Najčešća pitanja
Što znači obrada osobnih podataka?
Obrada osobnih podataka znači svaka vrsta aktivnosti (postupak obrade) koja se obavlja na osobnim podacima pojedinaca ili s njima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, ispitivanje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje osobnih podataka.
Koje su sankcije ako se moja organizacija ne pridržava odredbi Opće uredbe o zaštiti podataka ili ako ih svojim aktivnostima krši ?
Usklađenost s Općom uredbom o zaštiti podataka nadziru nacionalna tijela za zaštitu podataka. Nadzorno tijelo može provoditi istrage i prema potrebi izricati sankcije. Tijela za zaštitu podataka imaju na raspolaganju niz alata, uključujući upravno novčane kazne do 20 milijuna EUR ili 4 % godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće, opomene te privremene ili trajne zabrane obrade.
Kontakt podatke za sva tijela za zaštitu podataka unutar EGP-a možete pronaći na internetskim stranicama Europskog odbora za zaštitu podataka: Članovi
Više informacija:
Što bi trebalo uključiti u ugovor između voditelja obrade i izvršitelja obrade?
Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:
- obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
- osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
- osigurava sigurnost obrade;
- ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
- pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
- pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
- po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
- voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
- omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.
Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.
Više informacija:
Što je procjena učinka na zaštitu podataka i kada je obvezna?
Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.
Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.
Konkretno, to je slučaj kada predviđena obrada uključuje:
- opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;
- sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
- sustavno praćenje javno dostupnog područja u velikoj mjeri.
Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.
Više informacija:
Trebam li privolu za korištenje kolačića na web stranici moje organizacije?
GDPR se primjenjuje na upotrebu kolačića kada se upotrebljavaju za obradu osobnih podataka, ali postoje i specifična pravila za kolačiće uključena u Direktivu o e-privatnosti.
Pohranjivanje kolačića ili dobivanje pristupa već pohranjenom kolačiću na terminalnoj opremi korisnika dopušteno je samo pod uvjetom da je dotični pretplatnik ili korisnik na odgovarajući način obaviješten (posebno o svrsi obrade) i da je dao svoju privolu.
Jedina iznimka su tehnički nužni kolačići. Organizacije ne moraju tražiti privolu za korištenje tehnički nužnih kolačića na svojim internetskim stranicama.
Više informacija:
Mogu li postaviti zatvoreni videonadzor u poslovnim prostorijama kako bih zaštitio svoju imovinu?
Prvi korak u instaliranju videonadzora je utvrđivanje svrhe ili svrha za to. Svrhe instaliranja videonadzora mogu se razlikovati, kao što su osiguravanje sigurnosti prostora, pomaganje u sprečavanju i otkrivanju krađe i drugih kaznenih djela ili zaštita života i zdravlja zaposlenika zbog prirode posla.
Kao i kod svake obrade osobnih podataka, snimanje pojedinaca mora imati pravnu osnovu u skladu s Općom uredbom o zaštiti podataka. Privola može biti pravna osnova za takvu obradu podataka. Međutim, to se u većini slučajeva vjerojatno neće primjenjivati na upotrebu videonadzora jer će biti teško dobiti slobodnu privolu svih osoba koje će vjerojatno biti evidentirane. Najčešći pravni temelj za takvu vrstu obrade osobnih podataka je legitiman interes. Kada se obrada temelji na legitimnom interesu, morat ćete provesti test ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinca.
Morat ćete obavijestiti pojedince da se snimaju. To se može učiniti postavljanjem lako čitljivih znakova na istaknutim mjestima. Osim toga, na svim ulazima trebalo bi postaviti znak kojim se naznačuje svrha sustava videonadzora te identitet i podaci za kontakt voditelja obrade.
Pojedincima čije se slike snimaju putem sustava videonadzora trebalo bi pružiti sljedeće informacije:
- identitet i kontaktne podatke voditelja obrade;
- svrhe obrade;
- pravnu osnovu obrade (ako je to legitimni interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu i o tome koji subjekt slijedi svaki pojedini legitimni interes.)
- podatke za kontakt službenika za zaštitu podataka, (ako postoji službenik za zaštitu podataka);
- primateljima ili kategorijama primatelja podataka;
- sigurnosne mjere za snimke videonadzora
- razdoblje čuvanja snimke videonadzora;
- postojanje prava pojedinaca na temelju Opće uredbe o zaštiti podataka i pravo na podnošenje pritužbe nacionalnom tijelu za zaštitu podataka.
Više informacija:
Mogu li prenijeti osobne podatke izvan Europskog gospodarskog prostora (EGP)?
U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka u zemljukoja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince.
Više informacija:
Kada biste trebali dijeliti te informacije?
Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.
U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:
- ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
- ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.
Više informacija:
Kako mogu znati koje sigurnosne mjere trebam poduzeti?
Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:
- siguran pristup prostorijama;
- korištenje redovito ažuriranog antivirusnog softvera;
- pažljivo odaberite svoje lozinke;
- izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
- imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.
Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...
Više informacija:
Kao voditelj obrade prikupio sam osobne podatke pojedinaca od treće strane, što trebam učiniti kako bih postupio kako bi bio usklađen?
- Pobrinite se da su podaci koje ste primili zakonito prikupljeni i da su dotični pojedinci obaviješteni o obradi njihovih osobnih podataka.
- U slučaju da treća strana obrađuje osobne podatke u vaše ime, pobrinite se da imate ugovor između voditelja obrade i izvršitelja obrade koji detaljno opisuje postupke obrade i sredstva obrade osobnih podataka.
I naravno, pridržavati se svih obveza voditelja obrade.
Više informacija: