Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

 

Više informacija:

Jesi li pronašao svoj odgovor?

Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.

Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?

Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.

Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?

GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u  Direktivu o e-privatnosti.

Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.

Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?

Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

  • svrha obrade (npr. lojalnost klijenata);
  • kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
  • tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
  • ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
  • ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
  • ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

Jesi li pronašao svoj odgovor?

Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.

Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?

U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka u zemljukoja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?

Da, možete, ali GDPR postavlja određene obveze za tvrtke koje dijele osobne podatke. Vaša organizacija mora obavijestiti pojedince da ćete njihove podatke podijeliti s trećom stranom. Također ih morate obavijestiti o svojim svrhama, sigurnosti, pristupu i mjerama zadržavanja koje će se primjenjivati.

Na istu temu:
Jesi li pronašao svoj odgovor?

Prvi korak u instaliranju videonadzora je utvrđivanje svrhe ili svrha za to. Svrhe instaliranja videonadzora mogu se razlikovati, kao što su osiguravanje sigurnosti prostora, pomaganje u sprečavanju i otkrivanju krađe i drugih kaznenih djela ili zaštita života i zdravlja zaposlenika zbog prirode posla.

Kao i kod svake obrade osobnih podataka, snimanje pojedinaca mora imati pravnu osnovu u skladu s Općom uredbom o zaštiti podataka. Privola može biti pravna osnova za takvu obradu podataka. Međutim, to se u većini slučajeva vjerojatno neće primjenjivati na upotrebu videonadzora jer će biti teško dobiti slobodnu privolu svih osoba koje će vjerojatno biti evidentirane. Najčešći pravni temelj za takvu vrstu obrade osobnih podataka je legitiman interes. Kada se obrada temelji na legitimnom interesu, morat ćete provesti test ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinca.

Morat ćete obavijestiti pojedince da se snimaju. To se može učiniti postavljanjem lako čitljivih znakova na istaknutim mjestima. Osim toga, na svim ulazima trebalo bi postaviti znak kojim se naznačuje svrha sustava videonadzora te identitet i podaci za kontakt voditelja obrade.

Pojedincima čije se slike snimaju putem sustava videonadzora trebalo bi pružiti sljedeće informacije:

  • identitet i kontaktne podatke voditelja obrade;
  • svrhe obrade;
  • pravnu osnovu obrade (ako je to legitimni interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu i o tome koji subjekt slijedi svaki pojedini legitimni interes.)
  • podatke za kontakt službenika za zaštitu podataka, (ako postoji službenik za zaštitu podataka);
  • primateljima ili kategorijama primatelja podataka;
  • sigurnosne mjere za snimke videonadzora
  • razdoblje čuvanja snimke videonadzora;
  • postojanje prava pojedinaca na temelju Opće uredbe o zaštiti podataka i pravo na podnošenje pritužbe nacionalnom tijelu za zaštitu podataka.

 

Više informacija:

Jesi li pronašao svoj odgovor?

Da, vaši klijenti prilikom telefonskog poziva moraju biti obaviješteni o svrsi snimanja, primateljima snimaka, o njihovu pravu na prigovor i pravu na pristup snimkama.

 

Više informacija:

Na istu temu:
Jesi li pronašao svoj odgovor?
Subscribe to