Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

• opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
• sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
• sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

• Budi usklađen

Važeći ugovor između voditelja obrade i izvršitelja obrade podataka obvezan je prema Općoj uredbi o zaštiti podataka. Za povredu odredbi članka 28. Opće uredbe o zaštiti podataka se može izreći upravna novčana kazna u iznosu do 10 milijuna EUR ili do 2 % ukupnog godišnjeg prometa društva, ovisno o tome koji je iznos veći.

Dansko i slovensko nadzorno tijelo za zaštitu podataka te Europska komisija izradile su predloške ugovora kako bi vam pomogle pri sklapanju ugovora između voditelja obrade i izvršitelja obrade.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

• organizacija je tijelo javne vlasti;
• osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem videonadzora;
• osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka ili osobnih podataka povezanih s kaznenim osudama i kaznenim djelima.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka.

Više informacija:

• Službenik za zaštitu podataka

Potrebne sigurnosne mjere mogu se razlikovati ovisno o prirodi osobnih podataka koje obrađujete i povezanim rizicima za pojedince. U svakom slučaju, postoje neke minimalne mjere koje biste trebali uvesti:

• siguran pristup prostorijama;
• korištenje redovito ažuriranog antivirusnog softvera;
• pažljivo odaberite svoje lozinke;
• izvršiti autentifikaciju korisnika prije upotrebe računalne opreme;
• imati uspostavljenu sigurnosnu kopiju podataka i politiku za dohvaćanje podataka u slučaju incidenta.

Osim toga, neke osnovne mjere kao što su zaključavanje zaslona dok ste odsutni i zaključavanje ureda na kraju dana su uvijek poželjne mjere...

Više informacija:

• Zaštićeni osobni podaci

1. Pobrinite se da su podaci koje ste primili zakonito prikupljeni i da su dotični pojedinci obaviješteni o obradi njihovih osobnih podataka.
2. U slučaju da treća strana obrađuje osobne podatke u vaše ime, pobrinite se da imate ugovor između voditelja obrade i izvršitelja obrade koji detaljno opisuje postupke obrade i sredstva obrade osobnih podataka.

I naravno, pridržavati se svih obveza voditelja obrade.

Više informacija:

• Voditelj obrade ili  izvršitelj obrade

Zadaća službenika za zaštitu podataka uključuje, među ostalim:

• informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o  zaštiti podataka;
• praćenje usklađenosti s propisima o zaštiti podataka;
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
• djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
• djelovanje kao kontaktna točka za pojedince.

Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

Više informacija:

• Službenik za zaštitu podataka

Objavljivanje imena pobjednika natječaja na vašoj web stranici može se smatrati legitimnim interesom ako to možete dokazati provođenjem testa ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinaca.

Dobra bi praksa bila uspostava internog postupka u kojem se objašnjavaju pravila o objavljivanju osobnih podataka pobjednika.

Osim toga, obrada osobnih podataka u te svrhe trebala bi biti dio politike privatnosti vezano uz provedbu natječaja kako bi sudionici unaprijed bili obaviješteni o tome kako će se njihovi podaci obrađivati.

Više informacija:

• Obrađuj osobne podatke zakonito

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

• Službenik za zaštitu podataka

Ne, obrada osjetljivih podataka općenito je zabranjena, osim u vrlo specifičnim okolnostima:

• Pojedinac je dao izričitu privolu za obradu svojih osjetljivih podataka.
• Obrada osjetljivih podataka nužna je kako bi voditelj obrade podataka ispunio svoje obveze, posebno u kontekstu zapošljavanja, socijalne sigurnosti i socijalne zaštite. Na primjer, voditelj obrade možda će morati obraditi osjetljive podatke osobe kako bi mogao utvrditi ima li pravo na određene naknade socijalne zaštite ili stipendije za zapošljavanje.
• Obrada osjetljivih podataka nužna je kako bi se zaštitili životno važni interesi osobe ako pojedinac fizički ili pravno nije u mogućnosti dati privolu. Na primjer, ako je pojedinac ostao bez svijesti kao posljedica nesreće i zahtijeva hitnu medicinsku skrb, možda će biti potrebno obraditi njegove zdravstvene podatke kako bi se pružila odgovarajuća medicinska skrb.
• Obrada osjetljivih podataka provodi se u kontekstu legitimnih aktivnosti zaklade, udruge ili druge neprofitne organizacije s političkim, filozofskim, vjerskim ili sindikalnim ciljem i samo za obradu osobnih podataka njihovih članova, bivših članova ili osoba koje su s njima u redovitom kontaktu.
• Osjetljive podatke koje je očigledno  objavio pojedinac.
• Obrada osjetljivih podataka nužna je u kontekstu sudskih postupaka.
• Obrada osjetljivih podataka nužna je za pitanja od znatnog javnog interesa.
• Obrada osjetljivih podataka nužna je u kontekstu preventivne medicine ili medicine rada. Na primjer, obrada osjetljivih podataka pojedinca, kao što su zdravstveni podaci, može biti potrebna kako bi se utvrdila njihova radna sposobnost.
• Obrada osjetljivih podataka nužna je za pitanja javnog zdravlja na temelju prava EU-a ili nacionalnog prava. Na primjer, obrada osjetljivih podataka pojedinaca može biti potrebna kako bi se osigurala visoka kvaliteta zdravstvene skrbi i visoka kvaliteta medicinskih proizvoda ili kako bi se suzbile ozbiljne prijetnje zdravlju, kao što su virusi.
• Obrada osjetljivih podataka nužna je u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Na primjer, obrada osjetljivih podataka može biti potrebna za pružanje točnih statističkih podataka o stanju zemlje u određenom području.

Više informacija:

• Obrađuj osobne podatke

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito