Ne, obrada osjetljivih podataka općenito je zabranjena, osim u vrlo specifičnim okolnostima:

• Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
• Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne zaštite ili stipendije za zapošljavanje.
• Obrada osjetljivih podataka nužna je kako bi se zaštitili životno važni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, možda će biti potrebno obraditi njegove zdravstvene podatke kako bi se pružila odgovarajuća medicinska skrb.
• Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
• Osjetljive podatke koje je očigledno  objavio pojedinac.
• Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
• Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
• Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, obrada osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost.
• Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
• Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.

Više informacija:

• Obrađuj osobne podatke

Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.

Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.

Više informacija:

• Obrađuj osobne podatke zakonito

Da, ali da biste to učinili, prvo ćete morati utvrditi pravnu osnovu za obradu ove vrste osobnih podataka. Na primjer, obrada se može smatrati legitimnim interesom vaše organizacije. Prilikom obrade osobnih podataka na temelju legitimnog interesa uvijek je potrebno provesti test ravnoteže kako bi se utvrdilo nadmašuju li vaši legitimni interesi prava pojedinaca, posebno ako su uključena djeca.

Druga moguća pravna osnova za takvu obradu mogla bi biti privola. U svakom slučaju, pojedince bi uvijek trebalo unaprijed obavijestiti da se događanje fotografira ili snima.

Više informacija:

• Obrađuj osobne podatke zakonito

Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za odgovor, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Morate to učiniti besplatno.

Više informacija:

• Poštuj prava pojedinaca

Osobne podatke ne možete pohraniti zauvijek.

U pravilu se osobni podaci mogu pohranjivati samo onoliko dugo koliko je potrebno s obzirom na svrhe u koje se osobni podaci obrađuju.

U nekim slučajevima razdoblje čuvanja može se odrediti posebnim zakonima, na primjer, propisima o radu određuje se razdoblje pohrane za platne liste.

Organizacije bi trebale uspostaviti politike zadržavanja podataka kako bi osigurale da se osobni podaci ne čuvaju dulje nego što je potrebno. Osobni podaci pojedinaca moraju se izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni za svrhu u koju su obrađeni.

Više informacija:

• Osnove zaštite podataka

Pojedinci imaju pravo zatražiti brisanje osobnih podataka koji se na njih odnose i u tom slučaju voditelj obrade ima obvezu izbrisati osobne podatke. Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za ispunjavanje zahtjeva, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.

Važno je napomenuti da pravo na brisanje nije apsolutno. Ne primjenjuje se ako su predmetni podaci potrebni za:

• ostvarivanje prava na slobodu izražavanja i informiranja (npr. u novinarske svrhe);
• poštovanje pravne obveze kojom se zahtijeva obrada osobnih podataka (npr. obrada evidencije o radnom vremenu zaposlenika);
• razlozi javnog interesa u području javnog zdravlja
• svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe; i
• uspostava, ostvarivanje ili obrana pravnih zahtjeva.

Ako su osobni podaci koje treba izbrisati prethodno preneseni drugim organizacijama, morate obavijestiti te primatelje da je pojedinac zatražio brisanje, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjerne napore.

Više informacija:

• Poštuj prava pojedinaca

Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:

• informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
• odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.

Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.

Više informacija:

• Poštuj prava pojedinaca

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito

Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:

• siguran pristup prostorijama;
• korištenje redovito ažuriranog antivirusnog softvera;
• pažljivo odaberite svoje lozinke;
• izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
• imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.

Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...

Više informacija:

• Zaštićeni osobni podaci

Europski odbor za zaštitu podataka redovito objavljuje priopćenja za medije, vijesti, blogove i druge sadržaje na internetskim stranicama Europskog odbora za zaštitu podataka i njegovim kanalima društvenih medija (Twitter: @EU_EDPB; LinkedIn: Europski odbor za zaštitu podataka) kako bi zajednicu za zaštitu podataka i širu javnost s upoznao s njegovim radom.

Na internetskim stranicama Europskog odbora za zaštitu podataka nalaze se i dva izvora RSS-a na koje se možete pretplatiti za automatska ažuriranja novosti Europskog odbora za zaštitu podataka i njegovih najnovijih publikacija.