Najčešća pitanja
Koje su pravne osnove za obradu u skladu Općom uredbom o zaštiti podataka?
Voditelji obrade mogu obrađivati osobne podatke samo u jednoj od sljedećih okolnosti:
- uz privolu osoba čiji se osobni podaci obrađuju;
- ako je obrada nužna za izvršenje ugovora (ugovor između vaše organizacije i pojedinca);
- ispunjavanje pravne obveze na temelju zakonodavstva EU-a ili nacionalnog zakonodavstva;
- ako je obrada nužna za izvršavanje službene ovlasti ili zadaće od javnog interesa u skladu sa zakonodavstvom EU-a ili nacionalnim zakonodavstvom;
- zaštita životno važnih interesa pojedinca;
- legitiman interes vaše organizacije – osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika.
Osim toga, Općom uredbom o zaštiti podataka utvrđuju se dodatni uvjeti za obradu osobnih podataka posebnih kategorija.
Više informacija:
Je li službenik za zaštitu podataka (DPO) odgovoran za usklađenost s GDPR-om?
Službenik za zaštitu podataka ne može se smatrati odgovornim za nepoštivanje Opće uredbe o zaštiti podataka. Usklađenost s Općom uredbom o zaštiti podataka odgovornost je organizacije koja je imenovala službenika za zaštitu podataka.
Više informacija:
Koje su sankcije ako se moja organizacija ne pridržava odredbi Opće uredbe o zaštiti podataka ili ako ih svojim aktivnostima krši ?
Usklađenost s Općom uredbom o zaštiti podataka nadziru nacionalna tijela za zaštitu podataka. Nadzorno tijelo može provoditi istrage i prema potrebi izricati sankcije. Tijela za zaštitu podataka imaju na raspolaganju niz alata, uključujući upravno novčane kazne do 20 milijuna EUR ili 4 % godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće, opomene te privremene ili trajne zabrane obrade.
Kontakt podatke za sva tijela za zaštitu podataka unutar EGP-a možete pronaći na internetskim stranicama Europskog odbora za zaštitu podataka: Članovi
Više informacija:
Mogu li postaviti zatvoreni videonadzor u poslovnim prostorijama kako bih zaštitio svoju imovinu?
Prvi korak u instaliranju videonadzora je utvrđivanje svrhe ili svrha za to. Svrhe instaliranja videonadzora mogu se razlikovati, kao što su osiguravanje sigurnosti prostora, pomaganje u sprečavanju i otkrivanju krađe i drugih kaznenih djela ili zaštita života i zdravlja zaposlenika zbog prirode posla.
Kao i kod svake obrade osobnih podataka, snimanje pojedinaca mora imati pravnu osnovu u skladu s Općom uredbom o zaštiti podataka. Privola može biti pravna osnova za takvu obradu podataka. Međutim, to se u većini slučajeva vjerojatno neće primjenjivati na upotrebu videonadzora jer će biti teško dobiti slobodnu privolu svih osoba koje će vjerojatno biti evidentirane. Najčešći pravni temelj za takvu vrstu obrade osobnih podataka je legitiman interes. Kada se obrada temelji na legitimnom interesu, morat ćete provesti test ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinca.
Morat ćete obavijestiti pojedince da se snimaju. To se može učiniti postavljanjem lako čitljivih znakova na istaknutim mjestima. Osim toga, na svim ulazima trebalo bi postaviti znak kojim se naznačuje svrha sustava videonadzora te identitet i podaci za kontakt voditelja obrade.
Pojedincima čije se slike snimaju putem sustava videonadzora trebalo bi pružiti sljedeće informacije:
- identitet i kontaktne podatke voditelja obrade;
- svrhe obrade;
- pravnu osnovu obrade (ako je to legitimni interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu i o tome koji subjekt slijedi svaki pojedini legitimni interes.)
- podatke za kontakt službenika za zaštitu podataka, (ako postoji službenik za zaštitu podataka);
- primateljima ili kategorijama primatelja podataka;
- sigurnosne mjere za snimke videonadzora
- razdoblje čuvanja snimke videonadzora;
- postojanje prava pojedinaca na temelju Opće uredbe o zaštiti podataka i pravo na podnošenje pritužbe nacionalnom tijelu za zaštitu podataka.
Više informacija:
Ako želim pohraniti životopise kandidata za buduće postupke zapošljavanja, trebam li zatražiti privolu kandidata?
Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.
Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.
Više informacija:
Moraju li i izvršitelji obrade poštovati Opću uredbu o zaštiti podataka?
Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.
Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.
Više informacija:
Organiziram događanje u okviru svojih poslovnih aktivnosti, mogu li snimati fotografije i videozapise događanja i posjetitelja?
Da, ali da biste to učinili, prvo ćete morati utvrditi pravnu osnovu za obradu ove vrste osobnih podataka. Na primjer, obrada se može smatrati legitimnim interesom vaše organizacije. Prilikom obrade osobnih podataka na temelju legitimnog interesa uvijek je potrebno provesti test ravnoteže kako bi se utvrdilo nadmašuju li vaši legitimni interesi prava pojedinaca, posebno ako su uključena djeca.
Druga moguća pravna osnova za takvu obradu mogla bi biti privola. U svakom slučaju, pojedince bi uvijek trebalo unaprijed obavijestiti da se događanje fotografira ili snima.
Više informacija:
Primjenjuje li se Opća uredba o zaštiti podataka i na papirnate zapise?
Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.
Više informacija:
Što je procjena učinka na zaštitu podataka i kada je obvezna?
Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.
Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.
Konkretno, to je slučaj kada predviđena obrada uključuje:
- opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;
- sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
- sustavno praćenje javno dostupnog područja u velikoj mjeri.
Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.
Više informacija:
Što je zajednički voditelj obrade?
Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.
Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.
- Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.
Više informacija: