Glede kriterija navedenih u članku 30., stavku 5. Opće Uredbe, u Vašem dopisu navodite da Vaša tvrtka ima 120 zaposlenika te se iz Vašeg dopisa može pretpostaviti da ne obrađujete osobne podatke iz članka 9. stavka 1. Opće Uredbe niti da obrađujete osobne podatke u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. Opće Uredbe. Također, iz Vašeg dopisa možemo pretpostaviti da je obrada osobnih podataka sudionika nagradnih igara povremena, jednako kao i obrada osobnih podataka potrošača temeljem njihovih prigovora. Obrada osobnih podataka Vaših zaposlenika je trajna, te je vođenje iste zakonska obveza voditelja obrade temeljem članka 5. Zakona o radu (NN 93/14).

To znači da nam ostaje za definirati vršite li takvu obradu osobnih podataka koja će „vjerojatno prouzročiti visok rizik za prava i slobode ispitanika“.

Vezano za obradu osobnih podataka koja će „vjerojatno prouzročiti visok rizik za prava i slobode ispitanika“, upućujemo Vas na dokument Radne skupine za zaštitu osobnih podataka iz članka 29. Direktive 95/46/EZ pod nazivom Smjernice o procjeni učinka na zaštitu podataka i utvrđivanje mogu li postupci obrade  vjerojatno prouzročiti visok rizik https://azop.hr/images/dokumenti/217/wp248_rev.01_hr.pdf. Naime, u navedenim smjernicama se detaljno navodi devet kriterija koje voditelj obrade treba uzeti u obzir prilikom donošenja odluke radi li se o obradi koja će vjerojatno prouzročiti visok rizik za prava i slobode ispitanika. Navedeni kriteriji su:

1. Procjena ili bodovanje, uključujući izradu profila i predviđanje, osobito na temelju aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja (uvodne izjave 71. i 91.). Primjeri mogu obuhvaćati financijsku instituciju koja provjerava svoje klijente u referentnoj bazi podataka o kreditnoj sposobnosti, u bazama podataka o suzbijanju pranja novca i financiranja terorizma ili u bazi podataka o prijevarama; biotehnološko poduzeće koje izravno svojim kupcima nudi genetska testiranja radi procjene i predviđanja bolesti/zdravstvenih rizika ili poduzeće koje izrađuje bihevioralne i marketinške profile utemeljene na upotrebi ili pregledavanju njihove internetske stranice.

2. Automatizirano donošenje odluka s pravnim ili sličnim znatnim učinkom: obrada čiji je cilj donošenje odluka o ispitanicima proizvodeći pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca (članak 35. stavak 3. točka (a)). Na primjer, obrada može rezultirati isključivanjem ili diskriminacijom pojedinaca. Obrada čiji je učinak na pojedince neznatan ili nikakav ne odgovara ovom specifičnom kriteriju.

3. Sustavno praćenje: obrada koja se koristi za promatranje, praćenje ili kontrolu ispitanika,
uključujući podatke prikupljene putem mreža ili „sustavnog praćenja javno dostupnog područja” (članak 35. stavak 3. točka (c)). Ova je vrsta praćenja jedan od kriterija jer se
osobni podaci mogu prikupljati u situacijama u kojima ispitanici nisu svjesni tko prikuplja njihove podatke i u koje će svrhe ti podaci biti upotrijebljeni. Usto, pojedinci možda neće moći izbjeći takvu obradu na javnim (ili javno dostupnim) mjestima.

4. Osjetljivi podaci ili podaci vrlo osobne naravi: to uključuje posebne kategorije osobnih podataka, kako je utvrđeno u članku 9. (na primjer informacije o političkim mišljenjima pojedinaca), kao i osobne podatke koji se odnose na kaznene osude ili kažnjiva djela, kako je utvrđeno u članku 10. Primjer je opća bolnica koja čuva medicinsku dokumentaciju pacijenata ili privatni istražitelj koji čuva pojedinosti o prijestupnicima. Osim onoga što je obuhvaćeno odredbama Opće uredbe o zaštiti podataka, za neke se kategorije podataka može smatrati da povećavaju mogući rizik za prava i slobode pojedinaca. Ti osobni podaci smatraju se osjetljivima (kako se uobičajeno i shvaća ovaj pojam) jer su povezani s kućanstvom i privatnim aktivnostima (poput elektronske komunikacije čija povjerljivost treba biti zaštićena) ili zato što utječu na ostvarivanje temeljnog prava (poput lokacijskih podataka čije prikupljanje dovodi u pitanje slobodu kretanja) ili zato što njihova povreda očito podrazumijeva ozbiljne učinke na svakodnevni život ispitanika (poput financijskih podataka koji mogu biti upotrijebljeni za prijevaru u platnom prometu). U tom pogledu može biti važno je li te podatke već javno objavio ispitanik ili treća strana. Činjenica da su osobni podaci javno dostupni može se smatrati čimbenikom u procjeni ako se očekivalo daljnje korištenje tim podacima u određene svrhe. Taj kriterij može obuhvaćati i podatke poput osobnih
dokumenata, e-pošte, dnevnika, bilježaka s e-čitača na kojima se mogu praviti bilješke i vrlo osobnih informacija sadržanih u aplikacijama za bilježenje životnih događaja.

5. Opsežna obrada podataka: u Općoj uredbi o zaštiti podataka nije određeno što obuhvaća pojam „opsežno”, ali se u uvodnoj izjavi 91. nalaze određene smjernice. U svakom slučaju, Radna skupina za zaštitu podataka iz članka 29. preporučuje da se, pri utvrđivanju je li obrada opsežna, posebno razmotre slijedeći čimbenici:
a. broj uključenih ispitanika, bilo kao određeni broj ili udio relevantnog stanovništva;
b. količina podataka i/ili niz različitih podataka koji se obrađuju;
c. trajanje ili stalnost postupka obrade podataka;
d. zemljopisni opseg aktivnosti obrade.

6. Podudarajući ili kombinirani skupovi podataka, na primjer oni koji potječu iz dva postupka obrade ili više njih, a koji su provedeni u različite svrhe i/ili koje su proveli različiti voditelji obrade podataka na način koji može premašiti razumna očekivanja ispitanika.

7. Podaci koji se odnose na osjetljive ispitanike (uvodna izjava 75.): obrada ove vrste podataka jest kriterij zbog povećane neravnoteže moći između ispitanika i voditelja obrade podataka, što znači da pojedinci ne mogu jednostavno dati suglasnost ili se usprotiviti obradi svojih podataka ili ostvarivati svoja prava. Osjetljivi ispitanici mogu biti djeca (smatra se da ne mogu svjesno i promišljeno dati pristanak ili se usprotiviti obradi podataka), zaposlenici, osjetljivije skupine stanovništva koje trebaju posebnu zaštitu (osobe s duševnim smetnjama, tražitelji azila ili starije osobe, pacijenti itd.). Time su obuhvaćene i situacije u kojima se može utvrditi neravnoteža između položaja ispitanika i voditelja obrade.

8. Inovativna upotreba ili primjena novih tehnoloških ili organizacijskih rješenja, poput kombiniranja otisaka prstiju i prepoznavanja lica radi poboljšane kontrole fizičkog pristupa itd. Iz Opće je Uredbe o zaštiti podataka jasno (članak 35. stavak 1. i uvodne izjave 89. i 91.) da upotreba nove tehnologije, definirane u skladu s postignutom razinom tehnološkog znanja (uvodna izjava 91.) može dovesti do potrebe za provođenjem procjene učinka na zaštitu podataka. To je zato što upotreba takve tehnologije može obuhvaćati inovativne oblike prikupljanja i upotrebe podataka s mogućim visokim rizikom za prava i slobode pojedinaca. Doista, osobne i društvene posljedice implementacije nove tehnologije još nisu posve poznate. Procjena učinka na zaštitu podataka pomoći će voditelju obrade podataka u razumijevanju takvih rizika i postupanju s njima. Na primjer, određene aplikacije „interneta stvari” mogu znatno utjecati na svakodnevni život i privatnost pojedinaca; stoga je potrebno provesti procjenu učinka na zaštitu podataka.

9. Situacija u kojoj sama obrada sprečava ispitanike u ostvarivanju prava ili upotrebi usluge i ugovora (članak 22. i uvodna izjava 91.). To uključuje i postupke obrade kojima se ispitanicima dopušta, mijenja ili odbija pristup pojedinoj usluzi ili sklapanje ugovora. Primjer je banka koja provjerava klijente u referentnoj bazi podataka o kreditnoj sposobnosti pri odlučivanju o dodjeli kredita.

U većini slučajeva, voditelj obrade podataka može smatrati da obrada koja ispunjava dva kriterija zahtijeva provođenje procjene učinka na zaštitu podataka. Općenito, Radna skupina za zaštitu podataka iz članka 29. smatra da što je više kriterija ispunjeno obradom, to je veća mogućnost da ona predstavlja visok rizik za prava i slobode ispitanika i stoga je nužno provođenje procjene učinka na zaštitu podataka, bez obzira na mjere koje voditelj obrade namjerava donijeti.

Iz perspektive Vaše tvrtke, navodimo primjer za obradu osobnih podataka koja će „vjerojatno prouzročiti visok rizik“. Primjerice, ako Vaša tvrtka sustavno prati aktivnosti svojih zaposlenika, uključujući praćenje radne stranice, aktivnosti na internetu itd., onda imamo dva ispunjena kriterija za procjenu, a to su sustavno praćenje (gore navedeni kriterij pod rednim brojem 3.) i podaci koji se odnose na osjetljive ispitanike (gore navedeni kriterij pod rednim brojem 7.) Dakle, odgovor na pitanje hoće li obrada osobnih podataka u konkretnom slučaju vjerojatno prouzročiti visok rizik za prava i slobode ispitanika je da, a to znači obvezu vođenja evidencije iz članka 30., kao i obvezu prethodne procjene učinka na zaštitu podataka iz članka 35. