Najčešća pitanja
Što je procjena učinka na zaštitu podataka i kada je obvezna?
Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.
Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.
Konkretno, to je slučaj kada predviđena obrada uključuje:
- opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;
- sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
- sustavno praćenje javno dostupnog područja u velikoj mjeri.
Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.
Više informacija:
Što mogu učiniti u slučaju da izvršitelj obrade ne želi potpisati ugovor između voditelja obrade i izvršitelja obrade?
Važeći ugovor između voditelja obrade i izvršitelja obrade podataka obvezan je prema Općoj uredbi o zaštiti podataka. Za povredu odredbi članka 28. Opće uredbe o zaštiti podataka se može izreći upravna novčana kazna u iznosu do 10 milijuna EUR ili do 2 % ukupnog godišnjeg prometa društva, ovisno o tome koji je iznos veći.
Dansko i slovensko nadzorno tijelo za zaštitu podataka te Europska komisija izradile su predloške ugovora kako bi vam pomogle pri sklapanju ugovora između voditelja obrade i izvršitelja obrade.
Više informacija:
Što predstavlja sukob interesa službenika za zaštitu podataka?
Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i sredstva aktivnosti obrade. Nespojive funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.
Službenik za zaštitu podataka mora moći obavljati svoje zadaće i zadaće na neovisan način. To znači da vaša organizacija:
- ne smije davati upute službeniku za zaštitu podataka u pogledu izvršavanja njegovih dužnosti;
- ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja njegovih zadaća.
Više informacija:
Što trebam učiniti u slučaju povrede podataka?
Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.
- Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
- Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.
U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.
Više informacija:
Trebam li biti certificiran kako bih postao službenik za zaštitu podataka?
Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.
Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.
Više informacija:
Kada biste trebali dijeliti te informacije?
Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.
U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:
- ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
- ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.
Više informacija:
Kako mogu poštovati prava pojedinaca na zaštitu podataka?
Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:
- informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
- odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.
Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.
Više informacija:
Kako mogu dobiti valjanu privolu?
Da bi se privola smatrala valjanom, mora biti:
- slobodno dana;
- specifična;
- informirana; i
- nedvosmislena.
To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.
Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).
Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije predomisle.
Više informacija:
Koliko dugo mogu pohraniti osobne podatke?
Osobne podatke ne možete pohraniti zauvijek.
U pravilu se osobni podaci mogu pohranjivati samo onoliko dugo koliko je potrebno s obzirom na svrhe u koje se osobni podaci obrađuju.
U nekim slučajevima razdoblje čuvanja može se odrediti posebnim zakonima, na primjer, propisima o radu određuje se razdoblje pohrane za platne liste.
Organizacije bi trebale uspostaviti politike zadržavanja podataka kako bi osigurale da se osobni podaci ne čuvaju dulje nego što je potrebno. Osobni podaci pojedinaca moraju se izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni za svrhu u koju su obrađeni.
Više informacija:
Mogu li objaviti imena pobjednika natječaja na internetskim stranicama svoje organizacije?
Objavljivanje imena pobjednika natječaja na vašoj web stranici može se smatrati legitimnim interesom ako to možete dokazati provođenjem testa ravnoteže kako biste utvrdili jesu li vaši legitimni interesi jači od prava pojedinaca.
Dobra bi praksa bila uspostava internog postupka u kojem se objašnjavaju pravila o objavljivanju osobnih podataka pobjednika.
Osim toga, obrada osobnih podataka u te svrhe trebala bi biti dio politike privatnosti vezano uz provedbu natječaja kako bi sudionici unaprijed bili obaviješteni o tome kako će se njihovi podaci obrađivati.
Više informacija: