Varstvo osebnih podatkov

Pravica do varstva osebnih podatkov je temeljna pravica in svoboščina posameznika. Področje ureja Splošna uredba o varstvu podatkov (GDPR) Evropske unije, ki postavlja skupna pravila za varstvo osebnih podatkov v EU. Nekatera vsebinska in postopkovna vprašanja pa lahko posebej uredijo države članice EU. Ta področja pri nas ureja Zakon o varstvu osebnih podatkov (ZVOP-2). ZVOP-2 velja od 26. 1. 2023.

Nadzorni organ za izvajanje varstva osebnih podatkov je Informacijski pooblaščenec. Tehnični in organizacijski ukrepi, ter druga pravila o varstvu posameznikov pri obdelavi osebnih podatkov, je potrebno opredeliti v internem Pravilniku o varstvu osebnih podatkov. V njem se, skladno z zakonodajo, navede npr.:

• namen in pravno naravo obdelovanih osebnih podatkov na splošno,
• evidence obdelave osebnih podatkov,
• pooblaščeno osebo za varstvo osebnih podatkov,
• oceno učinka v zvezi z varstvom osebnih podatkov in predhodno posvetovanje za konkretno zbirko osebnih podatkov,
• kateri podatki se lahko obdelujejo,
• informiranje posameznika in njegove pravice,
• zbirke osebnih podatkov (kadrovska evidenca, evidenca kupcev, ipd.),
• ukrepe za varovanje osebnih podatkov, npr. navedba odgovorno osebo za izvajanje.

Osebni podatki

Osebni podatki so katera koli informacija v zvezi z določenim ali določljivim živečim posameznikom (le izjemoma tudi mrtvi posamezniki – 9. člen ZVOP-2). Mednje spadajo tudi različne posamezne informacije, ki lahko skupaj privedejo do identifikacije določene osebe, in sicer:

• ime in priimek,
• naslov prebivališča (stalni, začasni, običajni),
• naslov elektronske pošte, na primer priimek@podjetje.si,
• enotna matična številka občana, davčna številka (posameznika), številka zdravstvenega zavarovanja,
• številka osebne izkaznice,
• registrska oznaka,
• podatki o lokaciji (npr. funkcija posredovanja podatkov o lokaciji na mobilnem telefonu)*,
• naslov IP,
• oznaka piškotka,
• identifikator za oglaševalce na vašem telefonu,
• podatki, ki jih hrani bolnišnica ali zdravnik, ki bi lahko bili znak, ki na edinstven način identificira osebo,
• lahko tudi št. zadeve ali št. storitve, če je možen avtomatiziran lahek priklic z uporabo številke – drugih identifikatorjev, npr. imena in priimka, naslova domačega prebivališča.

Primeri podatkov, ki se ne obravnavajo kot osebni, pa so:

• matična številka podjetja,
• naslov elektronske pošte, na primer info@podjetje.si,
• anonimizirani podatki (osebni podatki, ki so anonimizirani tako, da posameznik ni ali ni več določljiv).

Pravica posameznika je, da lahko zahteva seznanitev z lastnimi osebnimi podatki, njihovo popravo, omejitev obdelave oziroma izbris.

Določbe GDPR in ZVOP-2  veljajo za obdelavo osebnih podatkov, ki se izvaja v celoti ali delno z avtomatiziranimi sredstvi oziroma v primeru, ko se obdelava izvaja neavtomatizirano in so osebni podatki del zbirke. Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od pogojev za obdelavo in je pridobljena ena izmed spodnjih oblik pravne podlage:

1. Privolitev: posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov. Primer: sodelovanje v nagradni igri, prijava na e-obveščanje, dovoljenje za objavo osebnih kontaktov na spletni strani itd.
2. Pogodba: obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Primer: posredovanje podatkov pri spletnem nakupu, uporaba kontaktnih podatkov posameznika, ki je želel prejeti ponudbo, itd.
3. Zakonska obveznost: obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca. Primeri: obdelava osebnih podatkov v delovnem razmerju, kjer delodajalec obdeluje podatke zaradi zahtev iz področja delovno-pravne zakonodaje, davčne zakonodaje, obdelava podatkov o strankah zaradi zahtev iz področja bančništva in preprečevanja pranja denarja, obdelave podatkov zaradi izvršitve pravnomočnih sodnih odločb itd.
4. Življenjski interesi: obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe. Primer: Obdelava zdravstvenih podatkov v primeru prometnih nesreč, ko npr. voznik drugega vozila sporoči podatke o ponesrečencu, ki jih najde na kraju dogodka, da bi zagotovil potrebno zdravstveno obravnavo, obdelava podatkov o pogrešanih osebah za namene iskanja in reševanja.
5. Izvajanja javne naloge (velja le za javni sektor): obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu. Primeri: obdelava podatkov prosilcev za pomoč iz javnih sredstev na podlagi zakonodaje s področja socialne varnosti, obdelava podatkov s strani policije.
6. Zakoniti interes (velja le za zasebni sektor): obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. Primer: Uporaba zakonito zbranih kontaktov novinarjev za pošiljanje sporočil za javnost.

Kadar se nenamerno zberejo osebni podatki, za katere je očitno, da niso potrebni za konkretno obdelavo, se takoj izbrišejo, uničijo ali vrnejo posamezniku, upravljalcu ali obdelovalcu, ki jih je poslal.

Upravljavec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki sam ali skupaj z drugimi določa namene in sredstva obdelave. Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Osebni podatki posameznika morajo biti obdelani zakonito, pošteno in na pregleden način. Posamezniki imajo pravico do obveščenosti o obdelavi njihovih osebnih podatkov. Informacije, ki jih mora dati upravljavec se razlikujejo glede na to ali so bili podatki pridobljeni neposredno od posameznika ali iz drugih virov.

Posredovanje osebnih podatkov

V primeru, ko prejmete zahtevo za posredovanje osebnih podatkov (npr. CSD), morate vsako posredovanje osebnih podatkov dokumentirati. Zaznamek naj vsebuje podatke o tem kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oz. iz katerih razlogov oz. za potrebe katerega postopka. Dokazilo je potrebno hraniti dve leti, razen če vodite dnevnik obdelave.

Odločanje o zahtevah posameznikov

Ko posameznik uveljavlja pravice iz GDPR, ga mora upravljavec, ki ni državni organ ali občina, seznaniti s svojo odločitvijo. V primeru ugoditve, mora upravljavec izvesti zahtevo (omogočanje dostopa, popravek, izbris, blokiranje itd.). Kadar upravljavec zahtevo zavrne, posameznika seznani z odločitvijo. Seznanitev oziroma, kadar zahtevo zavrne državni organ ali občina, odločba mora vsebovati obvestilo z obrazloženo odločitvijo ter informacijo o pravici do pritožbe, v roku 15 dni, pri Informacijskem pooblaščencu.

Posameznikom se informacije posredujejo v pisni ali v elektronski obliki. Na njegovo zahtevo se lahko informacije predložijo ustno, če izkaže svojo identiteto. Informacije se zagotovijo brezplačno. Materialni stroški posredovanja informacij se lahko zaračunajo le, kadar so zahtevki posameznika očitno neutemeljeni ali pretirani (pogosto ponavljanje). Takrat lahko upravljavec zahtevi, če je po vsebini utemeljena, vseeno ugodi in posamezniku zaračuna razumne stroške.

Pooblaščena oseba za varstvo osebnih podatkov (ang. Data Protection Officer ali DPO) izvaja svetovalne in nadzorne naloge na področju varstva osebnih podatkov. Je kontaktna točka za nadzorni organ in mora biti dostopna posameznikom, katerih osebne podatke obdelujete.

Njene glavne naloge so spremljanje skladnosti z GDPR, svetovanje upravljavcem in obdelovalcem o njihovih obveznostih, izobraževanje in ozaveščanje zaposlenih ter svetovanje glede izvedbe ocene učinka v zvezi z varstvom podatkov.

Obveznost imenovanja pooblaščene osebe ni vezana na število zaposlenih v podjetju, temveč GDPR in ZVOP-2 določata kriterije, po katerih morate sami oceniti, ali ste takšno podjetje ali institucija, ki mora imeti pooblaščeno osebo.

Pooblaščeno osebo morajo poimenovati:

• javni organi in telesa,
• podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (CRM), zdravstveni IT sistemi.

Pooblaščene osebe pa niso dolžna imenovati:

• proizvodna in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov.
• podjetja in institucije, ki izvajajo obsežno obdelavo zdravstvenih in drugih občutljivih podatkov, ki sodijo med t.i. posebne vrste osebnih podatkov (podatki o rasnem ali etničnem poreklu, političnem mnenju, verskem ali filozofskem prepričanju, članstvu v sindikatu, genetski in biometrični podatki, podatki v zvezi z zdravjem, spolnim življenjem ali spolno usmerjenostjo ter podatki iz kazenskih in prekrškovnih evidenc), npr. bolnišnice in klinike, zdravstveni in socialno-varstveni zavodi, ponudniki zdravstvenih informacijskih sistemov in storitev, sindikati, nekatera društva in podobno.

Drugi upravljavci ali obdelovalci lahko prostovoljno določijo pooblaščeno osebo, saj si s tem precej olajšajo delo povezano z varstvom osebnih podatkov.

Kontaktne podatke pooblaščene osebe je nujno potrebno sporočiti nadzornim organom, in sicer v roku 8 dni od določitve pooblaščene osebe. Nadzornemu organu morate sporoči poštni naslov, telefonsko številko in/ali e-poštni naslov. Na voljo je tudi spletni obrazec za sporočanje in popravljanje podatkov.

Ni nujno, da je pooblaščena oseba zunanji izvajalec, lahko je tudi zaposlena oseba, a je pri tem potrebno paziti, da ne gre za nasprotje interesov med upravljavcem in obdelovalcem.

Dejavnosti obdelav so vse obdelave osebnih podatkov, ki jih izvajate v organizaciji, kot npr. posredovanje podatkov za določen namen, obračun plač, pošiljanje oglasnih sporočil po e-pošti itd. Dejavnost obdelave je sestavljena iz več dejanj obdelave, kot so na primer pridobivanje podatkov, hramba, izbris itd. GDPR vsebuje izrecne določbe glede evidentiranja dejavnosti obdelav osebnih podatkov, kamor uvrščamo vse obdelave osebnih podatkov, ki se izvajajo v organizaciji.

Majhna in srednje velika podjetja (do 250 zaposlenih) imajo obveznosti dokumentiranja procesov le za določene vrste dejavnosti obdelav. Sem uvrščamo bolj tvegane obdelave, npr. zdravstvenih podatkov ali podatkov iz kazenskih evidenc. Evidence dejavnosti je treba voditi v pisni obliki tako, da jih je mogoče na zahtevo Informacijskega pooblaščenca predložiti v pregled.

Evidenco dejavnosti obdelave morajo voditi tako upravljavci, kot obdelovalci.

Tako GDPR kot ZVOP-2 urejata tudi področje varnosti osebnih podatkov in ukrepe za njihovo zagotavljanje. Glavni namen varnosti osebnih podatkov je preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili.

Dnevnik obdelav

Dnevnik obdelave je pisni dokument, v večini primerov se dnevnik vodi avtomatizirano (npr. sistemski dnevnik). V dnevniku se beležijo podatki o: zbiranju, spreminjanju, vpogledu, razkritju, vključno s prenosi, izbrisu ter ostalih dejanjih obdelave.

Skladno z ZVOP-2 se dnevnik obdelav vodi v primeru, ko:

1. se izvaja avtomatizirana obdelava obsežnih količin podatkov,
2. se redno in sistematično spremlja posameznike,
3. je vodenje dnevnika zadano kot varovalni ukrep v Oceni učinka.

Poleg vrste dejanja obdelave, mora biti v dnevniku razviden tudi datum in čas obdelave, identifikacija osebe, ki je izvedla dejanje obdelave, ter identifikacija uporabnikov osebnih podatkov, na način, da je mogoče naknadno ugotoviti točno identiteto teh oseb.

Dnevnik se hrani 2 leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave (možne izjeme do 5 let – Ocena učinka).

Področje posebnih obdelav

Za informacijske sisteme, navedene v nadaljevanju, je smiselna tudi souporaba Zakona o informacijski varnosti, predvsem na temo prijav incidentov in varnostnih zahtev. V teh primerih je namreč potrebno upoštevati varnost in interes Republike Slovenije (preprečevanje hudega škodovanja). Velja za informacijske sisteme, v kateri se izvaja obdelava:

1. osebnih podatkov, določenih v zakonih (centralni register prebivalstva, zdravstveno varstvo, finančna uprava, obramba, SOVA, zdravstveno zavarovanje, kazenske in prekrškovne evidence ter uveljavljanje pravic iz javnih sredstev, kot so na primer socialne pomoči, štipendije in podobno),
2. več kot 100.000 posameznikov na podlagi zakona (razen videonadzora),
3. obsežna obdelava osebnih podatkov kot temeljna dejavnost subjekta,
4. posebnih osebnih podatkov več kot 10.000 posameznikov.

V kolikor so v obdelavo vključeni biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, mora biti hramba osebnih podatkov vselej znana, zbirke iz 1. točke pa se hranijo na ozemlju Republike Slovenije.

Izdelati je potrebno oceno učinka ter imenovati pooblaščeno osebo za varstvo osebnih podatkov.

Ocena učinka varstva osebnih podatkov predstavlja način, kako doseči zmanjševanje tveganj pri ravnanju z osebnimi podatki, analizo tveganj in določanje, kaj bi lahko pomenilo tveganje.

Ocena učinka izvede upravljalec takrat, ko je možno, da bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Izvedba ocene učinkov je priporočljiva tudi pri večjih projektih, pri katerih je predvidena obdelava osebnih podatkov.

Predviden obseg:

• sistematičen opis dejanj in namenov obdelave,
• oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen,
• oceno tveganj za posameznike, na katere se nanašajo osebni podatki,
• ukrepe za obravnavanje tveganj, skupaj z zaščitnimi ukrepi
• varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov.

V pripravo ocene učinka se vključi tudi pooblaščeno osebo za varstvo podatkov. Če se oceni kot primerno, se za mnenje zaprosi tudi relevantna strokovna združenja, zbornice, strokovnjake itd.

V primeru, ko je rezultat izvedene ocene učinkov nesprejemljivo visoko tveganje, je potrebno opraviti predhodno posvetovanje z nadzornim organom. Ob upoštevanju kompleksnosti se obdelava predvideno podaljša za šest tednov.

Oceno učinka se pripravi pred uvedbo obdelave osebnih podatkov, kadar so izpolnjeni pogoji po GDPR oziroma že v fazi priprave zakona, ki ureja novo obdelavo osebnih podatkov.

Kdaj je ocena učinka obvezna in kdaj ni, je podrobneje predstavljeno na Seznamu obdelav.

Pred vzpostavitvijo in izvajanjem videonadzora, mora upravljalec objaviti obvestilo, ki mora biti postavljeno tako, da je v naprej vidno, kar pomeni, da se posameznik lahko predhodno odloči in se izogne območju, kjer je vzpostavljen videonadzor. Pri tem mora navesti namen obdelave, upravljavca, telefonsko število/naslov elektronske pošte ali spletni naslov za potrebe uveljavljanja pravic. Obdelava videoposnetkov mora biti sledljiva, kar pomeni, da mora upravljavec sistema zagotoviti možnost ugotavljanja, komu je posnetke posredoval, zakaj, kaj je bila podlaga itd. Potrebno je voditi tudi evidenco uporabe vidonadzornega sistema.

Videonadzor v notranjih prostorih se lahko izvaja le, ko je nujno potrebno. Vsi zaposleni, morajo biti o njem pisno obveščeni v naprej. Vpogled do posnetkov ima lahko samo izrecno pooblaščeno osebje. Njihovo posredovanje je dopustno samo iz razlogov in za namen, ki je zakonito obstajal in bil naveden na obvestilu o izvajanju videonadzora. Videonadzor v določenih prostorih ni dopusten (dvigala, sanitarije, hotelske sobe ...).

Videonadzor dostopov v službene prostore je dovoljen, če je to potrebno za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa ali izstopa v prostore, ali če zaradi narave dela obstaja možnost ogrožanja zaposlenih. Zaposleni morajo biti o nameri prej obveščeni. V snemanje ne smejo biti vključeni stanovanjski deli ali vhodi v stanovanja. V primeru vzpostavitve videonadzora v več lastniški zgradbi, je potrebno 70 % soglasje lastnikov.

Pri videonadzoru cest se lahko izvaja videonadzor le v naprej določenih cestnih odsekih. Videonadzor na javnih površinah je dovoljen tudi za namene varovanja varovanih oseb ter posebnih objektov in okolišev objektov oz. varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za doseganje namena. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za te namene.

Biometrija je eden izmed načinov ugotavljanja oz. preverjanje identitete, pri katerih se uporablja človeške značilnosti (prstni odtis, dlan, šarenica, DNK, lastnoročno podpisovanje, glas, gibanje …).

Pri obdelavi biometričnih osebnih podatkov v javnem sektorju velja precej omejitev. Lahko se jo določi le z zakonom, če je to nujno potrebno, in sicer za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti, identifikacijo pogrešanih ali umrlih posameznikov, itd.

V zasebnem sektorju se biometrija lahko uporablja, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, premoženja, varovanja tajnih podatkov ali poslovnih skrivnosti. Biometrična obdelava je dopustna v primeru preverjanja identitete strank, če je to določeno z zakonom, pogodbo ali z izrecno privolitvijo stranke. Pred začetkom obdelave biometričnih osebnih podatkov morate posameznika o tem pisno obvestiti. Kadar gre za zaposlene, je potrebno z njimi opraviti prehodno posvetovanje. V kolikor se stranka z uporabo biometrije ne strinja, mora imeti možnost drugačnega načina identifikacije. Obdelava biometričnih podatkov pa v vsakem primeru ni dovoljenja v okviru neposrednega trženja.

Pred uvedbo biometrijskih ukrepov je potrebno to javiti nadzornemu organu, preko obrazca.

V GPS tehnologiji prihaja običajno do obdelave naslednjih vrst osebnih podatkov:

• datum, čas in lokacija vožnje vozil,
• datum, čas in lokacija postanka vozila,
• uporabnik vozila v primeru uporabe identifikacije.

ZVOP-2 posebej ne ureja dotičnega področja, ga pa ureja GDPR. V primeru obdelave podatkov iz GPS naprav, cilj ne sme biti sledenje posameznikov. Priporoča se pripravo pravilnika/pisnega sklepa o uvedbi (npr. sklep o uporabi GPS sistema, pravilnik o uporabi službenih vozil). V sprejetem dokumentu je potrebno razloge čim bolj konkretizirati. Opredeljene cilje pa v nadaljevanju tudi dosegati. GPS tehnologija mora imeti možnost izklopa, v primeru osebne uporabe. Pred uvedbo nadzora se je potrebno z zaposlenimi predhodno posvetovati in jih o nameri informirati.

