Kad je riječ o evidenciji aktivnosti obrade, voditelj ili izvršitelj obrade, a ne službenik za zaštitu podataka, dužan je voditi evidenciju aktivnosti obrade pod svojom odgovornošću radi dokazivanja usklađenosti s Uredbom o zaštiti osobnih podataka.

Iako je odgovornost vođenja evidencije na voditelju/izvršitelju, obrade ništa ga ne spriječava da službeniku povjeri tu zadaću. Službenik u tom slučaju  može ili samostalno izraditi (u bliskoj suradnji s relevantnim osobljem voditelja obrade) ili će službenik biti osoba koja će biti blisko uključena u taj posao i nadgledati ga.

U svakom slučaju, voditelj obrade je odgovoran za evidenciju i njen sadržaj te ja na njemu da procijeni tko će ju izraditi.

PREPORUKA je da se zadaća vođenja evidencija povjeri službeniku.

U praksi, službenici za zaštitu podataka često izrađuju evidencije aktivnosti obrade na temelju informacija koje su im dostavili različiti odjeli u njihovoj organizaciji zaduženi za obradu osobnih podataka. Preporuka je da svi djelatnici budu obavješteni tko je službenik te da budu otvoreni za suradnju, posebice u vidu pružanja potrebnih informacija koje su službeniku potrebne u radu.

Evidencija bi se trebala smatrati jednim od alata koji službeniku za zaštitu podataka omogućuje obavljanje njegovih zadaća u pogledu praćenja poštovanja Opće uredbe, radi što kvalitetnije primjene relevantnih odredbi u poslovanju.

Također, evidencija predstavlja prvi korak prema pouzdanosti obzirom da svojim sadržajem i preglednošću nad obradama osobnih podataka unutar neke organizacije omogućava i procjenu rizika za prava i slobode pojedinaca, kao i adekvatnu primjenu odgovarajućih tehničkih i organizacijskih mjera za osiguravanje razine sigurnosti osobnih podataka.

Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti u daljnjim nadzornim aktivnostima.

Na zahtjev nadzornog tijela, voditelj obrade trebao bi unaprijed dostaviti evidenciju radi pregleda svih aktivnosti obrade osobnih podataka koje neka organizacija provodi.

Članak 30(5) izuzima poduzeća i organizacije u kojima je zaposleno manje od 250 osoba, a koje samo obrađuju osobne podatke “povremeno”, od dužnosti vođenja evidencije svojih aktivnosti obrade osobnih podataka.

Međutim, ovo izuzeće ne vrijedi ako:

• je obrada koju provodi poduzeće ili organizacija “vjerojatno prouzročiti rizik za prava i slobode ispitanika ” (ovdje rizik ne mora nužno označavati “visok rizik”, bilo koji rizik za prava i slobode ispitanika, koliko god malen, zahtijevao bi bilježenje (i preispitivanje) aktivnosti voditelja obrade; ili
• obrada nije povremena; ili
• obrada uključuje osjetljive podatke ili podatke o kaznenim osudama i kažnjivim djelima

PRIMJER NE-POVREMENE OBRADE:

U Hrvatskoj, detaljniji podaci o svim državnim službenicima i zaposlenicima u javnim tijelima moraju se prema zakonu unijeti u središnji sustav, Registar zaposlenih u javnom sektoru. Ovo također vrijedi i za najmanja javna tijela, kao što su male lokalne zajednice koje moguće zapošljavaju samo vrlo mali broj ljudi. Obrada podataka o tih nekoliko zaposlenika od strane te vrlo male zajednice stoga nije „povremena“ i ne uživa prednosti izuzeća od vođenja evidencije. 

U slučaju bilo kakve dvojbe oko obveze vođenja evidencije, voditelj obrade treba bi zatražiti savjet od svog službenika o tim pitanjima a od službenika se očekuje da bi u graničnim slučajevima trebao težiti pružanju savjeta u smjeru stvaranja cjelokupne evidencije umjesto da riskira pozivanje na povredu koju je počinila organizacija neispunjavanjem svojih obaveza iz čl.30.

Da, evidencija treba biti ispravljena i ažurirana kada god se dogode promjene na aktivnostima obrade koje se bilježe u konkretnoj evidenciji.

Sukladno članku 30(1) GDPR-a, evidencija aktivnosti obrade osobnih podataka voditelja obrade treba se sastojati od skupa evidencija svake takve aktivnosti i svaka takva evidencija mora uključivati sljedeće pojedinosti:

1. ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
2. svrhe obrade;
3. opis kategorija ispitanika i kategorija osobnih podataka (uključujući i to pripadaju li bilo koji podaci unutar popisa u „posebne kategorije podataka“ / osjetljivi podaci);
4. kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
5. ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
6. ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
7. ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

Da.

Da. Sukladno Članku 30(2) GDPR-a, evidencija aktivnosti obrade osobnih podataka izvršitelja obrade mora uključivati sljedeće pojedinosti:

1. ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
2. kategorije obrade koje se obavljaju u ime svakog voditelja obrade; (npr. ime i prezime, OIB, broj tekućeg računa i sl)
3. prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama (ako je primjenjivo);
4. opći opis tehničkih i organizacijskih sigurnosnih mjera iz čl 32. stavka 1. (ako je moguće)