Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.

Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.

Više informacija:

• Osnove zaštite podataka

Zadaća službenika za zaštitu podataka uključuje, među ostalim:

• informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o  zaštiti podataka;
• praćenje usklađenosti s propisima o zaštiti podataka;
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
• djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
• djelovanje kao kontaktna točka za pojedince.

Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

Više informacija:

• Službenik za zaštitu podataka

Da, možete, ali GDPR postavlja određene obveze za tvrtke koje dijele osobne podatke. Vaša organizacija mora obavijestiti pojedince da ćete njihove podatke podijeliti s trećom stranom. Također ih morate obavijestiti o svojim svrhama, sigurnosti, pristupu i mjerama zadržavanja koje će se primjenjivati.

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

• organizacija je tijelo javne vlasti;
• osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem videonadzora;
• osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka ili osobnih podataka povezanih s kaznenim osudama i kaznenim djelima.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka.

Više informacija:

• Službenik za zaštitu podataka

GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u  Direktivu o e-privatnosti.

Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.

Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.

Više informacija:

• Obrađuj osobne podatke zakonito

Kolačići su male datoteke pohranjene na uređaju, kao što su računalo, mobilni uređaj ili bilo koji drugi uređaj koji može pohraniti informacije. Kolačići služe brojnim važnim funkcijama, uključujući pamćenje korisnika i njihove prethodne interakcije s internetskom stranicom. Mogu se koristiti za praćenje stavki u internetskoj košarici za kupnju ili za praćenje informacija kada se pojedinosti umetnu u internetski obrazac za prijavu.

Kolačići za provjeru autentičnosti također su važni za identifikaciju korisnika kada se prijave na bankovne usluge i druge internetske usluge. Informacije pohranjene u kolačićima mogu uključivati osobne podatke, kao što su IP adresa, korisničko ime, jedinstveni identifikator ili adresa e-pošte.

Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:

• obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
• osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
• osigurava sigurnost obrade;
• ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
• pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
• pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
• po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
• voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
• omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.

Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Obrada osobnih podataka dopuštena je ako za to postoji pravna osnova. Osim dobrovoljne, specifične, informirane i nedvosmislene privole, mogu se koristiti i druge pravne osnove za obradu.

Drugim riječima, privola je potrebna ako se ne primjenjuje nijedna druga pravna osnova.

 

Više informacija:

• Obrađuj osobne podatke zakonito

U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka u zemljukoja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince.

Više informacija:

• Međunarodni prijenosi

Opća uredba o zaštiti podataka daje pojedincima kontrolu nad obradom njihovih osobnih podataka. Da bi se to postiglo, transparentnost je ključna. To znači da morate obavijestiti pojedince čije podatke obrađujete o svojim postupcima obrade i svrhama obrade. Drugim riječima, morate objasniti tko obrađuje njihove podatke, ali i kako i zašto. Samo ako je upotreba osobnih podataka „transparentna” za uključene osobe, iste mogu procijeniti moguće rizike i donositi odluke o svojim osobnim podacima.

Prema Općoj uredbi o zaštiti podataka dužni ste podijeliti sljedeće informacije s pojedincima:

• identitet i kontaktne podatke voditelja obrade;
• svrhe obrade;
• pravnu osnovu obrade (ako je legitiman interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu)
• podatke za kontakt voditelja obrade;
• podatke za kontakt službenika za zaštitu podataka (ako je službenik za zaštitu podataka imenovan);
• primateljima ili kategorijama primatelja podataka;
• Informacije o tome hoće li se podaci prenijeti izvan Europskog gospodarskog prostora (EGP) (ako je primjenjivo: postojanje ili nepostojanje odluke o primjerenosti ili upućivanja na odgovarajuće zaštitne mjere i način na koji se te informacije mogu staviti na raspolaganje ispitanicima);
• kategorije obrađenih osobnih podataka, ako podaci nisu dobiveni od pojedinca.

Osim toga, Opća uredba o zaštiti podataka zahtjeva od vaše organizacije da pruži sljedeće informacije kako bi se osigurala poštena i transparentna obrada:

• razdoblje pohrane ili, ako to nije moguće, kriterije korištene za određivanje tog razdoblja;
• pravo na pristup osobnim podacima, brisanje ili, ispravak osobnih podataka , ograničenje obrade, pružanje mogućnosti prigovora obradi te prenosivost osobnih podataka;
• pravo na podnošenje pritužbe tijelu za zaštitu podataka;
• ako je pravna osnova za obradu privola: pravo na povlačenje privole u bilo kojem trenutku;
• u slučaju automatiziranog donošenja odluka, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika;
• izvor osobnih podataka (ako ih niste izravno primili od dotičnog pojedinca;
• je li pojedinac dužan dati osobne podatke (prema zakonu ili ugovoru ili sklopiti ugovor) i koje su posljedice odbijanja pružanja podataka.

Više informacija:

• Poštujte prava pojedinaca