Piškotki so pomembno orodje, ki podjetjem in lastnikom spletnih strani omogočajo vpogled v spletno dejavnost njihovih uporabnikov. Sami po sebi so popolnoma neškodljivi in služijo ključnim funkcijam spletne strani.

Zakon o elektronskih komunikacijah (ZEKom-2) v 225. členu določa, da je uporaba piškotkov dovoljena samo na podlagi predhodnega soglasja, ki ga podamo po tem, ko smo bili jasno obveščeni o upravljavcu in namenu obdelave podatkov.  Privolitev ni potrebna le za tiste piškotke, ki se uporabljajo izključno zaradi prenosa sporočila po elektronskem komunikacijskem omrežju, ali, ki so nujno potrebni za zagotovitev storitve, ki jo naročnik izrecno zahteva.

Splošna uredba o varstvu podatkov navaja, da se kot veljavna privolitev šteje le aktivna in prostovoljno podana, konkretna, informirana in nedvoumna vnaprejšnja privolitev posameznika v obdelavo podatkov.

ZEKom-2 v 226. členu obravnava, da je obdelovanje podatkov za namene neposrednega trženja, nedopustna brez pridobljene uporabnikove predhodne privolitve in brez predhodnega jasnega in izčrpnega obvestila o namenih teh podatkov. Obdelava podatkov je dovoljena samo v primeru, ko ima kupec/bivši kupec jasno in izrecno možnost, da brezplačno in enostavno zavrne takšno uporabo svojega kontakta, npr. elektronskega naslova (vodenje unsubscribe/block lista).

Pri pripravi tržnega sporočila bodite pozorni na to, da ima uporabnik možnost odjave, ki mora biti enostavna in del vseh elektronskih sporočil. Sporočilo naj vsebuje tudi povezavo do politike zasebnosti ali splošnih pogojev. V njej naj bo obrazloženo kdo upravlja s podatki, s katerimi podatki se upravlja, za kakšen namene, kakšne so pravice uporabnikov.

Fizična ali pravna oseba lahko uporabi naslov fizične osebe za elektronsko pošto, v primeru, če ta elektronski naslov pravna oseba javno objavi kot svoj kontaktni naslov. Podlaga za uporabo le-tega mora biti zakoniti interes. Priporočljivo je periodično preverjanje skladnosti podatkov, če je poslovna komunikacija na omenjeni naslov še vedno smiselna. Javni e-naslov lahko namreč postane zasebni. Prav tako je smiselno, da se doda možnost enostavne zavrnitve sporočila. Nezaželeno komunikacijo v elektronskih medijih je mogoče prijaviti preko obrazca.

GDPR kršitev varnosti osebnih podatkov opredeljuje kot kršitev, ki vodi do nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja oziroma dostopa do osebnih podatkov. 

V primeru zaznave kršitve je treba oceniti verjetnost in resnost posledic za pravice in svoboščine posameznikov. V kolikor zaznate kršitev, s katero so bile ogrožene pravice in svoboščine posameznikov, morate o tem takoj, najkasneje pa v 72 urah, obvestiti nadzorni organ. Na voljo je obrazec Obvestilo o kršitvi.

V primeru kršitve varnosti osebnih podatkov, ki lahko povzroči veliko tveganje za posameznika, morate kršitev sporočiti tudi njemu neposredno. Obvestilo, v katerem opišete kršitev, morate podati v jasnem in preprostem jeziku.

Informacijski pooblaščenec priporoča, da imate vnaprej vzpostavljen (in dokumentiran) učinkovit sistem za zaznavanje in sporočanje kršitev. Priporočljivo je beležiti in hraniti vse zaznane kršitve varstva osebnih podatkov, ne glede na potrebo po uradnem obveščanju.

Prijava kršitev v elektronski medijih se lahko poda na spletnem obrazcu AKOS.

Vse obrazce Informacijskega pooblaščenca lahko najdete na njihovi spletni strani: Obrazci s področja varstva osebnih podatkov.