Evidencije aktivnosti obrade

evidencija aktivnosti obrade GDPR

*Na poveznici https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-obrazac-Evidencija-aktivnosti-obrade.xlsx možete pronaći obrazac evidencije aktivnosti obrade s nekoliko primjera koji vam mogu poslužiti boljem razumijevanju načina na koji se evidencija aktivnosti obrade vodi. Ovaj obrazac mogu koristiti svi voditelji obrade, ali obrazac pritom moraju prilagoditi svojim specifičnim obradama i poslovnim procesima.

*Saznajte više u vodiču: https://arc-rec-project.eu/wp-content/uploads/2022/08/ARC-vodic-za-popunjavanje-evidencije-aktivnosti-obrade.pdf

U nekim slučajevima poduzeće kao voditelj obrade mora voditi evidenciju o svojim aktivnostima obrade koja, između ostalog, uključuje podatke o svrsi obrade, kategorijama ispitanika/osobnih podataka, kategorijama primatelja podataka, prijenos osobnih podataka u treće zemlje, vremenska razdoblja za brisanje podataka te koliko je moguće opis tehničkih i organizacijskih mjera zaštite.

PREPORUKA PODUZETNICIMA! Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi o zaštiti podataka niste u obvezi istu voditi jer je evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom o zaštiti podataka!

VAŽNO! Voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka, već evidencije aktivnosti obrade vode i čuvaju kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

  • ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
  • ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
  • ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
  • ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Ako imate manje od 250 zaposlenika i ne ispunjavate gore navedene uvjete NISTE U OBVEZI voditi evidenciju aktivnosti obrade. Svakako vam preporučamo da ipak vodite evidenciju aktivnosti obrada jer je evidencija jedan od alata za dokazivanje usklađenosti s Općom uredbom o zaštiti podataka.

Primjer 1:

Kako bi što uspješnije plasirao svoje proizvode na tržištu i povećao prodaju, voditelj obrade, mali proizvođač prirodne kozmetike s 20 zaposlenika, angažira marketinšku agenciju koja izrađuje profile korisnika društvenih mreža i koristi njihove osobne podatke za ciljano oglašavanje. Iako poduzeće ima manje od 250 zaposlenika, obrada koju je povjerila izvršitelju obrade (marketinškoj agenciji) može dovesti do rizika za prava i slobode ispitanika (inovativna tehnologija, profiliranje), te je dužno voditi evidenciju o aktivnostima obrade. Isto tako i izvršitelj obrade je u ovom slučaju dužan voditi evidenciju aktivnosti obrade.

Primjer 2: Starački dom zapošljava samo 5 zaposlenika, ali obrađuje zdravstvene podatke svojih korisnika. Budući da podaci koje obrađuje o svojim korisnicima uključuju i posebne kategorije osobnih podataka, dužan je voditi evidenciju aktivnosti obrade.

Evidencija aktivnosti obrade mora sadržavati sve sljedeće informacije (čl. 30 GDPR-a):

  1. ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
  1. svrhe obrade;
  1. opis kategorija ispitanika i kategorija osobnih podataka;
  1. kategorije primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  1. ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
  1. ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  1. ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

Rubrike u obrascu označene tamnozelenom bojom niste u obavezi popunjavati (iako preporučamo), a bijelo-sive rubrike ste dužni ispuniti. Iako nije propisano čl. 30 GDPR-a, svakako preporučamo navesti pravni temelj za obradu osobnih podataka.