(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha – privola je dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose, Uredbom se među ostalim utvrđuje da uvjet dobrovoljnosti nije ispunjen ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica (npr.  privola se daje radi uvrštenja potrošača u neki program vjernosti, dok je u velikoj većini radnopravnih odnosa nemoguće koristiti privolu kao pravnih temelj za obradu podataka radnika);

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora (npr. obrada podataka tražitelja posla radi pozivanja na testiranje, obrada podataka osiguranika radi izvršenja ugovora o osiguranju ili obrada podataka radnika na poslovima održavanja instalacija radi slanja na teren);

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade (npr. slanje podataka o radnicima HZZO-u ili HZMO-u ili slanje podataka stranaka od strane javnog bilježnika Poreznoj upravi sukladno posebnim propisima);

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe npr. davanje podatka o lokaciji nestale osobe od strane teleooperatera Hrvatskoj gorskoj službi spašavanja.

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (npr. zbog službene ovlasti Državnog zavoda za statistiku pojedini voditelji obrade su dužni tom zavodu dostavljati određene osobne podatke);

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete, s time da se ova točka ne odnosi na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća (npr. legitimni interes vlasnika nekretnine da postavi sustav videonazora u svrhu zaštite svoje imovine).

!!! NAPOMENA: često voditelji i izvršitelji obrade smatraju da za svaku obradu osobnih podataka trebaju privolu osobe čije podatke prikupljaju i obrađuju. No, ako obradu temeljite na nekoj od gore navedenih pravnih osnova, nije potrebno tražiti osobu (ispitanika) privolu za obradu. Primjerice, za sklapanje ugovora s teleoperaterom potrebni su Vaši osobni podaci kako biste mogli sklopiti ugovor kao što su primjerice: ime i prezime, adresa, OIB i za takvu obradu osobnih podataka nije potrebno tražiti privolu. Liječnik dentalne medicine ne treba tražiti privolu svog pacijenta za obradu podataka koji su nužni u svrhu obavljanja pregleda i liječenja jer svoju obradu temelji na zakonskom propisu.

Privola je jedan od 6 pravnih osnova za obradu i nije potrebna ako obradu temeljite na nekoj drugoj pravnoj osnovi.

• zakonitost, poštenost i transparentnost obrade: to znači da obrada treba biti u skladu s određenim pravnim temeljem, a načelima poštene i transparentne obrade zahtijeva se da je pojedinac informiran o postupku obrade i njegovim svrhama, te voditelj obrade je obvezan ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka, a osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila;
• ograničavanje svrhe: to znači da podaci trebaju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; ali je moguća daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe;
• smanjenje količine podataka: to znači da podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju;
• točnost: to znači da podaci moraju biti točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave; 
• ograničenje pohrane: to znači da podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; na dulja razdoblja čuvanja su moguća samo ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe uz provedbu primjerenih mjera zaštite propisanih Uredbom. Osobne podatke potrebno je pohranjivati što je kraće moguće (samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju ili prema pravnim obvezama odnosnim na čuvanje/pohranu). Pri određivanju razdoblja pohrane potrebno je uzeti u obzir svrhu u koju ste kao voditelj obrade prikupili i obrađivali osobne podatke kao i sve pravne obveze čuvanja tih podataka (primjenjive na konkretnu obradu osobnih podataka). Iznimno!!! Osobni podaci mogu se čuvati duže vrijeme u svrhe arhiviranja u javnom interesu ili u svrhe znanstvenog ili povijesnog istraživanja, pod uvjetom da su uspostavljene odgovarajuće tehničke i organizacijske mjere;
• cjelovitost i povjerljivost: to znači da podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća razina sigurnosti, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja;
• pouzdanost: to znači da je voditelj/izvršitelj obrade odgovoran za poštovanje načela i da je mora biti u mogućnosti dokazati usklađenost s odredbama Opće uredbe o zaštiti podataka.

• Dokument iz kojeg je vidljivo da je fizička osoba ovlaštena od strane društva za zastupanje istog pred nadzornim tijelom (primjerice: punomoć za zastupanje ili punomoć odvjetnika ,Odluka o imenovanju službenika)
• Interni akti kojima je regulirana zaštita osobnih podataka (primjerice: Pravilnik o zaštiti osobnih podataka, Politika privatnosti, Obavijest/informacije koje se pružaju ispitanicima o njihovim pravima)
• Akti iz kojih su vidljive ovlasti zaposlenika ili vanjskih suradnika (primjerice: Ugovor u radu, ako je primjenjivo ili drugi akt koji propisuje razine ovlasti kao npr. Pravilnik o ovlaštenjima)
• Izjave o povjerljivosti
• Evidencije aktivnosti obrade
• Dokumentacija odnosna na predmetni slučaj i ispitanika/e, odnosno na koji način su prikupljeni određeni podaci, temeljem koje pravne osnove i u koju točno svrhu ( primjerice: korespondencija između društva i ispitanika, dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, preslike osobnih dokumenata ukoliko su prikupljeni, dokumentacija odnosna na videonadzorni sustav (ako je isti predmet nadzora) te uvid u videozapise, logove i sl., također je potrebno omogućiti uvid u baze podataka i dr.)
• Ugovor sa Izvršiteljem obrade
• Dokumentacija odnosna na mjere zaštite (organizacijske i tehničke)

