1. Prvi korak koji biste trebali učiniti je utvrditi čije osobne podatke obrađujete (npr. zaposlenika, klijenata, korisnika usluga), zatim koje osobne podatke prikupljate (npr. ime i prezime, OIB, broj osobne iskaznice, adresa, e-mail, fotografija, videosnimke, IP adresa, podaci o lokaciji, podaci o plaći itd.) i gdje se ti osobni podaci nalaze (u papirnatom i digitalnom obliku).
Osobit oprez potreban je ako obrađujete posebne kategorije osobnih podataka (npr. osobni podaci koji se odnose na rasno ili etničko podrijetlo, politička stajališta, vjerska ili druga uvjerenja, zdravlje ili spolni život). Takvi podaci mogu se obrađivati isključivo ako postoji pravni temelj za obradu iz članka 6. Opće uredbe o zaštiti podtaka i jedna od taksativno navedenih iznimaka iz članka 9. stavka 2. Opće uredbe o zaštiti podataka.
2. ODREDITI ODGOVARAJUĆI PRAVNI TEMELJ ZA OBRADU OSOBNIH PODATAKA (ČLANAK 6. OPĆE UREDBE O ZAŠTITI PODATAKA)
Jedno od prvih pitanja na koje bi trebale odgovoriti sve organizacije koje obrađuju osobne podatke (voditelji obrade) prije početka obrade je: “Koji je moj razlog ili opravdanje za obradu osobnih podataka?”. To je od ključne važnosti jer obrada može biti zakonita samo ako ste prethodno utvrdili razlog/opravdanje za obradu osobnih podataka te identificirali i dokumentirali pravni temelj.
3. POŠTOVATI NAČELA OBRADE OSOBNIH PODATAKA IZ ČLANKA 5. OPĆE UREDBE O ZAŠTITI PODATAKA.
Načela obrade osobnih podataka iznimno su važna i čine srž GDPR-a.Članak 5. GDPR-a utvrđuje sedam ključnih načela povezanih s obradom osobnih podataka, a kojih se moraju pridržavati svi voditelji obrade pa tako i mali i srednji poduzetnici i obrtnici.
4. IMPLEMENTIRATI ODGOVARAJUĆE TEHNIČKE I ORGANIZACIJSKE MJERE KAKO BISTE OSIGURALI SIGURNOST OBRADE (ČLANAK 32. OPĆE UREDBE O ZAŠTITI PODATAKA).
Jedna od glavnih obveza prema GDPR-u je osigurati odgovarajuću sigurnost osobnih podataka, uključujući zaštitu od neovlaštenih ili nezakonitih obrada (uključujući krađu, uništavanje, oštećenje i otkrivanje) osobnih podataka. Kako biste zaštitili osobe podatke svojih klijenata/korisnika usluga/zaposlenika (ukratko pojedinaca čijim osobnim podacima raspolažete), dužni ste provoditi odgovarajuće tehničke i organizacijske mjere. Na ovaj način svest ćete mogućnost nezakonite obrade osobnih podataka i povreda osobnih podataka na minimum. Sve organizacije (mikro, mala, srednja, velika poduzeća, tijela javne vlasti i svi ostali voditelji i izvršitelji obrade) trebaju biti svjesne važnosti ove obveze, a posebice organizacije koje prikupljaju i pohranjuju posebne kategorije osobnih podataka. Jedno od prvih pitanja koje će postaviti nadzorno tijelo za zaštitu podataka (Agencija za zaštitu osobnih podataka – AZOP) u slučaju povrede osobnih podataka i prilikom nadzornih postupanja, upravo je koje sumjere poduzete kako bi se osigurala sigurnost osobnih podataka.
5. OMOGUĆITI ISPITANICIMA DA OSTVARE SVOJA PRAVA I POŠTOVATI PRAVA ISPITANIKA (ČLANCI 15. – 22. OPĆE UREDBE O ZAŠTITI PODATAKA.
