Najčešća pitanja
Koje su zadaće službenika za zaštitu podataka?
Zadaća službenika za zaštitu podataka uključuje, među ostalim:
- informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o zaštiti podataka;
- praćenje usklađenosti s propisima o zaštiti podataka;
- pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
- djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
- djelovanje kao kontaktna točka za pojedince.
Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.
Više informacija:
Mogu li objaviti imena pobjednika natječaja na internetskim stranicama svoje organizacije?
Objavljivanje imena pobjednika natječaja na vašoj web stranici može se smatrati legitimnim interesom ako to možete dokazati provođenjem testa ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinaca.
Dobra bi praksa bila uspostava internog postupka u kojem se objašnjavaju pravila o objavljivanju osobnih podataka pobjednika.
Osim toga, obrada osobnih podataka u te svrhe trebala bi biti dio politike privatnosti vezano uz provedbu natječaja kako bi sudionici unaprijed bili obaviješteni o tome kako će se njihovi podaci obrađivati.
Više informacija:
Mora li moja organizacija biti usklađena s GDPR?
Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru
Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.
Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.
Više informacija:
Trebam li biti certificiran kako bih postao službenik za zaštitu podataka?
Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.
Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.
Više informacija:
Ako želim pohraniti životopise kandidata za buduće postupke zapošljavanja, trebam li zatražiti privolu kandidata?
Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.
Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.
Više informacija:
Je li moguće obrađivati osjetljive podatke?
Ne, obrada osjetljivih podataka općenito je zabranjena, osim u vrlo specifičnim okolnostima:
- Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
- Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne zaštite ili stipendije za zapošljavanje.
- Obrada osjetljivih podataka nužna je kako bi se zaštitili životno važni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, možda će biti potrebno obraditi njegove zdravstvene podatke kako bi se pružila odgovarajuća medicinska skrb.
- Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
- Osjetljive podatke koje je očigledno objavio pojedinac.
- Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
- Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
- Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, obrada osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost.
- Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
- Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.
Više informacija:
Je li službenik za zaštitu podataka (DPO) odgovoran za usklađenost s GDPR-om?
Službenik za zaštitu podataka ne može se smatrati odgovornim za nepoštivanje Opće uredbe o zaštiti podataka. Usklađenost s Općom uredbom o zaštiti podataka odgovornost je organizacije koja je imenovala službenika za zaštitu podataka.
Više informacija:
Kako mogu dobiti valjanu privolu?
Da bi se privola smatrala valjanom, mora biti:
- slobodno dana;
- specifična;
- informirana; i
- nedvosmislena.
To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.
Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).
Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije predomisle.
Više informacija:
Kako mogu odgovoriti na zahtjev za brisanje?
Pojedinci imaju pravo zatražiti brisanje osobnih podataka koji se na njih odnose i u tom slučaju voditelj obrade ima obvezu izbrisati osobne podatke. Trebali biste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Taj se rok može produljiti za još dva mjeseca ako je zahtjev previše složen i ako je potrebno više vremena za ispunjavanje zahtjeva, pod uvjetom da je pojedinac o tome obaviješten u roku od mjesec dana od primitka zahtjeva.
Važno je napomenuti da pravo na brisanje nije apsolutno. Ne primjenjuje se ako su predmetni podaci potrebni za:
- ostvarivanje prava na slobodu izražavanja i informiranja (npr. u novinarske svrhe);
- poštovanje pravne obveze kojom se zahtijeva obrada osobnih podataka (npr. obrada evidencije o radnom vremenu zaposlenika);
- razlozi javnog interesa u području javnog zdravlja
- svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe; i
- uspostava, ostvarivanje ili obrana pravnih zahtjeva.
Ako su osobni podaci koje treba izbrisati prethodno preneseni drugim organizacijama, morate obavijestiti te primatelje da je pojedinac zatražio brisanje, osim ako se to pokaže nemogućim ili bi zahtijevalo nerazmjerne napore.
Više informacija:
Kako mogu poštovati prava pojedinaca na zaštitu podataka?
Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:
- informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
- odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.
Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.
Više informacija: