Upitnik za samoprocjenu

Unesite adresu e-pošte
osnovne informacije
1. Znate li koji opseg podataka koristite u svojem poslovanju (koje vrste podataka, čije podatke npr. zaposlenika, kupaca)?

Velik broj poslovnih subjekata susreće se s velikim izazovima u procesu identificiranja kojim sve vrstama osobnih podataka raspolažu, gdje su ti podaci pohranjeni i koji je njihov značaj za samo poslovanje, a što je osnovni preduvjet na putu prema usklađenosti s Općom uredbom o zaštiti podataka.

Naime, potrebno je kvalitetno upravljanje podacima, odnosno pravilno uspostavljen mehanizam kojim bi se utvrđivalo koje je podatke potrebno obraditi, spremiti, obrisati i slično.

Dakle, potrebno je točno identificirati te locirati relevantne osobne podatke u IT sustavima i sustavima pohrane podataka u papirnatom obliku, te imati na umu da će samo kvalitetna strategija upravljanja podacima dovesti do potpunog postizanja usklađenosti s GDPR-om.

Usklađenost s Općom uredbom o zaštiti podataka doprinosi pozitivnoj reputaciji poslovnog subjekta, boljoj iskoristivosti podataka, kao i općenito poboljšava kvalitetu poslovanja.

Kako bi poslovni subjekt izbjegao sankcije zbog neusklađenosti s pravnim propisima, ključne osobe u poslovnom subjektu moraju se kvalitetno posvetiti pitanjima usklađivanja s propisima, između ostalog i propisima o zaštiti osobnih podataka.

2. Obrađujete li podatke o spolu, vjeri, zdravlju ili druge vrste osjetljivih podataka?

Podaci o rasnom ili etničkom podrijetlu, političkom mišljenju, vjerskom ili filozofskom uvjerenju ili članstvu u sindikatu, genetski podaci, biometrijski podaci obrađivani u svrhu jedinstvene identifikacije pojedinca, podaci o zdravlju, spolnom životu ili seksualnoj orijentaciji pojedinca su podaci posebne kategorije za koje GDPR predviđa strog i detaljan režim obrade.

Naime, radi se o podacima čija je obrada visokorizična za prava i slobode svakog pojedinca. Iz tog razloga, potrebno je suzdržati se od prikupljanja takvih vrsta podataka ako je moguće.

Ako nije moguće (primjerice bolnica se ne može suzdržati od obrade podataka o zdravlju) potrebno je imati na umu da se takvi podaci obrađuju isključivo ako postoji pravni temelj za obradu iz članka 6. GDPR-a, plus potrebno je postojanje izuzeća iz članka 9. stavka 2. GDPR-a te takve obrade zahtijevaju veći stupanj sigurnosti pa se pobrinite da postoje organizacijske i tehničke mjere zaštite u Vašoj organizaciji, primjerice da su Vaši zaposlenici educirani o važnosti zaštite osobnih podataka, da imate uređena ovlaštenja za pristup takvim podacima/opremi te da se povede računa o informacijskoj sigurnosti.

3. Koristite li osobne podatke koje prikupljate i čuvate u posebne, izričite i zakonite svrhe?

Osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. (postoji iznimka u smislu daljnje obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe a koje se smatra usklađenom s prvotnim svrhama).

Primjerice, aviokompanija prikuplja podatke od putnika koji su nužni radi izvršenja ugovornog odnosa (kupoprodaja). Takva obrada se temelji na ugovoru (članak 6. stavak 1. točka b). Međutim, ako bi se od aviokompanije tražila dostava podataka imigracijskom uredu u svrhu kontrole imigracije radi se o novoj obradi (dostava podataka), drugačijoj svrsi od prvotne (imigracijska svrha) te je za takvu obradu podataka koji su prvotno prikupljeni u svrhu ispunjenja ugovora, potreban novi pravni temelj iz članka 6. stavka 1.

Dakle, svaka nova svrha obrade osobnih podataka koja nije usklađena s prvotnom svrhom mora imati vlastiti pravni temelj.

Svrha u koju se osobni podaci obrađuju mora biti izrijekom navedena u vrijeme prikupljanja podatka. Dakle svrha se mora definirati prije početka obrade, a ta svrha mora biti dovoljna jasna i specifična kako bi se povećala transparentnost i osigurala pravna sigurnost, a ti podaci moraju biti nužni i relevantni za te svrhe te se podatak treba obrađivati samo ako se svrha ne može postići drugim sredstvom.

4. Obavještavate li svoje kupce/klijente o razlozima zbog kojih su vam potrebni njihovi osobni podaci kada ih tražite?

Svaki poslovni subjekt ima obvezu poduzeti odgovarajuće mjere kako bi udovoljio zahtjevu  transparentnosti kako bi pojedinac čiji se osobni podaci obrađuju bio pravodobno i kvalitetno obaviješten o upotrebi njegovih/njezinih podataka. Takva obaveza postoji bilo da se obrađuju osobni podaci kupaca, klijenata, stranka, zaposlenika, pacijenata i drugih.

Člankom 13. i 14. GDPR-a propisane su informacije koje moraju biti pružene pojedincima. 

Pružene obavijesti moraju biti objašnjene jasnim i jednostavnim jezikom kojeg razumije svaki prosječan pojedinac, a ako se radi o obradi podataka o djeci onda je potrebno te obavijesti dodatno prilagoditi dobi i svijesti djeteta.

Tim pojedincima moraju biti jasni načini na koje Vi obrađujete njihove podatke, rizici koji postoje od obrade te zaštitne mjere koje ste poduzeli kako biste umanjili te rizike.

Način kako ćete udovoljiti zahtjevu transparentnosti određujete sami, međutim mi Vam preporučujemo pružanje slojevite, iscrpne, detaljne politike/obavijesti o privatnosti na web-u poslovnog subjekta.

Još neki od primjera transparentnog pružanja obavijesti pojedincima su:

  • na javnom događaju kojeg ste organizirali Vaše goste možete obavijestiti o mogućnosti fotografiranja i/ili snimanja isticanjem vidljivog natpisa o istome ili
  • primjerice ako imate videonadzorni sustav pa istaknete naljepnicu s potrebnim obavijestima i fotografijom.
5. Koristite li osobne podatke samo u svrhe za koje su izvorno prikupljeni?

Primjerice, pojedinac je kupio Vaš proizvod putem web shop-a.

Za potrebe kupoprodajnog ugovora obradili ste određene nužne podatke, između ostalog elektronsku adresu Vašeg kupca. Takva obrada se temelji na ugovornom odnosu i s aspekta GDPR-a (ako su se obradili samo nužni podaci) je u redu.

 Međutim, kasnije ste na tu istu elektronsku adresu uputili obavijesti o određenim akcijama, proizvodima i slično. Da li je to u redu s aspekta GDPR-a?

Takva obrada će biti zakonita ako za obradu u svrhe slanja poruka o akcijama i proizvodima postoji poseban pravni temelj iz članka 6. stavka 1. GDPR-a.

Primjerice, takva obrada se može temeljiti na legitimnom interesu poslovnog subjekta koji šalje marketinške poruke (uvažavajući razumna očekivanja pojedinca).

Ono što je važno za napomenuti za obradu temeljem legitimnog interesa je to da je takva obrada zakonita do trenutka prigovora pojedinca (potrebno je naznačiti opciju odjave na začelju poruke, primjerice disclaimer ili unsubscribe), a nakon trenutka prigovora takva obrada postaje nezakonita.

6. Prikupljate li osobne podatke izravno od pojedinca (klijenta / zaposlenika)?

Osobni podaci se mogu prikupiti izravno od osobe čiji će se osobni podaci obrađivati (primjerice podaci o roditelju i djetetu prilikom upisa u vrtić) te neizravno od osobe čiji će se podaci obrađivati (primjerice, prilikom spomenutog upisa u vrtić roditelj djeteta pruža informacije o tome tko, uz roditelja, može doći po dijete u vrtić).

Predmetne obrade su moguće ako za njih postoji pravni temelj iz članka 6. stavka 1. GDPR-a, a pritom se moraju poštivati i načela obrade.

Ono što je bitno napomenuti jest to da se roditelju i djetetu iz primjera moraju pružiti informacije navedene u članku 13. GDPR-a, a osobi iz primjera koju roditelj naznačuje da može doći po dijete u vrtić treba pružiti dodatno informacije iz članka 14. GDPR-a (dakle, još dodatno informaciju o izvoru podatka).

Vi sami određujete na koji ćete način pružiti obavijesti, a jedan od načina može biti putem slojevite i detaljne politike/obavijesti o privatnosti na Vašim internetskim stranicama.

7. Znate li izvor osobnih podataka koje imate o kupcima/klijentima i osoblju (u slučajevima kada izvorno niste sami prikupili podatke)?

Pogledati prethodno pitanje broj 6.

Dakle, ako podatke niste prikupili direktno od pojedinca čije podatke obrađujete jeste li poveli računa o tome da se takav pojedinac obavijesti o izvoru putem kojeg ste prikupili podatak?

Odnosno, postavlja se pitanje kakvo je Vaše upravljanje podacima? Imate li kontrolu nad vlastitim obradama? Imate li pravni temelj za takvo prikupljanje? Jesu li pojedinci čije podatke obrađujete svjesni takvih obrada?

8. Prikupljate li samo osobne podatke koji su Vam potrebni za poslovanje?
Prilkom obrade podataka u Vašem poslovnom subjektu, bilo da se radi o podacima klijenata, stranaka, kupaca, pacijenata, studenata i drugih bitno je da su podaci koje obrađujete primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, kako biste izbjegli prekomjerno obrađivanje podataka. Tako bi prekomjeran podatak bio primjerice, seksualna orijentacija Vašeg zaposlenika ili osobe koju zapošljavate ili podatak o političkoj stranci za koju je Vaš radnik glasao na posljednjim izborima.
9. Jeste li procijenili rizike povezane s obradom osobnih podataka i poduzeli korake za osiguravanje podataka i sprječavanje povreda osobnih podataka?

Obrada osobnih podataka mora biti sigurna te je u tu svrhu potrebno između ostalog i procjenjivati rizike kako bi se umanjila mogućnost slučajnog ili neovlaštenog gubitka, upotrebe, izmjene, otkrivanja i pristupa podacima.

Kako biste umanjili potencijalne rizike morate provoditi odgovarajuće tehničke (primjerice, pseudonimizacija, enkripcija, upotreba snažnih lozinki na računalu i drugoj tehničkoj opremi) i organizacijske mjere zaštite (primjerice, educiranje zaposlenika, izjave o povjerljivosti, jasna raspodjela odgovornosti, zaštita pristupa lokacijama i hardveru i softveru, provjera ovlaštenja za pristup).

Također, utvrđeni su neki međunarodni standardi sigurne obrade podataka kojima se možete poslužiti, primjerice Europski pečat za zaštitu podataka (EuroPriSe) kojim se istražuju mogućnosti certificiranja proizvoda, primjerice softvera, u svrhu usklađivanja s europskim zakonodavstvom o zaštiti podataka.

U svim tim procesima može Vam pomoći službenik za zaštitu podataka, ako je imenovan.

10. Imate li interne politike o sigurnosti osobnih podataka i jeste li upoznali osoblje sa navedenim politikama?

Rizici se ne umanjuju samo primjenom kvalitetnih hardverskih i softerskih rješenja, već dakako i kvalitetnim internim pravilima, pogotovo uzimajući u obzir da se veliki broj povreda dogodi upravo zbog ljudskog faktora.

 

Isto tako je potrebno redovito educirati zaposlenike, poglavito u pogledu obveze povjerljivosti, zaštite pristupa podacima, uključujući ovlaštenja za pristup, upotrebi podataka sukladno uputama nadređenih ili sukladno utvrđenim pravilima djelatnosti, jasna raspodjela odgovornosti i slično.

Također, potrebno je voditi računa o transparentnosti obrade, između ostalog prema Vašim zaposlenicima kao ispitanicima.

Dakle potrebno je provoditi odgovarajuće tehničke (primjerice, pseudonimizacija, enkripcija, povjerljivost) i organizacijske mjere zaštite (primjerice, educiranje zaposlenika, jasna raspodjela odgovornosti, zaštita pristupa lokacijama i hardveru i softveru, provjera ovlaštenja za pristup).

Svemu tome potrebno je pristupiti ozbiljno, detaljno i kvalitetno što podrazumijeva donošenje politika/strategija/protokola sigurnosti, a  zaposlenike je potrebno upoznati sa sadržajem istih.

Kako biste umanjili potencijalne rizike morate provoditi odgovarajuće tehničke (primjerice, pseudonimizacija, enkripcija, upotreba snažnih lozinki na računalu i drugoj tehničkoj opremi) i organizacijske mjere zaštite (primjerice, educiranje zaposlenika, izjave o povjerljivosti, jasna raspodjela odgovornosti, zaštita pristupa lokacijama i hardveru i softveru, provjera ovlaštenja za pristup).

Također, utvrđeni su neki međunarodni standardi sigurne obrade podataka kojima se možete poslužiti, primjerice Europski pečat za zaštitu podataka (EuroPriSe) kojim se istražuju mogućnosti certificiranja proizvoda, primjerice softvera, u svrhu usklađivanja s europskim zakonodavstvom o zaštiti podataka.

U svim tim procesima može Vam pomoći službenik za zaštitu podataka, ako je imenovan.

11. Čuvate li osobne podatke samo onoliko dugo koliko je potrebno?

Jedno od temeljnih načela GDPR-a je načelo ograničenja pohrane, koje određuje da se osobni podaci moraju izbrisati ili anonimizirati čim prestanu biti potrebni za svrhe u koje su prikupljeni.

Ovdje je potrebno naglasiti važnost poznavanja zakonodavstva koje uređuje djelatnost kojom se bavite jer je pitanje pohrane često određeno zakonom, pa tako primjerice sukladno računovodstvenim propisima isplatne liste, analitička evidencija o plaćama za koje se plaćaju obvezni doprinosi čuvaju se trajno.

Postoji iznimka kada se podaci mogu pohranjivati na dulje vrijeme,  u smislu arhiviranja zbog javnog interesa, u znanstvene, povijesne svrhe, statističke svrhe, pod uvjetom poduzimanja odgovarajućih tehničkih i organizacijskih mjera zaštite.

Također, važno je napomenuti da se vremensko ograničenje za pohranu odnosi samo na podatke koji omogućuju identifikaciju.

12. Možete li jamčiti da će se osobni podaci u potpunosti izbrisati nakon što više ne budu potrebni u svrhe u koje su prikupljeni?

Podatke koji nisu nužni u odnosu na svrhe obrađivanja potrebno je obrisati ili anonimizirati.

Podatke je potrebno brisati u cijelosti, nepovratno te zajedno sa svim sigurnosnim kopijama u trenutku kada više nisu potrebni, a u slučaju da su podaci zakonito preneseni trećoj strani, potrebno je osigurati i da je treća strana izbrisala podatke.

13. Provodite li redovite provjere kako biste bili sigurni da su osobni podaci ažurirani i točni?

Podaci koji obrađujete moraju biti točni, potpuni i ažurni.

U tu svrhu uputno je redovito provjeravati podatke radi osiguravanja točnosti. Ažuriranje je važno zbog štete koju pojedinac može pretrpjeti ako poslovni subjekt obrađuje netočne podatke, primjerice ako banka ima u svojoj bazi zastarjele podatke pojedinac može pretrpjeti negativne posljedice prilikom ocjene njegove kreditne sposobnosti.

Također, obvezu ažuriranja je potrebno gledati u kontekstu svrha obrade, budući da postoje slučajevi u kojima je ažuriranje podataka zabranjeno (primjerice, medicinska dokumentacija o operaciji se ne smije mijenjati-ažurirati jer je osnovna svrha pohrane takve dokumentacije dokumentiranje događaja kao povijesnog zapisa, a ako bi se neki podaci poslije pokazali kao netočni, smiju se dodati samo napomene koje su jasno označene kao naknadni unosi).

14. Ako je potreban ispravak osobnih podataka, osiguravate li potrebne izmjene bez odgađanja?

Pogledati prethodno pitanje.

Ažuriranje je važno zbog štete koju pojedinac može imati ako poslovni subjekt obrađuje netočne podatke, stoga dulje odgađanje ispravljanja povećava rizik za nastanak štete pojedincu.

Također, ako promatramo predmetno u pogledu ostvarenja prava pojedinca (pravo na ispravak) određuje da je zahtjevu potrebno odgovoriti bez odgađanja, a najkasnije u roku od 30 dana (rok se iznimno može produljiti).

prava ispitanika
15. Upoznajete li svoje kupce/klijente sa njihovim pravima na zaštitu podataka na lako razumljiv način?

Obrada mora biti transparentna Vašim kupcima/klijentima.

U tu svrhu oni imaju pravo biti upoznati s pravima koje Opća uredba o zaštiti podataka jamči svakom pojedincu, a to su pravo na informacije, pravo na ispravak, pravo na brisanje, pravo na ograničenje obrade, pravo na prenosivost podataka, pravo na prigovor te pravo da se na pojedinca ne odnose odluke koje se temelje isključivo na automatiziranoj obradi, uključujući izradu profila, odnosno sa svim informacijama određenim člankom 13. i 14. Opće uredbe o zaštiti podataka te pružiti sve komunikacije iz članaka od 15. do 22. i članka 34.

Također, pojedinca se mora upoznati s mogućnošću povlačenja privole ili podnošenja zahtjeva za utvrđenjem povrede prava AZOP-u.

Sve obavijesti moraju biti pružene jasnim i jednostavnim jezikom, a ako se radi o obavijestima namijenjenim djeci moraju biti prilagođene dobi i svijesti djeteta.

Način određujete sami, a preporuka je pružiti obavijesti u obliku slojevite, detaljne obavijesti o privatnosti/politici privatnosti na Vašoj internetskoj stranici ili na drugi prikladan način.

16. Jeste li uspostavili postupak za rješavanje zahtjeva za pristup ispitanika?

Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava na pristup podacima (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinca te uvjete pod kojim se ta prava ostvaruju, jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično).

Uputno je izraditi obrasce kojima se pojedincu olakšava ostvarivanje njegovih prava.

17. Imate li uspostavljene postupke za rješavanje zahtjeva pojedinaca za ispravljanje njihovih osobnih podataka?

Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava na ispravak podataka (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinca te uvjete pod kojim se ta prava ostvaruju, jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično).

Uputno je izraditi obrasce kojima se pojedincu olakšava ostvarivanje njegovih prava

Primjerak obrasca možete pronaći u rubrici obrasci/predlošci.

Potrebno je informirati pojedince o njihovima pravima te poduzeti odgovarajuće mjere kako bi se pojedincu pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. Opće uredbe o zaštiti podataka.

18. Jeste li uspostavili postupak za rješavanje zahtjeva pojedinaca za prenosivost njihovih osobnih podataka drugom pružatelju usluga (pravo na prenosivost podataka)?

Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava na prenosivost podataka (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinaca te uvjete pod kojim se ta prava ostvaruju te jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično).

Uputno je izraditi obrasce kojima se pojedincu olakšava ostvarivanje njegovih prava.

Primjerak obrasca možete pronaći u rubrici obrasci/predlošci.

Potrebno je informirati pojedince o njihovima pravima te poduzeti odgovarajuće mjere kako bi se pojedincu pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. Opće uredbe o zaštiti podatka.

19. Imate li uspostavljene postupke za odgovaranje na prigovor pojedinca upućen Vama, a u vezi korištenja njegovih osobnih podataka?

Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava na prigovor (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinaca te uvjete pod kojim se ta prava ostvaruju te jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično).

Uputno je izraditi obrasce kojima se pojedincu olakšava ostvarivanje njegovih prava.

Primjerak obrasca možete pronaći u rubrici obrasci/predlošci.

Potrebno je informirati pojedince o njihovima pravima te poduzeti odgovarajuće mjere kako bi se pojedincu pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. Opće uredbe o zaštiti podataka.

20. Ako vaši poslovni procesi uključuju potpuno automatizirano donošenje odluka ili izradu profila, možete li odgovoriti na zahtjeve pojedinaca da se njihovi podaci obrade uz ljudsku intervenciju?

Pojedinac ima pravo da se na pojedinca ne odnose odluke koje se temelje isključivo na automatiziranoj obradi, uključujući izradu profila, a koja proizvodi pravne učinke koji na njega utječu.

Primjer takvog donošenja odluka jest u slučaju brze procjene kreditne sposobnosti budućeg klijenta gdje agencija za kreditni rejting prikuplja određene podatke (primjerice o insolventnosti), a ti se podaci potom  učitavaju u algoritam za ocjenjivanje koji izračunava ukupnu vrijednost koja predstavlja kreditnu sposobnost potencijalnog klijenta.

Pojedinci imaju pravo razumjeti razloge koji stoje iza odluka donesenih o njima automatiziranom obradom i moguće posljedice istih te  se usprotiviti profiliranju u određenim situacijama (primjerice direktnom marketingu).

Dakle, vodite računa da osigurate ljudsku intervenciju,  omogućite pojedincima izražavanje vlastitih mišljenja te osporavanje odluka.

Poslovni subjekti mogu biti izuzeti od takve zabrane samo ako je odluka potrebna za sklapanje ugovora između pojedinca i poslovnog subjekta, dopuštena pravnim propisom ili utemeljena na izričitoj privoli pojedinca.

prava zaposlenika
21. Zaposlenici također imaju pravo na zaštitu podataka. Osvješćujete li svoje zaposlenike u potpunosti o načinu na koji upotrebljavate njihove podatke i o njihovim pravima na zaštitu osobnih podataka?

Obrada mora biti transparentna pojedincima (zaposlenicima).

U tu svrhu oni imaju pravo biti upoznati s: identitetom i kontakt podacima Vašeg poslovnog subjekta, svrhom i pravnom osnovom obrade, a u slučaju da se radi o obradi temeljenoj  na legitimnim interesima, navesti o kojim se interesima radi, potrebno je navesti primatelje ili kategorije primatelja podataka, namjeru prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji ako je primjenjivo, razdoblje u kojem će podaci biti pohranjeni, uputiti na pravo na prigovor ili mogućnost povlačenja privole ili podnošenja zahtjeva za utvrđenjem povrede prava Azopu, informacije o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza te postojanje automatiziranog donošenja odluka, izrada profila, ako je primjenjivo i svim drugim informacijama iz članka 13. i 14. Opće uredbe o zaštiti podataka.

Vaša je dužnost upoznati zaposlenike s predmetnim informacijama na jasan i jednostavan način te odrediti kako ćete to učiniti bilo putem obavijesti o privatnosti, ugovora o radu, internim aktima, edukacijama i slično.

Također, potrebno je poštovati propise o radu, primjerice ako je osobne podatke radnika potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

22. Imate li ažurirane dokumente o pravilima koja osiguravaju pravo na zaštitu podataka zaposlenika?

Vaša je dužnost biti transparentni što se tiče obrađivanja podataka zaposlenika. Također, načelno Vi određujete načine kako ćete to učiniti bilo putem politike privatnosti, ugovora o radu, internim aktima, edukacijama i slično.

U tu svrhu potrebno je redovito pratiti propise o zaštiti osobnih podataka te propise o radu te ažurirati svoje procedure i dokumentaciju shodno izmjenama i dopunama zakonodavstva.

23. Pregledavate li redovito učinkovitost svojih dokumenata/politika?

Kao što je potrebno redovito pratiti propise o zaštiti osobnih podataka te propise o radu tako je potrebno ažurirati svoje procedure i dokumentaciju shodno izmjenama i dopunama zakonodavstva.

Također, uputno je i revidirati procedure i dokumentaciju ako bi se pokazalo da nije dovoljno učinkovita.

24. Koristite li standardne tehnologije enkripcije za obradu osjetljivih osobnih podataka (posebnih kategorija osobnih podataka)?

Enkripcija je jedna od mogućih tehničkih mjera zaštite koja osigurava visoku razinu sigurnosti sukladno članku 32. Opće uredbe o zaštiti podataka.

25. Imate li uspostavljene procese koji osiguravaju da samo nužne osobe mogu pristupiti osobnim podacima zaposlenika (npr. Odjel za ljudske resurse)?

Kako bi se umanjili potencijalni rizici, Vaš poslovni subjekt mora provoditi odgovarajuće organizacijske mjere zaštite (primjerice: potpisivanje izjave o povjerljivosti, educiranje zaposlenika, jasna raspodjela odgovornosti, zaštita pristupa lokacijama i hardveru i softveru, provjera ovlaštenja za pristup) posebice imajući na umu da velikog broja povreda zaštite osobnih podataka dolazi zbog ljudskog faktora.

Primjerak obrasca Izjave o povjerljivosti možete pronaći u rubrici obrasci/predlošci.

26. Jesu li donositelji odluka, te ujedno i ključni ljudi u Vašoj organizaciji, svjesni svojih obveza koje proizlaze iz Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podatka?

Poslovni subjekt kao voditelj obrade  je odgovoran za usklađenost sa zahtjevima iz Opće uredbe o zaštiti podataka.

Kako bi poslovni subjekt izbjegao sankcije zbog neusklađenosti s pravnim propisima, ključne osobe u poslovnom subjektu moraju se kvalitetno posvetiti pitanjima usklađivanja s propisima, između ostalog i propisima o zaštiti osobnih podataka.

pravni temelji za obradu
27. Možete li prepoznati pravne osnove na koje se oslanjate kako bi opravdali prikupljanje osobnih podataka?

Obrada osobnih podataka je zakonita samo ako se radi o obradi koja je pravna obveza subjekta, nužna za ispunjenje ugovora u kojem je pojedinac stranka, ako se radi o životno važnom interesu pojedinca, ako je pojedinac dao privolu, ako postoji javni interes ili službena ovlast društva ili legitimni interesi društva (članak 6. stavak 1. Opće uredbe o zaštiti podataka).

Na legitiman interes kao pravni temelj za obradu se ne mogu pozivati tijela javne vlasti pri izvršavanju svojih zadaća.

Poseban stroži režim je predviđen za podatke o rasnom ili etničkom podrijetlu, političkom mišljenju, vjerskom ili filozofskom uvjerenju ili članstvu u sindikatu, genetski podaci, biometrijski podaci obrađivani u svrhu jedinstvene identifikacije pojedinca,podaci o zdravlju, spolnom životu ili seksualnoj orijentaciji pojedinca. Obrada tih vrsta podataka je načelno zabranjena, a dopuštena je, ako postoji pravni temelj za obradu te uz pretpostavku postojanja izuzeća iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.

28. Ako se za prikupljanje osobnih podataka oslanjate na privolu, jeste li svjesni da privola treba biti dana dobrovoljno, informirana odnosno u potpunosti shvaćena od svih strana i, ako je moguće, trebali biste moći dokazati da ste dobili privolu?

Privola kao pravni temelj mora udovoljavati određenim uvjetima iz Opće uredbe o zaštiti podataka pa tako mora biti:

  • dobrovoljno dana,
  • informirana
  • posebna
  • mora postojati nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose
  • mora biti dana za specifičnu svrhu
  • mora biti izričita i dana nekom potvrdnom radnjom (primjer: opt-in opcija u elektroničkom obliku ili potpis na obrascu)
  • mora biti pisana te je jasno vidljiva; jasnim i jednostavnim jezikom
  • mora biti ponuđena i objašnjena mogućnost povlačenja privole

Dužnost je poslovnog subjekta da dokaže (primjerice, pisana ili snimanja privola ili na drugi način) da je od pojedinca zatražio valjanu privolu, a takva obveza postoji do kad god predmetna aktivnost obrade podataka traje (nakon završetka obrade dokaz se ne bi trebao čuvati dulje no što je potrebno).

29. Imate li uspostavljene postupke kojima se omogućuje pojedincu da povuče svoju privolu za obradu svojih osobnih podataka?

Poslovni subjekt mora osigurati da pojedinac povuče svoju privolu jednako jednostavno kao što ju je dao, a o tom pravu dužan je informirati pojedinca.

Primjerice, kad je privola zatražena elektronskim putem (dana jednim klikom miša) pojedinac na isti način mora biti u mogućnosti povući privolu ili ako je privola zatražena putem određenog korisničkog sučelja (primjerice, putem internetske stranice ili aplikacije, sučelja IoT uređaja ili e-pošte), pojedinac mora moći povući privolu putem istog sučelja.

Pojedinac bi trebao moći povući svoju privolu bez štetnih posljedica ili ulaganja dodatnog napora, što u pravilu znači besplatno bez negativnog odražavanja na kvalitetu usluge.

30. Oslanjate li se na legitimni interes kao pravnu osnovu za prikupljanje osobnih podataka?

Da biste se mogli pozvati na legitimni interes kao pravni temelj za obradu, ista mora biti nužna za potrebe Vaših legitimnih interesa ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

To znači da biste trebali prije početka obrade provesti test razmjernosti u nekoliko koraka.

Primjerak testa razmjernosti možete pronaći u rubrici OBRASCI/PREDLOŠCI.

Postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i to može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u određenu svrhu.

Na legitiman interes kao pravni temelj za obradu se ne mogu pozivati tijela javne vlasti pri izvršavanju svojih zadaća.

31. Ako se za obradu osobnih podataka oslanjate na legitimni interes, možete li pokazati da Vaši poslovni interesi nemaju negativan utjecaj na prava pojedinaca?

Da bi ste se mogli pozvati na legitimni interes kao pravni temelj za obradu, ista mora biti nužna za potrebe Vaših legitimnih interesa ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

To znači da biste trebali prije početka obrade provesti test razmjernosti u nekoliko koraka.

Primjerak testa razmjernosti možete pronaći u rubrici OBRASCI/PREDLOŠCI.

proslijedjivanje op trecim stranama
32. Prosljeđujete li osobne podatke trećim stranama?

U tom slučaju je potrebno voditi računa između ostalog o pravnom temelju za obradu, načelima obrade te transparentnosti prema pojedincima.

Primjera radi,  sukladno propisima o radu, osobni podaci radnika smiju se dostavljati trećim osobama samo ako je to određeno zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom, a u tu svrhu poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

33. Imate li valjanu pravnu osnovu za prijenos podataka trećim stranama?

U tom slučaju je potrebno voditi računa između ostalog o pravnom temelju za obradu, načelima obrade te transparentnosti prema pojedincima.

Primjera radi, sukladno propisima o radu, osobni podaci radnika smiju se dostavljati trećim osobama samo ako je to određeno zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom, a u tu svrhu poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

34. Jesu li pojedinci (kupci/klijenti, zaposlenici) svjesni da se njihovi podaci prenose trećim stranama?

Svaki poslovni subjekt ima obvezu poduzeti odgovarajuće mjere transparentnosti (članak 13. i 14. Opće uredbe o zaštiti podataka) kako bi pojedinci čiji se osobni podaci obrađuju bili obaviješteni o upotrebi njihovih podataka, a ta obaveza postoji bilo da se obrađuju osobni podaci kupaca, klijenata, stranka, zaposlenika, pacijenata i drugih.

