GDPR skladnost za lastnike spletnih strani: popoln checklist z implementacijskimi koraki

GDPR (General Data Protection Regulation) je ena najstrožjih in najbolj celovitih ureditev zasebnosti na svetu. Če tvoja spletna stran ali storitev obdeluje osebne podatke prebivalcev EU, skladnost ni opcijska – velja tako za mala spletna mesta kot za globalna podjetja, tudi če posluješ izven EU.

Kazni niso zanemarljive: pri hujših kršitvah so globe lahko do 20 milijonov € ali 4 % globalnega letnega prometa (kar je višje). Pri manj hudih kršitvah je prag nižji, a še vedno boleč. Poleg glob lahko nadzorni organi izrečejo opozorila, omejijo obdelavo ali celo odredijo brisanje podatkov.

Spodaj je checklist, zasnovan tako, da ga lahko uporabiš kot delovni seznam za spletno stran ali SaaS. Namen je enostaven: vedeti moraš, katere osebne podatke obdeluješ, zakaj, kje, kako dolgo in kako uporabnikom omogočiš pravice, ki jim pripadajo.

Kaj je GDPR in koga zadeva?

GDPR je uredba EU, ki velja od 25. maja 2018 in določa pravila za zbiranje, uporabo, hrambo in deljenje osebnih podatkov. Ključno: ne velja samo za podjetja v EU, ampak tudi za organizacije izven EU, če obdelujejo osebne podatke prebivalcev EU.

Najprej razjasni vlogo: controller vs. processor

V praksi je veliko zmede glede tega, kdo je za kaj odgovoren. GDPR loči vloge, ki se lahko tudi prekrivajo:

• Data Controller (upravljavec): določa, zakaj in kako se osebni podatki obdelujejo; nosi primarno odgovornost za skladnost.
• Data Processor (obdelovalec): obdeluje osebne podatke v imenu upravljavca (npr. ponudnik e-poštnega marketinga, hosting, CRM); mora imeti ustrezne tehnične in organizacijske ukrepe.
• Data Subject (posameznik): oseba, na katero se podatki nanašajo; GDPR ščiti njene pravice.

Tipičen scenarij za lastnika spletne strani: ti si pogosto upravljavec, tvoj hosting ali e-mail platforma pa sta obdelovalca. Pri nekaterih storitvah lahko nastopaš v obeh vlogah, odvisno od tega, kdo določa namen obdelave.

7 načel GDPR, ki jih moraš upoštevati

Preden greš na checklist, je koristno, da imaš v glavi osnovna načela. Ta so temelj za tehnične odločitve (npr. kaj logirati, koliko časa hraniti, katere piškotke sploh naložiti).

1. Zakonitost, poštenost in preglednost: obdeluj zakonito in posamezniku jasno razloži, kaj počneš z njegovimi podatki.
2. Omejitev namena: podatke zbiraj samo za določene, legitimne namene.
3. Minimizacija podatkov: zbiraj najmanjšo količino podatkov, ki jo dejansko potrebuješ.
4. Točnost: podatki morajo biti pravilni in posodobljeni.
5. Omejitev hrambe: ne hrani dlje, kot je potrebno.
6. Celovitost in zaupnost: zaščiti pred nepooblaščenim dostopom z ustreznimi varnostnimi ukrepi.
7. Odgovornost (accountability): sposoben moraš biti dokazati, da si skladen.

Popoln GDPR compliance checklist (z referencami na člene)

A) Podatki (Data)

1) Imaš seznam vseh vrst osebnih podatkov, njihov vir, komu jih posreduješ, zakaj jih obdeluješ in koliko časa jih hraniš

Velja za: Data Controller, Data Processor

To ni “seznam sistemov”, ampak dejanski popis tipov/atributov (stolpcev) podatkov, ki jih hraniš: npr. ime, naslov, e-pošta, IP, identifikator naročila, davčna številka ipd. Za vsak tip dokumentiraj: vir (od kod pride), prejemnike (s kom deliš), namen in obdobje hrambe.

Reference: GDPR Article 30 – Records of processing activities

2) Imaš seznam lokacij, kjer hraniš osebne podatke, in kako med njimi tečejo podatki

Velja za: Data Controller, Data Processor

Sem sodijo baze (npr. MySQL), datoteke, e-mail orodja, CRM-ji, helpdesk, logi, pa tudi offline viri, npr. papirni obrazci. Pomemben je tudi “data flow”: kje se podatki zajamejo, kam se sinhronizirajo, kdo ima dostop in ali gre kaj izven EU.

Reference: GDPR Article 30 – Records of processing activities

3) Imaš javno dostopno politiko zasebnosti, ki opisuje vse procese, povezane z osebnimi podatki

Velja za: Data Controller, Data Processor

Politika zasebnosti naj pokrije vse procese obdelave osebnih podatkov. Vključi (ali vsaj jasno poveži) tudi tipe osebnih podatkov, ki jih hraniš, in lokacije/sisteme, kjer se hranijo.

Reference: GDPR Article 30 – Records of processing activities

4) Politika zasebnosti vsebuje zakonito podlago, zakaj sploh obdeluješ osebne podatke

Velja za: Data Controller

Za vsako ključno obdelavo moraš imeti razlago zakonite podlage, npr. izpolnitev pogodbe (contract performance).

Reference: GDPR Article 6 – Lawfulness of processing

B) Odgovornost in upravljanje (Accountability & Management)

5) Imenovana je pooblaščena oseba za varstvo podatkov (DPO)

Velja za: Data Controller, Data Processor

DPO ni obvezen za vse. Obvezen je le v treh scenarijih:

1. Obdelavo izvaja javni organ ali telo (razen sodišč pri opravljanju sodne funkcije).
2. Ključne dejavnosti poslovanja zahtevajo redno in sistematično spremljanje posameznikov v velikem obsegu (zaradi narave, obsega in/ali namenov obdelave).
3. Ključne dejavnosti poslovanja vključujejo obsežno obdelavo posebnih vrst podatkov (sensitive data) po Article 9 in osebnih podatkov v zvezi s kazenskimi obsodbami ali prekrški po Article 10.

Če DPO potrebuješ, mora imeti znanje GDPR smernic in dobro razumevanje notranjih procesov, kjer se obdelujejo osebni podatki.

Reference: GDPR Article 37 – Designation of the data protection officer

6) Odločevalci imajo aktualno zavedanje in razumevanje GDPR smernic

Velja za: Data Controller, Data Processor

Poskrbi, da ključni ljudje (vodstvo, product, marketing, dev, support) razumejo zahteve in da se znanje redno osvežuje. GDPR ni enkratni projekt, ampak stalna disciplina.

Reference: GDPR Article 25 – Data protection by design and by default

7) Tehnična varnost je posodobljena

Velja za: Data Controller, Data Processor

Če razvijaš SaaS ali upravljaš bolj kompleksno spletno mesto, so varnostni checklisti dober “baseline”, da ne izpustiš ključnih tehničnih ukrepov.

Reference: GDPR Article 25 – Data protection by design and by default

8) Zaposleni so usposobljeni za varstvo podatkov

Velja za: Data Processor

Veliko incidentov nastane zaradi “človeškega faktorja” – nekdo nehote odpre napačno priponko, deli dostop ali klikne phishing. Usposabljanje in osnovne politike dostopov so del obrambe.

Reference: GDPR Article 25 – Data protection by design and by default

9) Imaš seznam sub-processors in politika zasebnosti omenja njihovo uporabo

Velja za: Data Processor

Če kot obdelovalec uporabljaš pod-obdelovalce (sub-processors), morajo biti tvoje stranke o tem obveščene. Soglašajo z uporabo s sprejemom politike zasebnosti.

Reference: GDPR Article 28 – Processor

10) Če posluješ izven EU, imaš predstavnika v EU

Velja za: Data Controller, Data Processor

Če imaš podjetje izven EU in zbiraš podatke državljanov/prebivalcev EU, moraš določiti predstavnika v eni od držav članic. Ta oseba pokriva zadeve v zvezi z obdelavo in je kontaktna točka tudi za lokalni nadzorni organ.

Reference: GDPR Article 27 – Representatives of controllers or processors not established in the Union

11) Kršitve varnosti osebnih podatkov prijavljaš organu in (kadar je potrebno) posameznikom

Velja za: Data Controller, Data Processor

Kršitve (data breaches) moraš prijaviti nadzornemu organu v 72 urah. Poročilo naj zajema, kateri podatki so bili prizadeti, posledice in katere protiukrepe si izvedel. Če podatki niso bili zaščiteni (npr. šifrirani) in obstaja tveganje za posameznike, moraš incident sporočiti tudi prizadetim uporabnikom (data subjects).

Reference: GDPR Article 33 – Notification of a personal data breach to the supervisory authority; GDPR Article 34 – Communication of a personal data breach to the data subject

12) Imaš pogodbo z vsakim obdelovalcem, s katerim deliš podatke

Velja za: Data Controller

Pogodba mora vsebovati eksplicitna navodila za obdelavo/hranjenje: predmet in trajanje obdelave, naravo in namen obdelave, vrsto osebnih podatkov in kategorije posameznikov ter obveznosti in pravice upravljavca. Tipičen primer je pogodba s ponudnikom hostinga. Enake zahteve veljajo, ko obdelovalec angažira sub-processor.

Reference: GDPR Article 28 – Processor; GDPR Article 29 – Processing under the authority of the controller or processor

C) Nove pravice in procesi (New Rights)

13) Uporabniki lahko enostavno zahtevajo dostop do svojih osebnih podatkov

Velja za: Data Controller, Data Processor

Vzpostavi jasen proces za obravnavo zahtev za dostop (access requests). To vključuje sprejem zahtevka, verifikacijo identitete (kjer je smiselno), izvoz podatkov in evidenco izvedbe.

Reference: GDPR Article 15 – Right of access by the data subject

14) Uporabniki lahko enostavno popravijo ali posodobijo svoje podatke

Velja za: Data Controller, Data Processor

Zagotovi mehanizem, s katerim uporabnik popravi netočne podatke (npr. profilna stran, self-service nastavitve ali proces prek podpore).

Reference: GDPR Article 16 – Right to rectification

15) Podatke, ki jih ne potrebuješ več, avtomatsko brišeš

Velja za: Data Controller, Data Processor

Namesto ročnih “cleanup” akcij raje uvedi avtomatizirano brisanje. Primer: če stranka ne podaljša pogodbe, se podatki po vnaprej definiranem obdobju izbrišejo.

Reference: GDPR Article 5 – Principles relating to processing of personal data

16) Uporabniki lahko enostavno zahtevajo izbris (pravica do pozabe)

Velja za: Data Controller, Data Processor

Vzpostavi proces za obravnavo zahtevkov za izbris osebnih podatkov (right to be forgotten), vključno z identifikacijo vseh sistemov, kjer se podatki nahajajo.

Reference: GDPR Article 17 – Right to erasure (‘right to be forgotten’)

17) Uporabniki lahko enostavno zahtevajo omejitev obdelave

Velja za: Data Controller, Data Processor

Uporabnik lahko zahteva, da obdelavo omejiš (npr. začasno ustaviš določen namen uporabe podatkov). To pomeni, da moraš imeti proces in v praksi možnost “freeze” stanja.

Reference: GDPR Article 18 – Right to restriction of processing

18) Uporabniki lahko zahtevajo prenosljivost podatkov (k sebi ali tretji osebi)

Velja za: Data Controller, Data Processor

Prenosljivost pomeni, da uporabnik dobi podatke v strukturirani, splošno uporabljani, strojno berljivi obliki in jih lahko prenese drugemu upravljavcu.

Reference: GDPR Article 20 – Right to data portability

19) Uporabniki lahko ugovarjajo profiliranju ali avtomatiziranemu odločanju, ki vpliva nanje

Velja za: Data Controller

To je relevantno samo, če izvajaš profiliranje ali drugo avtomatizirano odločanje. V takem primeru moraš omogočiti ugovor in imeti proces za obravnavo.

Reference: GDPR Article 22 – Automated individual decision-making, including profiling

D) Soglasje (Consent)

20) Kadar obdelava temelji na soglasju, mora biti soglasje prostovoljno, specifično, informirano in preklicljivo

Velja za: Data Controller

Če na spletni strani zbiraš osebne podatke, naj bo povezava do politike zasebnosti jasno vidna, uporabnik pa mora aktivno potrditi sprejem (affirmative action). Vnaprej odkljukana polja niso dovoljena.

Reference: GDPR Article 7 – Conditions for consent

21) Politika zasebnosti je napisana jasno in razumljivo

Velja za: Data Controller

Besedilo naj bo jasno, preprosto in ne sme prikrivati namena. Če je politika zavajajoča ali nerazumljiva, lahko soglasje pade. Pri storitvah za otroke mora biti besedilo dovolj enostavno, da ga razumejo.

Reference: GDPR Article 7.2 – Conditions for consent

22) Preklic soglasja je enako enostaven kot podaja soglasja

Velja za: Data Controller

Če uporabniku omogočiš soglasje v enem kliku, ga ne smeš prisiliti v “support ticket” ali labirint nastavitev za preklic. Preklic mora biti preprost.

Reference: GDPR Article 7.3 – Conditions for consent

23) Če obdeluješ podatke otrok, preveri starost in pridobi soglasje zakonitega skrbnika

Velja za: Data Controller

Za otroke, mlajše od 16 let, moraš zagotoviti soglasje zakonitega skrbnika. Če se soglasje daje prek spletne strani, se poskusi prepričati, da je odobritev res dal skrbnik (in ne otrok).

Reference: GDPR Article 8 – Conditions applicable to child’s consent in relation to information society services

24) Ob posodobitvi politike zasebnosti obvestiš obstoječe stranke

Velja za: Data Controller

Primer: e-mail obvestilo o spremembah, kjer preprosto razložiš, kaj se je spremenilo in kako to vpliva na uporabnika.

Reference: GDPR Article 7 – Conditions for consent

E) Redno preverjanje (Follow-up)

25) Redno pregleduješ politike: spremembe, učinkovitost, spremembe v obdelavi in spremembe v državah, kamor tečejo podatki

Velja za: Data Controller

GDPR skladnost ni statična. Spreminjajo se procesi, ponudniki, države prenosa, pa tudi najboljše prakse. Redni pregledi ti pomagajo, da ne ostaneš pri “starem” stanju.

Reference: GDPR Article 25 – Data protection by design and by default

F) Posebni primeri (Special Cases)

26) Razumeš, kdaj moraš izvesti DPIA pri visoko tveganih obdelavah

Velja za: Data Controller

DPIA (Data Protection Impact Assessment) je potreben pri obsežni obdelavi, profiliranju in drugih aktivnostih, kjer je visoko tveganje za pravice in svoboščine posameznikov. Ni za vsako spletno stran, je pa kritičen pri “high-risk” scenarijih.

Reference: GDPR Article 35 – Data protection impact assessment

27) Podatke izven EU prenašaš samo v države z ustrezno ravnjo zaščite (ali uporabiš SCC/BCR) in to razkriješ v politiki zasebnosti

Velja za: Data Controller, Data Processor

Če podatke prenašaš čez meje EU, moraš to razkriti v politiki zasebnosti. Pri prenosih v države brez ustreznosti uporabi Standard Contractual Clauses (SCCs) ali Binding Corporate Rules (BCRs).

Reference: GDPR Article 45 – Transfers on the basis of an adequacy decision

Pravice posameznikov (Data Subject Rights) – kaj moraš omogočiti

Spodnje pravice veljajo za vse data subjects. Kot lastnik spletne strani ali storitve moraš imeti proces, s katerim te zahteve obravnavaš pravočasno in dosledno.

Pravica do transparentnih informacij

Upravljavec mora zagotoviti informacije o obdelavi v jedrnati, transparentni, razumljivi in lahko dostopni obliki, v jasnem in preprostem jeziku (še posebej, če je namenjeno otroku). Informacije so lahko pisne ali elektronske.

Reference: GDPR Article 12

Pravica do specifičnih informacij, ko se podatki zbirajo neposredno

Ko podatke zbiraš neposredno od posameznika, moraš zagotoviti vsaj:

1. Identiteto in kontaktne podatke upravljavca
2. Kontaktne podatke DPO (če je relevantno)
3. Namene obdelave in pravno podlago
4. Legitimne interese upravljavca (če je relevantno)
5. Prejemnike ali kategorije prejemnikov osebnih podatkov
6. Informacije o prenosih v tretje države

Reference: GDPR Article 13

Pravica do specifičnih informacij, ko se podatki ne zbirajo neposredno

Če podatke dobiš iz drugih virov (ne neposredno od posameznika), moraš podati podobne informacije, dodatno pa še kategorije osebnih podatkov in vir, iz katerega podatki izvirajo.

Reference: GDPR Article 14

Pravica do dostopa

Posameznik ima pravico dobiti potrditev, ali se njegovi podatki obdelujejo, ter dostop do:

• namenov obdelave
• kategorij osebnih podatkov
• prejemnikov, katerim so bili ali bodo podatki razkriti
• predvidenega obdobja hrambe
• obstoja pravic do popravka, izbrisa, omejitve in ugovora
• pravice do pritožbe pri nadzornem organu
• informacije o viru podatkov (če niso bili zbrani od posameznika)
• obstoja avtomatiziranega odločanja, vključno s profiliranjem

Reference: GDPR Article 15

Pravica do popravka

Posameznik lahko zahteva popravek netočnih podatkov brez nepotrebnega odlašanja in dopolnitev nepopolnih podatkov.

Reference: GDPR Article 16

Pravica do izbrisa (»right to be forgotten«)

Posameznik lahko zahteva izbris osebnih podatkov, kadar velja vsaj eden od pogojev:

1. Podatki niso več potrebni za prvotni namen.
2. Posameznik umakne soglasje in ni druge pravne podlage za obdelavo.
3. Posameznik ugovarja obdelavi in ni prevladujočih legitimnih razlogov.
4. Podatki so bili obdelani nezakonito.
5. Podatke je treba izbrisati zaradi izpolnitve pravne obveznosti.
6. Podatki so bili zbrani v zvezi s storitvami informacijske družbe, ponujenimi otroku.

Reference: GDPR Article 17

Pravica do omejitve obdelave

Posameznik lahko zahteva omejitev obdelave, kadar:

1. Izpodbija točnost podatkov (za čas preverjanja).
2. Je obdelava nezakonita in nasprotuje izbrisu.
3. Upravljavec podatkov ne potrebuje več, posameznik pa jih potrebuje za uveljavljanje pravnih zahtevkov.
4. Posameznik je ugovarjal obdelavi, do preverjanja prevladujočih legitimnih razlogov.

Reference: GDPR Article 18

Pravica do obvestila o popravku, izbrisu ali omejitvi

Upravljavec mora sporočiti vsak popravek, izbris ali omejitev obdelave vsakemu prejemniku, kateremu so bili podatki razkriti, razen če je to nemogoče ali zahteva nesorazmeren napor.

Reference: GDPR Article 19

Pravica do prenosljivosti podatkov

Posameznik ima pravico prejeti svoje podatke v strukturirani, splošno uporabljani in strojno berljivi obliki ter jih brez ovir prenesti k drugemu upravljavcu.

Reference: GDPR Article 20

Pravica do ugovora

Posameznik lahko kadarkoli ugovarja obdelavi na podlagi legitimnih interesov ali javnega interesa, vključno s profiliranjem, zaradi razlogov, povezanih z njegovim posebnim položajem.

Reference: GDPR Article 21

Pravica, da ni predmet avtomatiziranega odločanja

Posameznik ima pravico, da ni predmet odločitve, ki temelji izključno na avtomatizirani obdelavi (vključno s profiliranjem) in ima pravne učinke ali nanj podobno pomembno vpliva.

Reference: GDPR Article 22

Praktični implementacijski koraki (spletna stran v praksi)

1) Zavaruj spletno mesto

• Namesti SSL certifikat (HTTPS), da šifriraš prenos podatkov med brskalnikom in strežnikom
• Uporabi močna gesla za vse admin račune
• Dodaj dodatno zaščito pri obdelavi plačilnih podatkov
• Uporabi CDN ponudnika, ki pomaga pri zaščiti pred DDoS napadi
• Namesti anti-virus programsko opremo, da preprečiš nepooblaščen dostop
• Minimiziraj zbiranje podatkov – zbiraj samo tisto, kar potrebuješ
• Psevdonimiziraj ali anonimiziraj osebne podatke pred hrambo
• Izdeluj varnostne kopije na več varnih lokacijah
• Briši podatke, ko niso več potrebni

2) Dodaj cookie consent banner (in ga naredi pravilno)

Če uporabljaš nenujne piškotke (npr. marketing/analytics), potrebuješ izrecno soglasje pred aktivacijo. Ključ ni v tem, da banner “obstaja”, temveč da tehnično res blokira nenujne skripte do odločitve uporabnika.

