Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka

Službenik za zaštitu podataka može biti postojeći zaposlenik s dostatnim znanjem o Općoj uredbi o zaštiti podataka (ako su profesionalni zadaci zaposlenika kompatibilni sa zadaćama službenika za zaštitu podataka i to ne dovodi do sukoba interesa) ili vanjska osoba. Službenik za zaštitu podataka trebao bi moći neovisno obavljati zadaće i trebao bi moći izravno izvješćivati najviše rukovodstvo.

Više informacija:

• Službenik za zaštitu podataka

Opća uredba za zaštitu podataka nameće obveze svim organizacijama koje obrađuju osobne podatke, bez obzira na to jesu li voditelji obrade ili izvršitelji obrade.

Konkretno, trebali biste:

• Zapitati se da li je svrha u koju se osobni podaci mogu prikupljati opravdana i prikupljajte li samo osobne podatke koji su potrebni za određenu svrhu ili svrhe;
• Održavajte osobne podatke pojedinaca točnim i ažurnim te izbrišite podatke kada vam više nisu potrebni;
• Poštujute prava pojedinaca tako što će te ih informirati o tome kako i zašto se njihovi podaci obrađuju te im omogućiti da ostvare svoja prava;
• Provjerite imate li odgovarajuću pravnu osnovu za obradu osobnih podataka. U slučaju da se namjeravate osloniti na privolu pojedinaca, zatražite njihovu privolu prije obrade njihovih osobnih podataka;
• Osigurajte da se s osobnim podacima pojedinaca postupa na siguran način;
• Vodite evidenciju aktivnosti obrade.

Izvršitelji obrade morat će se pridržavati odgovornosti utvrđenih  ugovorom između voditelja obrade i izvršitelja obrade ne smiju obrađivati podatke na drugi način osim u skladu s uputama voditelja obrade.

Više informacija:

• Budi usklađen s Općom uredbom o zaštiti podataka
• Voditelj obrade ili izvršitelj obrade
• Osnove zaštite podataka

Da, vaši klijenti prilikom telefonskog poziva moraju biti obaviješteni o svrsi snimanja, primateljima snimaka, o njihovu pravu na prigovor i pravu na pristup snimkama.

Više informacija:

• Obrađuj osobne podatke zakonito

Da, izvršitelji obrade podataka (tj. pojedinci ili tijela koja obrađuju podatke u ime voditelja obrade) imaju obveze u skladu s Općom uredbom o zaštiti podataka. Međutim, postoje određene razlike između odgovornosti voditelja obrade i izvršitelja obrade.

Izvršitelji obrade moraju se pridržavati odgovornosti utvrđenih u ugovoru između voditelja obrade i izvršitelja obrade, u kojem se navode postupci obrade i sredstva za obradu osobnih podataka. Na primjer, izvršitelj obrade morat će provesti postupke obrade odgovarajućim tehničkim i organizacijskim mjerama prema uputama voditelja obrade. Pritom izvršitelj obrade pomaže voditelju obrade u usklađivanju s Općom uredbom o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvršitelj obrade 

Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

Više informacija:

• Osnove zaštite podataka

Organizacije moraju, u slučaju izravnog prikupljanja osobnih podataka od pojedinaca, pružiti , lako dostupne informacije o postupcima obrade sažeto i transparentno, služeći se razumljivim, jasnim i jednostavnim jezikom. To se može učiniti u pisanom obliku (npr. na poleđini ponude) ili elektroničkim putem (npr. na web-mjestu). Ako ispitanik to zatraži, te informacije možete dostaviti i usmeno, ali to morate moći dokazati da ste doista pružili sve potrebne informacije o obradi.

Čak i kada su podaci prikupljeni indirektno, tj. ako osobne podatke ne prikupljate izravno od pojedinca, nego primjerice putem treće strane, morate pojedincima pružiti iste detaljne informacije.

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

• Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Imenovanje službenika za zaštitu podataka obvezno je u sljedeća tri slučaja:

• organizacija je tijelo javne vlasti;
• osnovne aktivnosti organizacije sastoje se od redovitog i sustavnog praćenja pojedinaca u velikim razmjerima, na primjer geolokacije putem mobilne aplikacije ili nadzora trgovačkih centara i javnih prostora putem videonadzora;
• osnovne aktivnosti organizacije sastoje se od opsežne obrade osjetljivih podataka ili osobnih podataka povezanih s kaznenim osudama i kaznenim djelima.

Uvijek možete imenovati službenika za zaštitu podataka na dobrovoljnoj osnovi, čak i ako to nije zakonski propisano. Imajte na umu da u tom slučaju morate poštovati sve odredbe Opće uredbe o zaštiti podataka koje se odnose na zadaće i položaj službenika za zaštitu podataka.

Više informacija:

• Službenik za zaštitu podataka