Kako uskladiti varovanje osebnih podatkov v vzgoji in izobraževanju po GDPR

17. 5. 2018 | Avtor: mag. Andrej Tomšič

Reforma evropskega zakonodajnega okvira za varstvo osebnih podatkov prinaša nekaj pomembnih novosti tako za posameznike kot za upravljavce in obdelovalce osebnih podatkov. Ključna pravna akta, ki ju bodo morali slednji upoštevati in izvajati, sta Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba oz. GDPR) ter novi Zakon varstvu osebnih podatkov (ZVOP-2). ZVOP-2 v času posodabljanja priročnika še ni bil sprejet, zato bodo njegove ključne novosti predstavljene kasneje.

GDPR prinaša nekaj pomembnih novosti, ki ji morajo upoštevati in izvajati tudi vzgojno-izobraževalni zavodi.

Najemanje storitev obdelovalcev (pogodbena obdelava)

Najemanje storitev zunanjih obdelovalcev, ki delajo z osebnimi podatki v imenu in za račun tudi vzgojno-izobraževalni zavodov (npr. obračun plač, vzdrževanje IT okolja in storitev…) GDPR ureja bolj strogo kot ZVOP-1. GDPR zahteva, da se najame le tiste obdelovalce, ki lahko zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika. Navedeno je treba razumeti kot obdelovalce z referencami, izkušnjami, drugimi ustreznimi jamstvi.

Zelo pomembna zahteva GDPR je, da obdelovalec ne sme zaposliti drugega obdelovalca (»podizvajalca«) brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. Odobri se mu lahko vsakega posebej ali splošno dovoli najemanje podizvajalcev, ne sme pa do tega priti brez vednosti ali brez soglasja upravljavca (»naročnika«). V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

Obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelavenarava in namen obdelave, vrste osebnih podatkovkategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

Pogodba ali drug pravni akt zlasti mora vsebovati številne  klavzule in mora določati, da obdelovalec:

  1. osebne  obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov  osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva zakonodaja;
  2. zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;
  3. sprejme vse ukrepe, potrebne za varnost podatkov v skladu s členom 32;
  4. spoštuje pogoje za zaposlitev drugega obdelovalca;
  5. ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika;
  6. upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
  7. v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če zakonodaja predpisuje shranjevanje osebnih podatkov;
  8. da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena GDPR člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Kako se pripraviti v vzgojno-izobraževalnih zavodih? 

  • Že sedaj lahko začnete prilagajati pogodbe z vašimi obdelovalci – pripravite člene, ki ustrezno predpisujejo zgoraj navedene zahteve GDPR. Namesto novih pogodb lahko sklenete tudi ustrezne (pisne) anekse z vašimi obdelovalci, vsebino pogodb oz. pravnih aktov lahko pripravijo tudi obdelovalci.
  • Ne pozabite voditi ažuren seznam vseh vaših pogodbenih obdelovalcev – določite, čigava odgovornost je skrbeti za ta seznam. Seznam naj vključuje vsa zunanja podjetja ali organizacije, ki delajo za vas in ki pridejo (lahko) v stik z osebnimi podatki, ki jih hranite. Običajno so to vzdrževalci IT sistemov, omrežij in storitev (na primer e-redovalnice), ponudniki storitev klicnih centrov, kuvertiranja, hrambe podatkov, uničenja podatkov, arhiviranja podatkov, zunanje varnostne službe in izvajalci videonadzora itd.
  • Če obdelovalec ne želi sprejeti vaših pogojev glede ravnanja z osebnimi podatki, previdno premislite, ali se boste odločili za uporabo njegovih storitev – za morebitne kršitve boste lahko tudi vi odgovorni, saj ste se sami odločili zanj. Z ustreznimi določili v pogodbah se lahko (precej) ogradite od odgovornosti za slabo ravnanje s podatki.
  • Za kršitve bosta verjetno lahko kaznovana tudi oba ali pa samo upravljavec in samo pogodbeni obdelovalec – odvisno od konkretnih okoliščin primera. Neustrezna pogodba je prav gotovo odgovornost upravljavca, torej zavoda.
  • Za obdelovalce je pravna podlaga za obdelavo osebnih podatkov, ki jih obdeluje za naročnika, pogodba z upravljavcem -  brez ustrezne pogodbe lahko osebne podatke obdeluje nezakonito, prav tako velja podobno, ko pogodbe več ni veljavna. Ko se pogodba izteče, bi moral podatke vrniti upravljavcu in uničiti morebitne kopije podatkov.
  • Če obdelovalec začne uporabljati osebne podatke, ki »pripadajo« naročniku, za lastne namene, se šteje za upravljavca, torej bi moral izpolniti vse relevantne zahteve GDPR, začenši s pravno podlago.
  • Nadzorni organi bodo predpisali vzorce pogodb (8. odstavek 28. člena GDPR), ki vam lahko pomagajo, če nimate pravnih služb, vendar ni za pričakovati, da bodo ti vzorci na voljo v kratkem, saj morajo biti predhodno usklajeni na evropskem nivoju.
  • Kot do sedaj, staršev ni treba obveščati, s katerimi pogodbenimi obdelovalci sodelujete, niti formalno ne potrebujete za to njihovega soglasja.