Pružene obavijesti moraju biti objašnjene jasnim i jednostavnim jezikom kojeg razumije svaki prosječan pojedinac, a ako se radi o obradi podataka o djeci onda je potrebno te obavijesti dodatno prilagoditi dobi i svijesti djeteta.

Tim pojedincima moraju biti poznati načini na koje Vi obrađujete njihove podatke, rizici koji postoje od obrade te zaštitne mjere koje ste poduzeli kako biste umanjili te rizike.

Sami određujete način kako ćete udovoljiti zahtjevu transparentnosti, a jedan od primjera takve obaviještenosti je pružanje slojevite, iscrpne, detaljne politike/obavijesti o privatnosti na internetskoj stranici poslovnog subjekta.

sluzbenik za zastitu podatka
35. Jeste li obvezni imenovati službenika za zaštitu podataka?

Svaki poslovni subjekt ima obvezu poduzeti odgovarajuće mjere transparentnosti (članak 13. i 14. Opće uredbe o zaštiti podataka) kako bi pojedinci čiji se osobni podaci obrađuju bili obaviješteni o upotrebi njihovih podataka, a ta obaveza postoji bilo da se obrađuju osobni podaci kupaca, klijenata, stranka, zaposlenika, pacijenata i drugih.

Pružene obavijesti moraju biti objašnjene jasnim i jednostavnim jezikom kojeg razumije svaki prosječan pojedinac, a ako se radi o obradi podataka o djeci onda je potrebno te obavijesti dodatno prilagoditi dobi i svijesti djeteta.

Tim pojedincima moraju biti poznati načini na koje Vi obrađujete njihove podatke, rizici koji postoje od obrade te zaštitne mjere koje ste poduzeli kako biste umanjili te rizike.

Sami određujete način kako ćete udovoljiti zahtjevu transparentnosti, a jedan od primjera takve obaviještenosti je pružanje slojevite, iscrpne, detaljne politike/obavijesti o privatnosti na internetskoj stranici poslovnog subjekta.

36. Ako ste obvezni imenovati službenika, osiguravate li da je službenik pravilno uključen u poslovne procese koji uključuju obradu osobnih podataka zaposlenika i kupaca/klijenata?

Važno je da poslovni subjekt osigurava da je službenik za zaštitu podataka primjereno i pravodobno uključen u sva pitanja zaštite osobnih podataka, stoga se  između ostalog preporučuje:

  • da službenik za zaštitu podataka bude pozvan sudjelovati na redovitim sastancima visokog i srednjeg rukovodstva,
  • kada se donose odluke koje se mogu odraziti na zaštitu podataka, a sve relevantne informacije moraju mu se pružiti pravovaljano kako bi mogao dati odgovarajući savjet,
  • paziti da se njegovo mišljenje uzme u obzir, a ako postoje razilaženja preporučuje se dokumentiranje razloga zašto niste postupili po njegovom savjetu,
  • također preporučuje se da se savjetovanje sa službenikom za zaštitu podataka provede odmah nakon što je došlo do povrede podataka ili do nekog drugog incidenta. 
izvjescivanje
37. Ima li vaša organizacija učinkovite procese za prepoznavanje, prijavljivanje, upravljanje i rješavanje povreda osobnih podataka?

Povreda osobnih podataka odnosi se na povredu sigurnosti uslijed gubitka, izmjene, neovlaštenog otkrivanja ili pristupa podacima ili nezakonitog uništenja.

Kako bi umanjili mogućnost takvih pojava moramo voditi računa o mjerama tehničke (primjerice, pseudonimizacija, enkripcija)  i organizacijske (primjerice educiranje zaposlenika) zaštite.

O tome je važno voditi računa jer povrede mogu dovesti do krađe identiteta, prijevare, financijskog gubitka/materijalne štete, narušavanje ugleda, gubitka povjerljivosti.

GDPR sadrži detaljan okvir u smislu rokova i sadržaja obavijesti u slučajevima kada se povrede moraju prijaviti AZOP-u.

Naime, Vaš poslovni subjekt mora obavijestiti AZOP bez odgađanja, a najkasnije u roku od 72 sata od saznanja o povredi (ako se rok prekorači potrebno je objasniti zašto se prekoračio), a nije potrebno obavijestiti AZOP o povredi samo ako možete dokazati da nije vjerojatno da će ta povreda koju niste prijavili AZOP-u prouzročiti rizik za prava i slobode pojedinca.

Ako je vjerojatno da će povreda prouzročiti rizik za prava i slobode pojedinca tada je potrebno obavijestiti i pojedince.

Ako ste u ulozi izvršitelja obrade (primjerice kao knjigovodstveni servis pružate određene usluge društvu) onda o povredi izvješćujete voditelja obrade (to društvo iz primjera), a zatim je on odgovoran za obavješćivanje AZOP-a i pojedinaca.

Primjerak obrasca za Izvješćivanje o povredi osobnih podataka možete pronaći u rubrici obrasci/predlošci.

evidencije
38. Vodite li evidenciju o povredama podataka?

Ako primijetite da je u Vašem društvu/organizaciji došlo do povrede osobnih podataka, trebali bi o tome izvijestiti AZOP bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako možete dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca.

 Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

U obavijesti upućenoj pojedincu trebate se služiti jasnim i jednostavnim jezikom, a obavijest sadrži informacije propisane člankom 34. stavkom 2. GDPR.

Od takve obaveze postoje izuzeća, primjerice kada ste poduzeli odgovarajuće tehničke i organizacijske mjere zaštite, poduzeli mjere osiguravanja da ne dođe do visokog rizika za pojedinca ili Vam obavješćivanje predstavlja veliki napor (tada se može obavijestiti javnim putem ili slično).

Navedene procedure uputno je dokumentirati.

39. Vodite li evidencije o aktivnostima obrade?

Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita.

 Primjerak obrasca evidencije o aktivnostima obrade možete pronaći u rubrici OBRASCI/PREDLOŠCI.

Vođenje evidencije aktivnosti obrade nije obavezno ako Vaša organizacija zapošljava manje od 250 zaposlenika, međutim neovisno o broju zaposlenika, dužni se voditi evidenciju obrade ako:

  • ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke) ili
  • ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca, obrada osobnih podataka članova udruge) ili
  • ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci) ili
  • ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima.

Ista mora sadržavati informacije iz članka 30. GDPR-a  te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).

Sadržaj evidencije aktivnosti obrade mora biti detaljno razrađen te mora sadržavati:  ime i kontakt podatke voditelja obrade (primjerice: naziv pravne osobe i kontakt), svrhu obrade (detaljno objašnjena), opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o članovima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.), kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije), prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom) te opis tehničkih i organizacijskih mjera zaštite osobnih podataka.

AZOp preporučuje voditi evidenciju aktivnosti obrade čak i kad niste u obvezi voditi evidenciju aktivnosti obrade jer može poslužiti kao jedan o dokumenata u svrhu dokazivanja pouzdanosti odnosno usklađenosti s Općom uredbo o zaštiti podataka.

Ne postoji obveza dostave navedenih evidencija aktivnosti obrade AZOP-u.

Evidencije o aktivnosti obrade je potrebno pohraniti u pisanom obliku, uključujući elektronički oblik, te ste istu dužni dati na uvid na zahtjev AZOP-a.

izvršitelj obrade
40. Koristite li usluge podizvođača koji obrađuju osobne podatke u ime Vaše organizacije (npr. pružatelji knjigovodstvenih usluga, pružatelji IT usluga i video nadzora)

Vaše društvo, kao voditelj obrade može povjeriti drugom društvu, kao izvršitelju da u ime Vašeg društva provodi određenu obradu osobnih podataka.

Najvažnija razlika između voditelja i izvršitelja obrade jest ta da voditelj obrade donosi odluke o svrhama i načinima obrade, a izvršitelj obrade obrađuje te podatke u ime izvršitelja pridržavajući se strogih naputaka.

Aktivnosti povjerene izvršitelju obrade mogu se odnositi na konkretnu zadaću ili mogu biti općenite i veoma obuhvatne, a izvršitelj obrade može biti fizička ili pravna osoba.

Važno je pojasniti da kada primjerice zaposlenici društva XX obrađuju podatke o ljudskim potencijalima određenog drugog društva XY, tada je izvršitelj obrade društvo XX, a ne njegovi zaposlenici.

Također, osim što obrađuju podatke za druge, izvršitelji obrade se nalaze i u ulozi voditelja obrade primjerice kada obrađuju osobne podatke svojih zapslenika, npr. u svrhu obračuna plaća (jer određuju svrhu i načine obrade osobnih podataka vlastitih zaposlenika). Tako se primjerice, društvo XX koje je specijalizirano za vođenje podataka o ljudskim potencijalima za druga društva XY u odnosu na njih nalazi u svojstvu izvršitelja obrade, međutim kada to isto društvo XX obrađuje podatke svojih zaposlenika ono je za takvu vrstu obrade voditelj obrade.

Između voditelja i izvršitelja obrade potrebno je sklopiti ugovor koji bi trebao sadržavati sve elemente iz članka 28. stavka 3. Opće uredbe o zaštiti podataka.

Cjelokupna odgovornost je na voditelju obrade koji smije koristiti usluge samo izvršitelja koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera zaštite, pa je tako voditelj obrade dužan nadgledati izvršitelja obrade. Međutim, predmetno ne oslobađa izvršitelja obrade odgovornosti  u slučaju ako izvršitelj obrade ne poštuje naputke voditelja obrade.

Dakle, Vi niste dužni imati izvršitelja obrade već se s njim nalazite u ugovornom odnosu ako povjerite određene vrste obrade fizičkoj/pravnoj osobi da te obrade vrši u Vaše ime.

41. Imate li ugovore kojima se regulira područje zaštite osobnih podataka s vanjskim izvršiteljima i pružateljima usluga (Ugovor/sporazum o obradi podataka)?

Između voditelja i izvršitelja obrade potrebno je sklopiti ugovor ili urediti odnos drugim pravnim aktom u skladu s europskim odnosno nacionalnim pravom, a koji bi trebao sadržavati sve elemente propisane člankom 28. stavkom 3. Opće uredbe o zaštiti podataka.

obrada op inter stranice
42. Koristi li Vaša organizacija internetsku stranicu kao dio poslovnih aktivnosti?

Ako je Vaša organizacija ima službenu internetsku stranicu, tada to možete iskoristiti kako biste kvalitetno udovoljili zahtjevu transparentnosti prema pojedincima čije podatke obrađujete (primjerice Vaši kupci, klijenti).

Preporuča se da je politika privatnosti u slojevitom obliku.

Upute za izradu politike privatnosti možete pronaći u rubrici Edukativni materijali.

Ako koristite kolačiće pružite obavijest o vrstama kolačića koje koristite i omogućite davanje privole sukladno svim uvjetima za istu te poduzmite sve odgovarajuće tehničke i organizacijske mjere zaštite.

43. Koristite li na Vašoj internetskoj stranici kolačiće (cookies)?

Instaliranje kolačića i čitanje već pohranjenih informacija o pojedincu na terminalnoj opremi smije se raditi samo uz njegovu privolu te prethodnu jasnu informaciju da će se podaci prikupljati i u koju svrhu, a u skladu sa propisima o zaštiti osobnih podataka. Od privole su izuzeti samo kolačići koji su tehnički neophodni za odvijanje komunikacije između korisnikove terminalne opreme i Internet mjesta koje posjećuje ili pružanje usluge na Internet mjestu na zahtjev korisnika. U Vodič o obradi osobnih podataka putem kolačića izrađenog u okviru EU projekta ARC možete pronaći smjernice u vezi primjene istih, razgraničenje kolačića za koje nije potrebna privola te detalje u vezi obavijesti o obradi osobnih podataka putem kolačića.

Vodič o obradi osobnih podataka putem kolačića možete pronaći u rubrici Edukativni materijali.

44. Imate li na Vašoj web stranici ažurirane obavijesti o zaštiti podataka i kolačićima?

Pazite da su Vaše obavijesti o zaštiti podataka ažurne i točne kako ne biste pružali zastarjele i netočne informacije, prevelik opseg podataka ili podataka za koji više nemate pravni temelj.

video nadzor
45. Koristi li Vaša tvrtka videonadzorni sustav u poslovnom prostoru?

Videonadzor u smislu odredbi Zakona o zaštiti podataka odnosi se na prikupljanje i daljnju obradu osobnih podataka koja obuhvaća stvaranje snimke koja čini ili je namijenjena da čini dio sustava pohrane.

46. Ako imate vidonazorni sustav u poslovnom prostoru, postoji li u tom prostoru jasno istaknuta obavijest koja infomira pojedince o prisutnosti videonadzornog sustava?

Kako biste udovoljili zahtjevu transparentnosti ako imate videonadzorni sustav u sklopu svoje organizacije, dužni ste prilikom ulaska pojedinaca u perimetar snimanja istaknuti obavijest koja sadrži sve relevantne informacije, a posebice uz tekst istaknuti jednostavnu i lako razumljivu sliku (primjerice kameru).

Primjerak obavijesti o videonadzoru možete pronaći u rubrici Obrasci/predlošci

47. Sadrži li obavijest o videonadzornom sustavu pravnu osnovu za video nadzor?

Obavijest o videonadzornom sustavu mora sadržavati jasne informacije o tome da je prostor pod videonadzorom, podatke o voditelju obrade, podatke za kontakt putem kojih pojedinac može ostvariti svoja prava, a i druge informacije iz članka 13. i 14. Opće uredbe o zaštiti podataka uključujući i pravni temelj za obradu (primjerice Vaš legitimni interes).

Primjerak obavijesti o videonadzoru možete pronaći u rubrici Obrasci/predlošci

48. Sadrži li obavijest o videonadzornom sustavu kontaktne podatke voditelja obrade podataka?

Obavijest o videonadzornom sustavu mora sadržavati jasne informacije o tome da je prostor pod videonadzorom, podatke o voditelju obrade, podatke za kontakt putem kojih pojedinac može ostvariti svoja prava, a i druge informacije iz članka 13. i 14. Opće uredbe o zaštiti podataka.

Primjerak obavijesti možete pronaći u rubrici Obrasci/predlošci

direktni marketign
49. Koristi li Vaša organizacija izravni marketing kao dio poslovnih aktivnosti?

Ako obrađujete osobne podatke u svrhu izravnog marketinga, imajte na umu da pojedinac ima pravo prigovoriti takvoj obradi u bilo koje vrijeme i besplatno. To bi se pravo mora naznačiti izričito, jasno i odvojeno od svih drugih informacija.

Primjerice, ako šaljete sadržaj na elektronsku adresu pojedinca, naznačite mu mogućnost odjave ili slično, a takva radnja/odjava bi trebala dovesti do uklanjanja/brisanja elektronske adrese pojedinca s Vaše mailing liste.

50. Možete li odrediti odgovarajuću pravnu osnovu na koju se oslanjate kako biste kontaktirali pojedince u svrhu izravnog marketinga?

Za svaku obradu osobnih podataka morate identificirati pravni temelj iz članka 6. stavka 1. Opće uredbe o zaštiti podataka, pa bi tako primjerice obrade u svrhe direktnog marketinga mogle vršiti temeljem Vašeg legitimnog interesa.

Ako obrađujete osobne podatke u svrhu izravnog marketinga, imajte na umu da pojedinac ima pravo prigovoriti takvoj obradi u bilo koje vrijeme i besplatno. To se pravo mora naznačiti izričito, jasno i odvojeno od svih drugih informacija.

51. Pružate li kupcima/klijentima priliku da se lako 'isključe' iz izravnih marketinških komunikacija?

Vaša je obveza upoznati pojedinca s mogućnošću povlačenja privole ako se obrada temelji na privoli te s mogućnošću prigovaranja obradi ako se temelji na Vašem legitimnom interesu.

Ta im se prava moraju naznačiti izričito, jasno i odvojeno od svih drugih informacija.

Ono što je važno za napomenuti za obradu temeljenu na legitimnom interesu je to da je takva obrada zakonita do trenutka prigovora pojedinca (primjerice, opcija odjave na začelju takve poruke) poslovnom subjektu koji Vam šalje marketinške poruke, a nakon toga postaje nezakonita.

Što se tiče privole, poslovni subjekt mora osigurati da pojedinac povuče svoju privolu jednako jednostavno kao što ju je dao, a o tom pravu dužan je informirati pojedinca.

Primjerice, kad je privola zatražena elektronskim putem (dana jednim klikom miša) pojedinac na isti način mora biti u mogućnosti povući privolu ili ako je privola zatražena putem određenog korisničkog sučelja (primjerice,putem internetske stranice ili aplikacije, sučelja IoT uređaja ili e-pošte), pojedinac mora moći povući privolu putem istog sučelja.

Pojedinac bi trebao moći povući svoju privolu bez štetnih posljedica ili ulaganja dodatnog napora, besplatno i bez utjecaja na kvalitetu usluge.

Primjerak obrasca privole možete pronaći u rubrici Obrasci/predlošci.

52. Imate li uspostavljene sustave za brzo uklanjanje podataka o kupcima/klijentima s popisa za slanje kada to zatraže?

Budući da obrada osobnih podataka nakon trenutka prigovora ili nakon povlačenja privole postaje nezakonita potrebno je osigurati promptno djelovanje na takve zahtjeve pojedinaca kako biste bili usklađeni i izbjegli nezakonito obrađivanje podataka.

procjena ucinka
53.Znate li koje su vrste obrade predmet procjene učinka na zaštitu podataka?

Procjena učinka na zaštitu podataka obvezna je u slučaju:

  • sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
  • opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. GDPR-a ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. GDPR-a;
  • sustavno praćenje javno dostupnog područja u velikoj mjeri

U rubrici Pravni okvir možete pronaći Odluku o uspostavi i javnoj objavi popisa vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u kojoj su dodatno opisane obrade kada je potrebno provesti taj postupak.

Predložak obrasca za provedbu procjene učinka na zaštitu podataka možete pronaći u rubrici Obrasci/predlošci.

54. Zahtijeva li koja od Vaših aktivnosti (trenutna ili planirana) procjenu učinka na zaštitu podataka?

Pogledajte prethodno pitanje, ako neka od Vaših planiranih obrada uključuje navedene obavezne slučajeve tada morate provesti taj postupak.

55. Ako Vaše aktivnosti zahtijevaju procjenu učinka na zaštitu podataka, ima li vaša tvrtka dokumentirane potrebne procedure te jesu li iste dostupne za inspekciju/nadzor?

U rubrici Obrasci/predlošci možete pronaći obrazac za procjenu učinka na zaštitu podataka koji će Vam može poslužiti kao kretaljka i u kojem su pomno objašnjeni koraci u procesu provedbe procjene učinka na zaštitu podataka.