Splošna uredba o varstvu podatkov
Splošna uredba EU o varstvu podatkov (GDPR) določa, kako se smejo obdelovati in prenašati osebni podatki posameznikov.
Kaj je GDPR?
Splošna uredba EU o varstvu podatkov (GDPR) je najstrožja zakonodaja o zasebnosti in varnosti na svetu.
S to uredbo so bila posodobljena in prenovljena načela iz direktive o varstvu podatkov iz leta 1995. Sprejeta je bila leta 2016, uporabljati pa se je začela 25. maja 2018.
GDPR opredeljuje:
- temeljne pravice posameznikov v digitalni dobi
- obveznosti tistih, ki obdelujejo podatke
- metode za zagotavljanje skladnega ravnanja
- sankcije za kršitelje pravil
Pravice posameznikov
V GDPR so navedene pravice posameznika, na katerega se nanašajo osebni podatki, torej posameznikov, katerih osebni podatki se obdelujejo. Te okrepljene pravice posameznikom omogočajo večji nadzor nad njihovimi osebnimi podatki, vključno s:
- tem, da mora posameznik jasno privoliti v obdelavo osebnih podatkov
- lažjim dostopom posameznika, na katerega se nanašajo osebni podatki, do svojih osebnih podatkov
- pravico do popravka, izbrisa oziroma „pozabe“
- pravico do ugovora, tudi zoper uporabo osebnih podatkov za namene „profiliranja“
- pravico do prenosljivosti podatkov od enega ponudnika storitev do drugega
V uredbi o varstvu podatkov so določene pravice posameznikov ter obveznosti tistih, ki obdelujejo podatke, in tistih, ki so odgovorni za njihovo obdelavo.
Obveznosti podjetij in organizacij
GDPR podrobno opredeljuje splošne obveznosti upravljavcev podatkov in tistih, ki osebne podatke obdelujejo v njihovem imenu (obdelovalci).
Med njimi je obveznost izvajanja ustreznih varnostnih ukrepov glede na tveganje, povezano s postopki obdelave podatkov, ki jih opravljajo.
V nekaterih primerih morajo upravljavci predložiti tudi uradno obvestilo o kršitvah varnosti osebnih podatkov. Vsi javni organi in podjetja, ki opravljajo določene tvegane postopke obdelave podatkov, morajo prav tako imenovati uradno osebo za varstvo podatkov.
Uporaba pravil o varstvu podatkov
Uredba potrjuje že od prej veljavno obveznost držav članic, v skladu s katero morajo te ustanoviti neodvisen nadzorni organa na nacionalni ravni in vzpostaviti mehanizem za zagotavljanje doslednosti pri uporabi zakonodaje o varstvu podatkov po vsej EU.
GDPR določa, da se v čezmejnih primerih, v katere je vključenih več nacionalnih nadzornih organov, sprejme enotna nadzorna odločitev. To načelo, znano kot načelo „vse na enem mestu“, pomeni, da je za podjetje s hčerinskimi družbami v več državah članicah pristojen le organ za varstvo podatkov v državi članici, v kateri ima to podjetje glavni sedež.
Evropski odbor za varstvo podatkov skrbi, da se GDPR uporablja v celoti in dosledno. Ta odbor sestavljajo predstavniki oziroma predstavnice vseh 27 neodvisnih nadzornih organov.
Svet je 17. novembra 2025 sprejel zakonodajni akt EU, ki naj bi začel veljati leta 2026. Ta akt omogoča hitrejše in učinkovitejše sodelovanje med nacionalnimi organi za varstvo podatkov pri obravnavi čezmejnih pritožb na podlagi splošne uredbe o varstvu podatkov, ki vključujejo več držav EU. Pravila poenostavljajo upravne postopke, njihov cilj pa je zagotoviti:
- hitro obravnavo čezmejnih pritožb in boljše sodelovanje
- preiskavo pravic pritožnikov in strank
V skladu s splošno uredbo o varstvu podatkov so zoper upravljavce ali obdelovalce, ki kršijo pravila o varstvu podatkov, določene stroge sankcije. Upravljavcem podatkov grozi kazen do 20 milijonov evrov ali 4 % njihovega skupnega letnega prometa.
Poleg tega se lahko posamezniki pritožijo pri nadzornem organu ter imajo pravico do pravnega sredstva in odškodnine. Imajo pravico, da zoper odločitev svojega organa za varstvo podatkov vložijo pritožbo na sodišču svoje države, ne glede na to, v kateri državi članici ima zadevni upravljavec podatkov sedež.
- Evropski odbor za varstvo podatkov
- Svet sprejel nov zakonodajni akt EU za hitrejšo obravnavo čezmejnih pritožb v zvezi z varstvom podatkov (sporočilo za javnost, 17. november 2025)
- Varstvo podatkov: Svet dosegel dogovor o stališču glede pravil v zvezi z izvrševanjem splošne uredbe o varstvu podatkov (sporočilo za javnost, 13. junij 2024)
Prenosi v države, ki niso članice EU
GDPR ureja tudi prenos osebnih podatkov v države, ki niso članice EU, in mednarodne organizacije. Evropska komisija je zadolžena za oceno ravni varstva, ki jo zagotavlja ozemlje ali sektor obdelave v državi, ki ni članica EU.
Če Komisija ne sprejme odločitve o ozemeljski ali sektorski ustreznosti, se lahko prenos osebnih podatkov vseeno izvede, če gre za posebne primere in je poskrbljeno za primerne zaščitne ukrepe.
Glej tudi
Varstvo podatkov v EU
Varstvo podatkov pri kazenskem pregonu
Zadnja posodobitev: 22. maj 2026