HR | EN

logo
header pozadina-min
1. Može li se izraditi više evidencija aktivnosti obrade?

Da, ukoliko organizacija ima više različitih aktivnosti obrade osobnih podataka tada će se evidencija aktivnosti obrade sastojati od skupa evidencija svake takve aktivnosti i svaka takva evidencija mora uključivati pojedinosti iz pitanja brpj 10.

 NAPOMENA: evidencija može biti koncipirane tako da svaka aktivnost obrade bude zasebni dokument ili da sve budu sastavljene u jednu cjelovitu evidenciju.

2. Tko je odgovoran za vođenje evidencije aktivnosti obrade?

Kad je riječ o evidenciji aktivnosti obrade, voditelj ili izvršitelj obrade, a ne službenik za zaštitu podataka, dužan je voditi evidenciju aktivnosti obrade pod svojom odgovornošću radi dokazivanja usklađenosti s Uredbom o zaštiti osobnih podataka.

3. Koja je uloga službenika u stvaranju evidencija aktivnosti obrade?

Iako je odgovornost vođenja evidencije na voditelju/izvršitelju, obrade ništa ga ne spriječava da službeniku povjeri tu zadaću. Službenik u tom slučaju  može ili samostalno izraditi (u bliskoj suradnji s relevantnim osobljem voditelja obrade) ili će službenik biti osoba koja će biti blisko uključena u taj posao i nadgledati ga.

U svakom slučaju, voditelj obrade je odgovoran za evidenciju i njen sadržaj te ja na njemu da procijeni tko će ju izraditi.

PREPORUKA je da se zadaća vođenja evidencija povjeri službeniku.

4. Kako zaposlenici organizacije mogu doprinijeti izradi evidencije?

U praksi, službenici za zaštitu podataka često izrađuju evidencije aktivnosti obrade na temelju informacija koje su im dostavili različiti odjeli u njihovoj organizaciji zaduženi za obradu osobnih podataka. Preporuka je da svi djelatnici budu obavješteni tko je službenik te da budu otvoreni za suradnju, posebice u vidu pružanja potrebnih informacija koje su službeniku potrebne u radu.

5. Zašto je bitno izraditi evidenciju aktivnosti obrade?

Evidencija bi se trebala smatrati jednim od alata koji službeniku za zaštitu podataka omogućuje obavljanje njegovih zadaća u pogledu praćenja poštovanja Opće uredbe, radi što kvalitetnije primjene relevantnih odredbi u poslovanju.

Također, evidencija predstavlja prvi korak prema pouzdanosti obzirom da svojim sadržajem i preglednošću nad obradama osobnih podataka unutar neke organizacije omogućava i procjenu rizika za prava i slobode pojedinaca, kao i adekvatnu primjenu odgovarajućih tehničkih i organizacijskih mjera za osiguravanje razine sigurnosti osobnih podataka.

6. Što kada evidenciju zatraži nadzorno tijelo za zaštitu osobnih podataka (AZOP)?

Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti u daljnjim nadzornim aktivnostima.

Na zahtjev nadzornog tijela, voditelj obrade trebao bi unaprijed dostaviti evidenciju radi pregleda svih aktivnosti obrade osobnih podataka koje neka organizacija provodi.

7. Jesu li neke organizacije izuzete od obaveze vođenja evidencija aktivnosti obrade?

Članak 30(5) izuzima poduzeća i organizacije u kojima je zaposleno manje od 250 osoba, a koje samo obrađuju osobne podatke “povremeno”, od dužnosti vođenja evidencije svojih aktivnosti obrade osobnih podataka.

Međutim, ovo izuzeće ne vrijedi ako:

  • je obrada koju provodi poduzeće ili organizacija “vjerojatno prouzročiti rizik za prava i slobode ispitanika ” (ovdje rizik ne mora nužno označavati “visok rizik”, bilo koji rizik za prava i slobode ispitanika, koliko god malen, zahtijevao bi bilježenje (i preispitivanje) aktivnosti voditelja obrade; ili
  • obrada nije povremena; ili
  • obrada uključuje osjetljive podatke ili podatke o kaznenim osudama i kažnjivim djelima

PRIMJER NE-POVREMENE OBRADE:

U Hrvatskoj, detaljniji podaci o svim državnim službenicima i zaposlenicima u javnim tijelima moraju se prema zakonu unijeti u središnji sustav, Registar zaposlenih u javnom sektoru. Ovo također vrijedi i za najmanja javna tijela, kao što su male lokalne zajednice koje moguće zapošljavaju samo vrlo mali broj ljudi. Obrada podataka o tih nekoliko zaposlenika od strane te vrlo male zajednice stoga nije „povremena“ i ne uživa prednosti izuzeća od vođenja evidencije. 

8. Što kada voditelj obrade dvoji oko obveze vođenja evidencije aktivnosti obrade?

U slučaju bilo kakve dvojbe oko obveze vođenja evidencije, voditelj obrade treba bi zatražiti savjet od svog službenika o tim pitanjima a od službenika se očekuje da bi u graničnim slučajevima trebao težiti pružanju savjeta u smjeru stvaranja cjelokupne evidencije umjesto da riskira pozivanje na povredu koju je počinila organizacija neispunjavanjem svojih obaveza iz čl.30.

9. Može li se sadržaj evidencije aktivnosti obrade mijenjati?

Da, evidencija treba biti ispravljena i ažurirana kada god se dogode promjene na aktivnostima obrade koje se bilježe u konkretnoj evidenciji.

10. Od kojih elemenata bi se evidencija aktivnosti obrade trebala sastojati?

Sukladno članku 30(1) GDPR-a, evidencija aktivnosti obrade osobnih podataka voditelja obrade treba se sastojati od skupa evidencija svake takve aktivnosti i svaka takva evidencija mora uključivati sljedeće pojedinosti:

  1. ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
  2. svrhe obrade;
  3. opis kategorija ispitanika i kategorija osobnih podataka (uključujući i to pripadaju li bilo koji podaci unutar popisa u „posebne kategorije podataka“ / osjetljivi podaci);
  4. kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
  5. ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
  6. ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
  7. ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.
11. Jesu li izvršitelji obrade dužni voditi evidenciju aktivnosti obrade?

Da.

12. Da li se sadržajem razlikuje od one koju je dužan izraditi voditelj obrade?

Da. Sukladno Članku 30(2) GDPR-a, evidencija aktivnosti obrade osobnih podataka izvršitelja obrade mora uključivati sljedeće pojedinosti:

  1. ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
  2. kategorije obrade koje se obavljaju u ime svakog voditelja obrade; (npr. ime i prezime, OIB, broj tekućeg računa i sl)
  3. prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama (ako je primjenjivo);
  4. opći opis tehničkih i organizacijskih sigurnosnih mjera iz čl 32. stavka 1. (ako je moguće)

Obrasce evidencije aktivnosti obrade možete pronaći ovdje

X
Skip to content