Evidencija aktivnosti obrade je obrazac koji služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
Agencija za zaštitu podataka izradila je predložak evidencije aktivnosti obrade koji možete koristiti u svom radu, uz napomenu da je u evidenciji potrebno navesti konkretne aktivnosti obrade osobnih podataka koje provodite u svojoj organizaciji.
Obrazac Evidencije aktivnosti obrade za voditelje obrade
Obrazac Evidencije aktivnosti obrade za izvršitelje obrade
Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom o zaštiti podataka, dok svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade.
PREPORUKA AGENCIJE! Preporučamo da vodite evidenciju aktivnosti obrade čak i ako po Općoj uredbi niste u obvezi istu voditi jer je Evidencija aktivnosti obrade jedan od dokumenta kojim možete dokazati usklađenost s Općom uredbom!
VAŽNO! Voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija obrade osobnih podataka Agenciji za zaštitu osobnih podataka (već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).
Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:
- ako će obrada vjerojatno prouzročiti rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podtke),
- ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
- ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
- ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima.
Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade ako ima manje od 250 zaposlenika te ako nije primjenjiv niti jedan od naprijed navedenih uvjeta.
Primjer: Evidencija aktivnosti obrade zaposlenika
Evidencija aktivnosti obrade služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora biti u pisanom obliku, uključujući elektronički oblik.
Svrha obrade: obračun plaće i drugih dohodaka
Kategorija ispitanika: Zaposlenici
Kategorija osobnih podataka: ime, prezime, adresa, OIB, spol, dan, mjesec, godina rođenja, prebivalište/boravište, broj tekućeg računa, stručno obrazovanje, datum početka rada, naznaku radi li se o punom radnom vremenu ili nepunom radnom vremenu, mjesto rada, datum prestanka radnog odnosa, razlog prestanka radnog odnosa, podaci za potrebu interne komunikacije unutar tvrtke (poslovni kontakt e-mail, tel.)
Kategorije primatelja: HZZO, HZMO, Porezna uprava, Knjigovodstveni servis (ukoliko je primjenjivo)
Razdoblje pohrane: trajno – sukladno pravnoj obvezi
Prava ispitanika: Pravo na pristup i pravo na ispravak/pravo na brisanje, ograničenje obrade, pravo da se na njih ne odnosi automatizirano donošenje odluka.
Opis tehničkih i organizacijskih sigurnosnih mjera: računalo zaštićeno lozinkom, arhivski ormar kojem pristup ima samo ovlaštena osoba, Pravilnik o pristupu podacima i dr.
Zakonitost obrade: pravne obveze temeljem Zakona o radu, Zakona o mirovinskom osiguranju, Zakona o računovodstvu
