Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

Više informacija:

• Osnove zaštite podataka

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

• Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

1. Pobrinite se da su podaci koje ste primili zakonito prikupljeni i da su dotični pojedinci obaviješteni o obradi njihovih osobnih podataka.
2. U slučaju da treća strana obrađuje osobne podatke u vaše ime, pobrinite se da imate ugovor između voditelja obrade i izvršitelja obrade koji detaljno opisuje postupke obrade i sredstva obrade osobnih podataka.

I naravno, pridržavati se svih obveza voditelja obrade.

Više informacija:

• Voditelj obrade ili  izvršitelj obrade

Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i sredstva aktivnosti obrade. Nespojive funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.

Službenik za zaštitu podataka mora moći obavljati svoje zadaće i zadaće na neovisan način. To znači da vaša organizacija:

• ne smije davati upute službeniku za zaštitu podataka u pogledu izvršavanja njegovih dužnosti;
• ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja njegovih zadaća.

Više informacija:

• Službenik za zaštitu podataka

Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:

• ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
• ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Više informacija:

• Poštuj prava pojedinaca

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito

Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:

• informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
• odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.

Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.

Više informacija:

• Poštuj prava pojedinaca

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka

Obrada osobnih podataka znači svaka vrsta aktivnosti (postupak obrade) koja se obavlja na osobnim podacima pojedinaca ili s njima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, ispitivanje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje osobnih podataka.

Osobne podatke ne možete pohraniti zauvijek.

U pravilu se osobni podaci mogu pohranjivati samo onoliko dugo koliko je potrebno s obzirom na svrhe u koje se osobni podaci obrađuju.

U nekim slučajevima razdoblje čuvanja može se odrediti posebnim zakonima, na primjer, propisima o radu određuje se razdoblje pohrane za platne liste.

Organizacije bi trebale uspostaviti politike zadržavanja podataka kako bi osigurale da se osobni podaci ne čuvaju dulje nego što je potrebno. Osobni podaci pojedinaca moraju se izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni za svrhu u koju su obrađeni.

Više informacija:

• Osnove zaštite podataka