Evidenca dejavnosti obdelave

Katalogi oziroma opisi zbirk podatkov se po novem imenujejo evidence dejavnosti obdelave (30. člen GDPR). Gre torej za popis zbirk osebnih podatkov, ki so jih tudi vzgojno-izobraževalni zavodi že morali imeti po 26. členu ZVOP-1, v katerem vsako zbirko opišete (navedete ime zbirke, vrste podatkov v zbirki, pravne podlage itd.). Obveznost evidentiranja zbirk bo po GDPR veljala ne le za upravljavce, ampak tudi za obdelovalce kot so npr. podjetja, ki drugim nudijo storitve obdelave osebnih podatkov (kot npr.  računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). Zbirk ne bo več treba prijavljati v register Informacijskega pooblaščenca, morate pa na zavodu voditi omenjeni popis zbirk – evidence dejavnosti obdelave. Prijava zbirk v register torej več ni obveznost.

Evidenca pri upravljavcu osebnih podatkov mora vsebovati naslednje elemente:

  1. naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  2. namene obdelave;
  3. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  4. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  5. kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije[1];
  6. kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
  7. kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov za varnost podatkov (člen 32).

Kako se pripraviti?

  • Ker ste že do sedaj imeli pripravljene kataloge zbirk podatkov, potem preverite, ali imate v njih vse predpisane elemente in ali so vnosi ažurni.
  • Če katalogov do sedaj vseeno niste imeli, si pripravite vzorec opisa zbirke, ki naj vsebuje zgoraj navedene elemente. Premislite, kje vse imate zbirke osebnih podatkov:
  • preverite kadrovske evidence (evidence o stroških dela, izrabi delovnega časa itd.);
  • preverite druge zbirke o zaposlenih (npr. evidence dodeljene opreme, podatki o uporabi interneta, službenih vozil …);
  • preverite zbirke, ki jih na vašem področju določa področna ali postopkovna zakonodaja (ZOFVI, ZOsn, ZGim, ZGla, ZUOPP …);
  • preverite druge zbirke, ki nastajajo vašem okolju (npr. posnetki videonadzora, evidenca vstopajočih v stavbo, evidenca o štipendistih, seznam naročnikov na e-novice …).
  • Za vsako zbirko izpolnite vzorec opisa zbirke, podatke opremite z datumom in popisom odgovorne osebe in opredelite, kako pogosto bo preverjeno in ali je stanje še ažurno.

Varnost obdelave

Varnost podatkov je eno temeljnih načel varstva osebnih podatkov in se nanaša na zagotavljanje celovitosti, zaupnosti in razpoložljivosti podatkov. Uredbe in zakoni ne morejo biti preveč specifični glede varnostnih zahtev, saj bi lahko prišlo do prehitrega zastaranja, zato večinoma postavljajo splošne varnostne zahteve. Konkretne zahteve nato določi praksa, podzakonski predpisi ali pa drugi nezavezujoči akti, kot so smernice in dobre praske. GDPR določa, da  je treba upoštevati najnovejši tehnološki razvoja in stroške izvajanja ter naravo, obsega, okoliščine in namene obdelave, pa tudi tveganj za pravice in svoboščine posameznikov.

Tveganja se lahko razlikujejo po verjetnosti in resnostiupravljavci in  obdelovalci pa morajo z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. GDPR posebej izpostavlja naslednje ukrepe, kjer so ustrezni:

  1. psevdonimizacija in šifriranjem osebnih podatkov;
  2. zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost  sistemov in storitev za obdelavo;
  3. zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
  4. postopki rednega testiranjaocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

GDPR ne določa specifičnih varnostnih ukrepov za področje vzgojno-izobraževalnih zavodov.

Poudariti velja, da lahko ZVOP-2 določi dodatne varnostne zahteve ali ohrani raven, ki in kot je določa GDPR (npr. glede ravni sledljivosti obdelave osebnih podatkov, ki je specifika ZVOP-1). Z vidika varnosti podatkov ni pričakovati večjih odstopanj od ustaljenih dobrih praks in smernice, saj tudi GDPR ne odstopa bistveno od ureditve, kot jo je poznala Direktive 95/46. Na temo varnosti podatkov (oz. zavarovanja po ZVOP-1) so dostopne smernice Informacijskega pooblaščenca:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Kako se pripraviti?

  • Preverite vaše obstoječe varnostne politike in pravilnike. Če nimate nobenega akta, ki bi urejal varnost podatkov, potem boste zelo verjetno morali imeti vsaj enega, v katerem opišete vaše varnostne ukrepe in postopke.
  • Varnostne politike oz. pravilniki morajo predvidevati tudi redno preverjanje in vrednotenje varnostnih ukrepov – ne bi si smeli privoščiti, da  je vaš pravilnik o varnosti podatkov star več let. Varnost podatkov je namreč proces – GDPR izrecno zahteva, da je treba izvajati redno testiranje, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Priporoča se vsaj enkrat letno preverjanje določb pravilnikov in njihovega izvajanja v praksi.
  • Izogibajte se uporabi vzorcev, ne da bi sploh spreminjali njihove vsebine glede na vaše dejanske stanje– opišite vaše postopke in ukrepe. V nadzoru na področju varnosti se preverja tudi izvajanje varnostnih politik v praksi in ne samo določbe pravilnikov kot take, vzorci pravilnikov pa mogoče sploh ne ustrezajo vašemu dejanskemu stanju.

Obveščanje o kršitvah varnosti

Obveznost poročanja o kršitvah varnosti podrobneje urejata 33. in 34. člen GDPR, več o tej temi pa najdete v smernicah[2] Delovne skupine iz člena 29. Od določenih kršitvah varnosti bo treba opraviti neke vrste »samoprijavo« Informacijskemu pooblaščencu, med takšne primere pa bi sodila izguba prenosnika z bazo osebnih podatkov, vdor na spletno stran in nepooblaščen dostop do baze podatkov o posameznikih (šolajočih, zaposlenih, tretjih oseb) ali pa izguba podatkov v papirni dokumentaciji med prevozom na uničenje. V tem primeru boste morali obvestiti IP kot nadzorni organ, in sicer v relativno kratkem roku 72-ih ur.

Namen tovrstne obveznost je predvsem hitro ukrepanje ob resnih kršitvah varnosti s ciljem zmanjšanje škode, ki lahko nastane za posameznike, po drugi strani pa gre za resno obveznost za upravljavce in obdelovalce, ki lahko v primeru zatajitve pomeni oteževalno okoliščino ob odločanju o višini sankcij. Upravljavci in obdelovalci naj bi dokumentirali vse varnostne kršitve, poročali naj bi o tistih z večjimi tveganji, v primeru visokih tveganj pa je možno, da bo potrebno obvestiti tudi vsakega prizadetega posameznika (člen 34), kar ima lahko resen vpliv na raven zaupanja posameznikov, lastnikov družbe in javnosti.

Obvestilo nadzornemu organu mora vsebovati:

(a) opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b) sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c) opis verjetnih posledic kršitve varstva osebnih podatkov;

(d) opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

Sporočilo posamezniku ne bo obvezno, če:

(a) ste izvedli ustrezne tehnične in organizacijske zaščitne ukrepe, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b) ste sprejeli naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, verjetno ne bo več udejanjilo (npr. uvedba kriptiranja podatkov, dodatni varnostni ukrepi …);

(c) bi to bi zahtevalo nesorazmeren napor (npr. da nimate kontaktnih podatkov posameznikov), vendar boste v tem primeru morali objaviti javno sporočilo ipd. da bodo posamezniki enako učinkovito obveščeni.

Kako se pripraviti?

  • Opredelite postopek ukrepanja v primeru kršitve varnosti. Postopek opišite v primernem internem aktu, opredelite kdo mora storiti kaj, koga se obvesti, v kakšnem roku in na kakšen način (pisno/ustno, po kakšnem mediju). Navedite tudi, kakšni zapisi morajo ob tem nastati, kdo jih mora izdelati, kje se bodo hranili in komu bodo dostopni.
  • Priporočljivo je, da omenjeni postopek razširite v politiko upravljanja varnostnih incidentov.
  • Politiko preglejte vsaj na letni ravni.
  • V pogodbah z zunanjimi izvajalci si izborite klavzulo, da vas morajo obvestiti, če bi prišlo zaradi njihovega ravnanja ali v njihovih storitvah do kršitve varnosti. Določite koga morajo obvestiti, v kakšnem roku in na kakšen način.
  • Priporočljiva je uvedba šifriranja vseh prenosnih nosilcev podatkov (kot so prenosni računalniki, tablice, prenosni zunanji diski, USB ključi ipd.), če se na njih prenašajo ali izmenjujejo zbirke osebnih podatkov.

Pooblaščene osebe za varstvo podatkov

Obveznost imenovanja pooblaščenih oseb za varstvo podatkov (angl. Data Protection Officer ali DPO) ni vezana na število zaposlenih prav tako kot obsežnost obdelave ni opredeljena s številom posameznikov, temveč 37. člen GDPR določa kriterije, po katerih mora zavezanec sam oceniti, ali mora imeti pooblaščeno osebo. Imenovati jih bodo morali:

  1. Javni organi in telesa[3]. Definicijo javnega organa oziroma sektorja bo določil ZVOP-2, ni pa pričakovati večjih odstopanj od definicije javnega sektorja iz ZVOP-1. ZVOP-2 lahko določi omejitve, kdo je lahko pooblaščena oseba (npr. glede izobrazbe in usposobljenosti, delovnih izkušenj, ali mora biti zaposlen v javnem sektorju ipd.), potencialno tudi daljše prehodno obdobje za uskladitev s to zahtevo.
  2. Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Primeri, ki bi sodili sem:
  • banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci z večjimi klubi zvestobe;
  • kadrovske agencije, večje spletne trgovine, IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, kot so sistemi za upravljanje podatkov kupcev in njihovo profiliranje, zdravstveni informacijski sistemi ipd.
  1. c)      Upravljavci in obdelovalci, ki obdelujejo posebne vrste podatkov, kot so podatki o zdravstvenem stanju, verski, narodnosti, spolni pripadnosti ipd[4]v večjem obsegu.

 

Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov. Vzgojno-izobraževalni zavodi bodo torej lahko izkoristili to možnost, ki jo pa lahko precizira ZVOP-2, ki pa žal še ni sprejet. Zadnji osnutek je na voljo na povezavi[5]:

http://www.mp.gov.si/fileadmin/mp.gov.si/pageuploads/mp.gov.si/novice/2018/ZVOP-2_NG_2_apr.pdf

Kako se pripraviti?

  • Javni tudi vzgojno-izobraževalni zavodi bodo morali imenovati pooblaščeno osebo. Pomagajte si s smernicami Delovne skupine iz člena 29, ki so dostopne na:
  • https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf
  • Preverite pogoje, ki jih lahko za pooblaščene osebe določi ZVOP-2 in ostale pogoje glede imenovanja:
  • Preverite, ali imate pri vas ustrezen kader, ki ne sme biti v konfliktu interesov (pooblaščena oseba ne more npr. biti ravnatelj). Najlažje si ga lahko predstavljate kot notranjega revizorja na področju varstva osebnih podatkov, ki seveda ne sme nadzirati samega sebe.
  • Pooblaščena oseba za varstvo podatkov mora imeti poklicne odlike in strokovno znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog (39. člen GDPR).
  • Pooblaščena oseba mora poročati najvišji upravni ravni in ne sme biti nekdo od tistih, ki sprejemajo ključne odločitve o namenih in sredstvih obdelave (ravnatelji oz. druge vodstvene funkcije, ki odločajo glede obdelave osebnih podatkov).
  • Preverite možnosti za skupno pooblaščeno osebo, ki bi si jo delili z vam podobnimi organizacijami, z drugimi osnovnimi šolami, gimnazijami ali z drugimi manjšimi upravljavci iz javnega sektorja (npr. v okviru vaše občine).
  • Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti – niste dolžni vzpostaviti posebnega, ločenega delovnega mesta samo za to.
  • Pooblaščena oseba za varstvo podatkov pri opravljanju nalog ne sme prejemati nobenih navodil, kako naj izvaja svoje naloge – imeti mora določeno neodvisnost  in ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog.
  • Če nimate ustreznega kadra, poiščite ustrezno storitev na trgu – pooblaščene osebe boste lahko tudi najeli, morebitne omejitve lahko glede tega določi ZVOP-2.
  • Ne pozabite, da lahko določene olajšave ali dodatne pogoje določi ZVOP-2, a vseeno že sedaj preverite možnosti, kdo bo za vas lahko opravljal naloge pooblaščene osebe.
  • Ne pozabite:
  • Pooblaščena oseba ne sme postati edina oseba, ki kaj ve ali mora vedeti o varstvu osebnih podatkov v vaši organizaciji.
  • Pooblaščena oseba opravlja svetovalne in nadzorne naloge glede varstva osebnih podatkov v organizaciji. Svetuje pri pripravi pravilnikov, izvaja lahko nadzore dostopov, svetuje pri izdelavi ocen učinkov, izvaja izobraževanja za sodelavce in vodstvo ter druge ozaveščevalne aktivnosti, je primarni kontakt za posameznike in za nadzornim organ v primeru inšpekcij.
  • Pooblaščena oseba ni odgovorna za skladnost z zakonodajo – njena vloga je opozarjati, svetovati, izobraževati in nadzirati varstvo podatkov v organizaciji, za izvedbo ukrepov, ki jih predlaga pooblaščena oseba, pa je odgovorno vodstvo.
  • Kontakte pooblaščene osebe objavite na spletni strani in jih sporočite Informacijskemu pooblaščencu, njeni kontakti naj bodo enostavno dostopni zaposlenim (npr. v internem telefonskem imeniku ali na intranetu).

[1] Če osebne podatke iznašate ali hranite v tretjih državah - v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih.

[2] https://www.ip-rs.si/fileadmin/user_upload/Pdf/mnenja/Mednarodna_mnenja/wp250_en-Data_breach_notification.pdf

[3] Razen sodišč, kadar delujejo kot sodni organ.

[4] Osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

[5] Členi 44-51 ter člen 138.

Nazaj