Tvoj cookie banner mora:

• Blokirati piškotke do soglasja: naloži samo nujne piškotke, dokler uporabnik ne opt-in
• Uporabljati preprost, jasen jezik: razloži, kateri piškotki so uporabljeni in zakaj
• Imeti enakovredna gumba sprejmi/zavrni: ne skrivaj zavrnitve
• Ponuditi granularne možnosti: izbira kategorij piškotkov
• Omogočiti umik soglasja: enostavna sprememba nastavitev kasneje
• Beležiti soglasje: shrani izbire in časovne žige (timestamp) za dokazljivost

3) Preglej obrazce (forms) na spletni strani

Vsak obrazec, ki zajema osebne podatke (kontakt, povpraševanje, registracija), mora biti GDPR-skladen. Ne gre samo za checkbox, ampak za jasen kontekst: zakaj to zbiraš in kaj se bo zgodilo s podatki.

• Dodaj privacy statement, ki razloži, zakaj potrebuješ podatke
• Dodaj neodkljukano checkbox polje za soglasje
• Za marketing dodaj ločeno opt-in (ločeno od npr. pogojev uporabe)
• Poveži na Privacy Policy
• Uporabi jasen, preprost jezik

4) Pridobi soglasje za marketinška e-sporočila

• Uporabi samo opt-in: neodkljukano polje posebej za e-mail soglasje
• Uvedi double opt-in: potrditev prijave prek e-maila
• Vzdržuj evidence soglasij: datum, čas, metoda in namen
• Vključi viden unsubscribe link: odjava z enim klikom v vsakem e-mailu
• Odjave obdelaj hitro: idealno v 24 urah

5) Pripravi se na incidente (data breaches)

• Obvesti nadzorni organ v 72 urah
• Obvesti prizadete uporabnike, če obstaja visoko tveganje za njihove pravice
• Dokumentiraj vse (zaradi accountability)
• Posodobi politike in ukrepe, da se incident ne ponovi

WordPress: posebnosti, na katere lastniki pogosto pozabijo

Pri WordPressu je GDPR delno organizacijski, delno pa zelo praktičen: posodobitve, vtičniki in integracije so največji vir “nevidnih” tokov podatkov.

• Redno posodabljaj WordPress core, teme in vtičnike
• Uporabi kontaktne obrazce, ki omogočajo GDPR-skladne checkboxe za soglasje
• Namesti ustrezno cookie consent rešitev (z dejanskim blokiranjem nenujnih skript)
• Uporabi GDPR-skladno analitiko
• Preglej prakse zbiranja podatkov pri vtičnikih (kaj logirajo, kam pošiljajo)
• Implementiraj funkcionalnosti za izvoz/brisanje uporabniških podatkov

Kazni in ukrepi: kaj je na kocki

GDPR loči dve “stopnji” glob:

• Nižja stopnja kršitev: do 10 milijonov € ali 2 % globalnega letnega prometa
• Višja stopnja kršitev: do 20 milijonov € ali 4 % globalnega letnega prometa

Poleg glob lahko nadzorni organi izdajo opozorila, začasno ali trajno prepovejo obdelavo, odredijo brisanje podatkov ali omejijo prenose podatkov v tretje države.

FAQ: najpogostejša vprašanja

Kaj je GDPR compliance checklist?

GDPR compliance checklist je seznam aktivnosti, ki jih moraš izvesti za skladnost z GDPR. Pomaga ti odkriti vrzeli in izboljšati prakse varstva osebnih podatkov.

Kdo je odgovoren za GDPR skladnost?

Primarno je odgovoren data controller (tipično lastnik spletne strani oziroma podjetje). Tudi data processors imajo svoje obveznosti glede skladnosti.

Ali GDPR velja za podjetja v ZDA?

Da. Če obdeluješ osebne podatke prebivalcev EU, GDPR velja ne glede na to, kje imaš podjetje.

Kakšna je najvišja kazen za neskladnost?

Do 20 milijonov € ali 4 % globalnega letnega prometa – kar je višje.

Ali potrebujem cookie banner?

Da, če uporabljaš kakršnekoli nenujne piškotke in imaš obiskovalce iz EU.

Ali potrebujem Data Protection Officer (DPO)?

Samo če: (1) si javni organ, (2) tvoje ključne aktivnosti zahtevajo obsežno, sistematično spremljanje posameznikov, ali (3) obsežno obdeluješ občutljive podatke.