svoboščine osebe, katere podatke obdelujete. Če pravice osebe prevladajo nad vašimi interesi, podatkov ne morete obdelovati na podlagi zakonitega interesa. Ocena, s katero se ugotovi, ali vaši zakoniti interesi za obdelavo prevladajo nad zakonitimi interesi zadevne osebe, je odvisna od posameznih okoliščin primera.

Primeri

Privolitev
Ponujate glasbeno aplikacijo in od državljanov zahtevate privolitev za obdelavo njihovih glasbenih preferenc, da bi jim lahko predlagali skladbe in morebitne koncerte, ki bi jih lahko zanimali.

Pogodbena obveznost
Ukvarjate se s spletno prodajo blaga. Obdelujete lahko podatke, ki jih potrebujete, da bi se lahko odzvali na naročilo posameznika, še preden sklenete pogodbo, in za namene izvajanja pogodbe. Zato lahko obdelujete ime, naslov za dostavo, številko kreditne kartice (v primeru plačila s kartico) itd.

Pravna obveznost
Ste lastnik podjetja in imate zaposlene. Za pridobitev socialnega zavarovanja morate v skladu z zakonom zagotoviti osebne podatke (npr. tedensko plačo zaposlenih) ustreznemu organu.

Javni interes
Primer: strokovno združenje, kot je odvetniška ali zdravniška zbornica z uradnimi pooblastili lahko izvaja disciplinske postopke proti nekaterim svojim članom.

Življenjski interesi osebe
Vodite bolnišnico, ki zdravi pacienta po hudi avtomobilski nesreči. Za to, da poiščete njegov osebni dokument in preverite, ali ta oseba obstaja v vaši zbirki podatkov, ter preučite njegovo anamnezo ali navežete stik z njegovimi svojci, ne potrebujete njegove privolitve.

Zakoniti interesi vaše organizacije
Imate/Vodite podjetje in da bi zagotovili varnost omrežja, nadzorujete uporabo naprav IT svojih zaposlenih. Za ta namen lahko zakonito obdelujete osebne podatke samo, če izberete najmanj vsiljivo metodo z vidika pravice zaposlenih do varstva zasebnosti in podatkov, na primer omejitev dostopa do nekaterih spletnih mest (to ni mogoče v državah, v katerih nacionalno pravo določa strožja pravila za obdelavo v okviru zaposlitve).

Reference

• Člen 6; uvodne izjave 40, 41, 42, 43, 44, 45, 46, 47, 48, 49 Splošne uredbe o varstvu podatkov
• Mnenje 6/2014 delovne skupine iz člena 29 o pojmu zakonitih interesov upravljavca podatkov iz člena 7 Direktive 95/46/ES

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E