Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:

• informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
• odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.

Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.

Više informacija:

• Poštuj prava pojedinaca

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito

Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:

• siguran pristup prostorijama;
• korištenje redovito ažuriranog antivirusnog softvera;
• pažljivo odaberite svoje lozinke;
• izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
• imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.

Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...

Više informacija:

• Zaštićeni osobni podaci

Europski odbor za zaštitu podataka redovito objavljuje priopćenja za medije, vijesti, blogove i druge sadržaje na internetskim stranicama Europskog odbora za zaštitu podataka i njegovim kanalima društvenih medija (Twitter: @EU_EDPB; LinkedIn: Europski odbor za zaštitu podataka) kako bi zajednicu za zaštitu podataka i širu javnost s upoznao s njegovim radom.

Na internetskim stranicama Europskog odbora za zaštitu podataka nalaze se i dva izvora RSS-a na koje se možete pretplatiti za automatska ažuriranja novosti Europskog odbora za zaštitu podataka i njegovih najnovijih publikacija.

Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

Više informacija:

• Osnove zaštite podataka

Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.

Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.

Više informacija:

• Osnove zaštite podataka

Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.

Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.

Više informacija:

• Službenik za zaštitu podataka

GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u  Direktivu o e-privatnosti.

Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.

Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.

Više informacija:

• Obrađuj osobne podatke zakonito

Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

• svrha obrade (npr. lojalnost klijenata);
• kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
• tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
• ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
• ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
• ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

• Budi usklađen

Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.

Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvršitelj obrade