Uputno je razraditi proceduru za učinkovito prepoznavanje, prijavljivanje, upravljanje i rješavanje povreda osobnih podataka

U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo (Agenciju za zaštitu osobnih podataka) nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje.

Obrazac Izvješća o povredi osobnih podataka  možete pronaći u rubrici Organizacije-Obrasci/predlošci/edukativni materijali.

Uputno je voditi evidenciju povreda osobnih podataka

Uputno je razraditi procedure kojima će se jasno osigurati ostvarivanje prava ispitanika na pristup podacima (primjerice, pružiti odgovarajuće informacije zaposlenicima o važnosti ostvarivanja prava pojedinca te uvjete pod kojim se ta prava ostvaruju, jasno raspodijeliti odgovornosti u okviru svakog radnog mjesta i slično)

Uputno jer razraditi procedure:  za rješavanje zahtjeva pojedinaca za ispravljanje njihovih osobnih podataka, brisanje osobnih podataka, ograničenje obrade osobnih podataka, proceduru za rješavanje zahtjeva pojedinaca za prenosivost njihovih osobnih podataka drugom pružatelju usluga (pravo na prenosivost podataka), proceduru za odgovaranje na prigovor pojedinca (ako je primjenjivo) i proceduru za pravo na prigovor na automatizirano pojedinačno donošenje odluka (ako je primjenjivo)

Tehničke mjere odnose se na zaštitne mjere koje postavljate na opremu/sredstva, odnosno prostor/prostorije koji se koriste unutar poslovnog subjekta za redovno obavljanje poslovanjau okviru kojeg obrađujete osobne podatke. 

Najčešća mjera tehničke zaštite je lozinka. Lozinka se koristi kao mjera zaštite od neovlaštenog pristupa:

• na radnoj opremi (računala, pametni telefoni, tablet računala, kopirke i pisači, Internet usmjerivači …)
• u računalnim programima (Programi koje koristite u poslovne svrhe, a koji obrađuju osobne podatke)
• u elektroničkoj pošti
• u datotekama s podacima (baze podataka, Excel tablice, Word dokumenti i drugi dokumenti u kojima su sadržani osobni podaci)

Za kreiranje snažnih lozinki na Internetu postoje generatori lozinki koji ih kreiraju na temelju zadanih postavki od čega se sve treba sastojati lozinka.

 Tako generirane lozinke koje su nasumičan niz slova, brojki i simbola je teško upamtiti. Stoga možete pribjeći triku da za generiranje lozinke odaberete nekakvu Vama poznatu frazu ili citat.

Nemojte koristiti istu lozinku za sve prijave već za svaki uređaj, program, uslugu ili datoteku koristite različite lozinke. Kako ne bi morali pamtiti sve te lozinke postoje programi koji na siguran način pamte lozinke za Vas (tzv. Password Manageri). 

Mjere tehničke zaštite su:

1. Postavljanje lozinki i prava pristupa podacima, programima i opremi. Njima mogu pristupati samo ovlašteni zaposlenici s poslovnom opremom, dok neovlaštenim zaposlenicima i privatnoj opremi ne bi trebao biti dopušten pristup.
2. Redovna nadogradnja operativnog sustava i računalnih programa
3. Postavljanje antivirusnog programa na uređaje
4. Sigurnosne kopije podataka (Backup)
5. Postavljanje vatrozida (Firewalla)
6. Zaštita pristupa mrežnoj infrastrukturi
7.  Kriptiranje podataka i prijenosnih uređaja  na način da se u programima i bazama podataka osobni podaci pseudonimiziraju, a prostor za pohranu na prijenosnim uređajima kriptira
8.  Zaštita podataka pohranjenih u papirnatom obliku
9.  Fizička zaštita od nedozvoljenog pristupa
10.  Zaštita Internet usmjerivača (eng. Internet Router) od neovlaštenog pristupa
11.  Zaštita pristupa podacima s udaljenih lokacija od neovlaštenog pristupa
12. Pristup opremi i programima putem kartica s čipom.

• Pravilnikom o informacijskoj sigurnosti se propisuju tehničke mjere zaštite koje se primjenjuju za zaštitu podataka od neovlaštenog pristupa u poslovnom subjektu
• Pravilnicima kojima se određuje obrada osobnih podataka se propisuje tko obrađuje osobne podatke, u koju svrhu, koja je zakonitost za obradu, koji je opseg osobnih podataka koji se obrađuju, tko ima pravo pristupa i obrade osobnih podataka , koliko dugo se podaci čuvaju, tehničke mjere zaštite provedene za taj sustav pohrane (bazu podataka…)
• U ugovornim klauzulama unutar ugovora o radu mogu biti definirane zbirke osobnih podataka koje će uposlenik obrađivati i koja prava će imati za obradu tih sustava pohrane (baza podataka).
• U ugovornim klauzulama unutar ugovora o poslovnoj suradnji definiraju se zbirke osobnih podataka koje su predmet ugovora, prava i obveze svake od ugovornih strana vezano za obradu osobnih podataka, koje tehničke mjere zaštite svaka od strana poduzima kako bi se zaštitili sustavi pohrane (baze) podataka.
• Izjavom o povjerljivosti regulira se da zaposlenik poslovnog subjekta ili vanjski suradnik daje pismenu izjavu da će osobne podatkeobrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih zlorabiti i davati neovlaštenim trećim stranama.
• Nova zakonska regulativa iz područja zaštite osobnih podataka taksativno ne propisuje obvezu osoba koje su zaposlene u obradi osobnih podataka na potpisivanje Izjave o povjerljivosti. No povjerljivost kao i odgovornost onih koji imaju pristup osobnim podacima je definirana u članku 32. stavak 4. Opće uredbe o zaštiti podataka

Neovisno o broju zaposlenika, bilo da ste voditelj obrade ili izvršitelj obrade, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:

• ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
• ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca),
• ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci, biometrijski podaci, genetski podaci),
• ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima

Svrha obrade: obračun plaće i drugih dohodaka

Kategorija ispitanika: Zaposlenici

Kategorija osobnih podataka: ime, prezime, adresa, OIB, spol, dan, mjesec, godina rođenja, prebivalište/boravište, broj tekućeg računa, stručno obrazovanje,  datum početka rada,  naznaku radi li se o  punom radnom vremenu ili nepunom radnom vremenu,  mjesto rada,  datum prestanka radnog odnosa, razlog prestanka radnog odnosa, podaci za potrebu interne komunikacije unutar tvrtke (poslovni kontakt e-mail, tel.) 

Kategorije primatelja: HZZO, HZMO, Porezna uprava, Knjigovodstveni servis (ukoliko je primjenjivo)

Razdoblje pohrane: trajno – sukladno pravnoj obvezi

Prava ispitanika: Pravo na pristup i pravo na ispravak/pravo na brisanje, ograničenje obrade, pravo da se na njih ne odnosi automatizirano donošenje odluka.

Opis tehničkih i organizacijskih sigurnosnih mjera: računalo zaštićeno lozinkom, arhivski ormar kojem pristup ima samo ovlaštena osoba, Pravilnik o pristupu podacima i dr.

Zakonitost obrade: pravne obveze temeljem Zakona o radu, Zakona o mirovinskom osiguranju, Zakona o računovodstvu. 

Sukladno članku 37. Opće uredbe o zaštiti podataka, voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:

(a) obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,

 (b) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili

(c) osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.  

Sve odluke o imenovanju službenika donesene na temelju Zakona o zaštiti osobnih podataka trebaju se uskladiti s Uredbom.

Ako je vjerojatno da će neka vrsta obrade, osobito uporabom novih tehnologija, uzimajući pri tome u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade dužan je provesti procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

 Procjena učinka na zaštitu podataka obvezna je osobito u slučaju:

• sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca
• opsežne obrade posebnih kategorija osobnih podataka (članak 9. stavak 1. Uredbe) ili podataka u vezi s kaznenim osudama i kažnjivim djelima (članak 10. Uredbe)
• sustavno praćenje javno dostupnog područja u velikoj mjeri

PRIMJERI OBRADE KADA JE PROCJENA UČINKA NUŽNA:

bolnica koja obrađuje genetske i zdravstvene podatke svojih pacijenata (bolnički informacijski sustav), autobusni prijevoznik koji će upotrebljavati videokamere u autobusu kako bi nadzirao ponašanje vozača i putnika, institucija koja uspostavlja bazu podataka kreditnog rejtinga ili prijevara na nacionalnoj razini, prikupljanje podataka s javnih društvenih medija za izradu profila.

PRIMJERI OBRADE KADA PROCJENA UČINKA NIJE NUŽNA:

liječnik obiteljske medicine obrađuje osobne podatke svojih pacijenata. U tom slučaju nema potrebe za procjenom učinka na zaštitu podataka jer liječnik ima ograničen broj pacijenata i ne provodi opsežne obrade osobnih podataka, internetska stranica e-trgovine koja se koristi popisom adresa klijenata u svrhu slanja newslettera svojim pretplatnicima