Svaka organizacija koja obrađuje osobne podatke pojedinaca, dužna je poštovati njihova prava zagarantirana GDPR-om i Zakonom o provedbi Opće uredbe o zaštiti podataka,informirati pojedince o njihovim pravima (npr.putem politike privatnosti) te im omogućiti da ostvaruju svoja prava.Ukoliko u svom poslovanju koristite web stranicu, preporuka Agencije je da na web stranici objavite obrazac zahtjeva putem kojeg ispitanik može ostvariti svoja prava. Na zahtjeve pojedinaca za ostvarivanje njihovih prava iz GDPR-a dužni ste odgovoriti bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana od primitka zahtjeva. Rok za odgovor je moguće produžiti za još dva mjeseca ako je zahtjev složen, no u tom slučaju morate obavijestiti pojedinca u roku od mjesec dana o razlozima zbog kojeg i koliko će taj rok biti produžen.
6. Izraditi Interne akte za dokazivanje usklađenosti s Općom uredbom o zaštiti podataka.
Dokumentacija koju će ovlašteni službenici Agencije zatražiti prilikom provedbe nadzornih aktivnosti:
• Dokument iz kojeg je vidljivo da je fizička osoba ovlaštena od strane društva za komunikaciju s nadzornim tijelom (npr. punomoć za zastupanje ili punomoć odvjetnika, Odluka o imenovanju službenika za zaštitu podataka)
• Interne akte kojima je regulirana zaštita osobnih podataka (npr. Pravilnik o zaštiti osobnih podataka, Politika privatnosti, Obavijest/informacije koje se pružaju ispitanicima o njihovim pravima)
• Akte iz kojih su vidljive ovlasti zaposlenika ili vanjskih suradnika (primjerice: Ugovor u radu ili drugi akt koji propisuje razine ovlasti kao npr. Pravilnik o ovlaštenjima)
• Izjave o povjerljivosti
• Evidencije aktivnosti obrade
• Ugovor o obradi osobni podataka između voditelja i izvršitelja obrade (ako je primjenjivo)
• Dokumentaciju odnosnu na mjere zaštite (organizacijske i tehničke)
• Dokumentaciju odnosnu na određeni slučaj i pojedince, na koji način su prikupljeni određeni osobni podaci, temeljem koje pravne osnove i u koju točno svrhu (npr. obrazac privole ako se obrada temelji na privoli, test legitimnog interesa ako se obrada temelji na legitimnom interesu, dokumentiranu procjenu učinka na zaštitu osobnih podataka ako je provedena procjena učinka, dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, dokumentacija odnosna na videonadzorni sustav te uvid u videozapise, logove, baze podataka i dr.)
7. INFORMIRATI ISPITANIKE NA TRANSPARENTAN I RAZUMLJIV NAČIN O TOME KAKO OBRAĐUJETE NJIHOVE OSOBNE PODATKE.
Svaka organizacija koja obrađuje osobne podatke dužna je pojedince informirati o vrstama osobnih podataka koje prikuplja i njihovim pravima iz GDPR-a, u koju svrhu i po kojoj pravnoj osnovi obrađuje osobne podatke, na koji način i tko koristi osobne podatke te koje mjere zaštite osobnih podataka provodi i dr. (članci 12., 13. i 14. GDPR-a).
Svaki voditelj obrade je pritom dužan koristiti jednostavan i lako razumljiv jezik te pružiti osobama navedene informacije u sažetom obliku.
8. VODITI EVIDENCIJE AKTIVNOSTI OBRADE (ČLANAK 30. OPĆE UREDBE O ZAŠTITI PODATAKA).
Neovisno o broju zaposlenika, DUŽNI ste voditi evidenciju obrade ukoliko je ispunjen jedan od sljedećih uvjeta:
• ako će obrada vjerojatno prouzročiti rizik za prava i slobode ispitanika (npr. uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke),
• ako obrada nije povremena, odnosno ako je obrada stalna (npr. obrada osobnih podataka zaposlenika u svrhu isplate plaća),
• ako obrada uključuje posebne kategorije podataka (npr. zdravstveni podaci, biometrijski
podaci, genetski podaci),
• ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima.
9. IMENOVATI SLUŽBENIKA ZA ZAŠTITU PODATAKA (AKO JE PRIMJENJIVO) SA ODGOVARAJUĆIM ZNANJEM, KVALIFIKACIJAMA I VJEŠTINAMA.
Osnovna uloga službenika za zaštitu osobnih podataka:
• brine o tome da su poslovni procesi organizacije odnosno aktivnosti obrade osobnih podataka usklađeni s Općom uredbom o zaštiti podataka
• brine o svim pitanjima koja se odnose na zaštitu osobnih podataka u organizaciji; savjetuje sve zaposlenike organizacije vezano za sva pitanja iz područja zaštite osobnih podataka.
10. PROVESTI PROCJENU UČINKA NA ZAŠTITU PODATKA U SLUČAJU KAD OBRADA OSOBNIH PODATAKA MOŽE UZROKOVATI VISOK RIZIK ZA PRAVA I SLOBODE POJEDINACA – ČLANAK 35. OPĆE UREDBE O ZAŠTITI PODATAKA (AKO JE PRIMJENJIVO)
Procjena učinka na zaštitu podataka obvezna je u slučaju:
a) sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila i na temelju koje se donose odluke koje proizvode pravne
učinke za pojedinca;
b) opsežne obrade posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama i kažnjivim djelima ili
c) sustavnog praćenja javno dostupnog područja u velikoj mjeri.
Procjena učinka na zaštitu podataka je postupak osmišljen za:
1. opisivanje obrade – procjenu njezine nužnosti i proporcionalnosti
2. upravljanje rizicima za prava i slobode pojedinaca koji nastaju obradom osobnih podataka što uključuje procjenu rizika i određivanjem mjera za njihovo ublažavanje.
Usklađivanje internih akata vezanih uz radno-pravne odnose s odredbama Opće uredbe o zaštiti podataka
Potrebno je uskladiti interne akte vezane uz radno-pravne odnose, odnosno uskladiti/odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz čl. 13. i 14. Opće uredbe).
Dokumentacija kojom dokazujete usklađenost s Općom uredbom o zaštiti podataka-načelo pouzdanosti
Agencija za zaštitu osobnih podataka nadzor nad provedbom Opće uredbe o zaštiti podataka i Zakona o provedbi Opće uredbe o zaštiti podataka provodi po službenoj dužnosti i pritužbi ispitanika (građana, pojedinca).
Dokumentacija koju će ovlašteni službenici Agencije zatražiti prilikom provedbe nadzornih aktivnosti:
- Dokument iz kojeg je vidljivo da je fizička osoba ovlaštena od strane društva za zastupanje istog pred nadzornim tijelom (primjerice: punomoć za zastupanje ili punomoć odvjetnika ,Odluka o imenovanju službenika)
- Interni akti kojima je regulirana zaštita osobnih podataka (primjerice: Pravilnik o zaštiti osobnih podataka, Politika privatnosti, Obavijest/informacije koje se pružaju ispitanicima o njihovim pravima)
- Akti iz kojih su vidljive ovlasti zaposlenika ili vanjskih suradnika (primjerice: Ugovor u radu, ako je primjenjivo ili drugi akt koji propisuje razine ovlasti kao npr. Pravilnik o ovlaštenjima)
- Izjave o povjerljivosti
- Evidencije aktivnosti obrade
- Dokumentacija odnosna na predmetni slučaj i ispitanika/e, odnosno na koji način su prikupljeni određeni podaci, temeljem koje pravne osnove i u koju točno svrhu ( primjerice: korespondencija između društva i ispitanika, dokument iz kojeg je vidljiva zakonitost obrade između dvije ili više strana, preslike osobnih dokumenata ukoliko su prikupljeni, dokumentacija odnosna na videonadzorni sustav (ako je isti predmet nadzora) te uvid u videozapise, logove i sl., također je potrebno omogućiti uvid u baze podataka i dr.)
- Ugovor sa Izvršiteljem obrade
- Dokumentacija odnosna na mjere zaštite (organizacijske i tehničke)