U skladu s Općom uredbom o zaštiti podataka, u načelu postoje dva glavna načina prijenosa osobnih podataka u zemljukoja nije članica EGP-a ili međunarodnoj organizaciji. Prijenosi se mogu odvijati na temelju odluke o primjerenosti ili, ako takva odluka ne postoji, na temelju odgovarajućih zaštitnih mjera, uključujući provediva prava i pravna sredstva za pojedince.

Više informacija:

• Međunarodni prijenosi

Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.

Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvršitelj obrade 

Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.

Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.

Više informacija:

• Službenik za zaštitu podataka

Opća uredba o zaštiti podataka daje pojedincima kontrolu nad obradom njihovih osobnih podataka. Da bi se to postiglo, transparentnost je ključna. To znači da morate obavijestiti pojedince čije podatke obrađujete o svojim postupcima obrade i svrhama obrade. Drugim riječima, morate objasniti tko obrađuje njihove podatke, ali i kako i zašto. Samo ako je upotreba osobnih podataka „transparentna” za uključene osobe, iste mogu procijeniti moguće rizike i donositi odluke o svojim osobnim podacima.

Prema Općoj uredbi o zaštiti podataka dužni ste podijeliti sljedeće informacije s pojedincima:

• identitet i kontaktne podatke voditelja obrade;
• svrhe obrade;
• pravnu osnovu obrade (ako je legitiman interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu)
• podatke za kontakt voditelja obrade;
• podatke za kontakt službenika za zaštitu podataka (ako je službenik za zaštitu podataka imenovan);
• primateljima ili kategorijama primatelja podataka;
• Informacije o tome hoće li se podaci prenijeti izvan Europskog gospodarskog prostora (EGP) (ako je primjenjivo: postojanje ili nepostojanje odluke o primjerenosti ili upućivanja na odgovarajuće zaštitne mjere i način na koji se te informacije mogu staviti na raspolaganje ispitanicima);
• kategorije obrađenih osobnih podataka, ako podaci nisu dobiveni od pojedinca.

Osim toga, Opća uredba o zaštiti podataka zahtjeva od vaše organizacije da pruži sljedeće informacije kako bi se osigurala poštena i transparentna obrada:

• razdoblje pohrane ili, ako to nije moguće, kriterije korištene za određivanje tog razdoblja;
• pravo na pristup osobnim podacima, brisanje ili, ispravak osobnih podataka , ograničenje obrade, pružanje mogućnosti prigovora obradi te prenosivost osobnih podataka;
• pravo na podnošenje pritužbe tijelu za zaštitu podataka;
• ako je pravna osnova za obradu privola: pravo na povlačenje privole u bilo kojem trenutku;
• u slučaju automatiziranog donošenja odluka, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika;
• izvor osobnih podataka (ako ih niste izravno primili od dotičnog pojedinca;
• je li pojedinac dužan dati osobne podatke (prema zakonu ili ugovoru ili sklopiti ugovor) i koje su posljedice odbijanja pružanja podataka.

Više informacija:

• Poštujte prava pojedinaca

Voditelji obrade mogu obrađivati osobne podatke samo u jednoj od sljedećih okolnosti:

• uz privolu osoba čiji se osobni podaci obrađuju;
• ako je obrada nužna za izvršenje ugovora (ugovor između vaše organizacije i pojedinca);
• ispunjavanje pravne obveze na temelju zakonodavstva EU-a ili nacionalnog zakonodavstva;
• ako je obrada nužna za izvršavanje službene ovlasti ili zadaće od javnog interesa u skladu sa zakonodavstvom EU-a ili nacionalnim zakonodavstvom;
• zaštita životno važnih interesa pojedinca;
• legitiman interes vaše organizacije – osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika.

Osim toga, Općom uredbom o zaštiti podataka utvrđuju se dodatni uvjeti za obradu osobnih podataka posebnih kategorija.

Više informacija:

• Obrađuj osobne podatke zakonito

Obrada osobnih podataka dopuštena je ako za to postoji pravna osnova. Osim dobrovoljne, specifične, informirane i nedvosmislene privole, mogu se koristiti i druge pravne osnove za obradu.

Drugim riječima, privola je potrebna ako se ne primjenjuje nijedna druga pravna osnova.

 

Više informacija:

• Obrađuj osobne podatke zakonito

Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:

• obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
• osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
• osigurava sigurnost obrade;
• ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
• pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
• pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
• po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
• voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
• omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.

Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

• opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
• sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
• sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

• Budi usklađen

Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.

Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.

Više informacija:

• Obrađuj osobne podatke zakonito

Da, ali da biste to učinili, prvo ćete morati utvrditi pravnu osnovu za obradu ove vrste osobnih podataka. Na primjer, obrada se može smatrati legitimnim interesom vaše organizacije. Prilikom obrade osobnih podataka na temelju legitimnog interesa uvijek je potrebno provesti test ravnoteže kako bi se utvrdilo nadmašuju li vaši legitimni interesi prava pojedinaca, posebno ako su uključena djeca.

Druga moguća pravna osnova za takvu obradu mogla bi biti privola. U svakom slučaju, pojedince bi uvijek trebalo unaprijed obavijestiti da se događanje fotografira ili snima.

Više informacija:

• Obrađuj osobne podatke zakonito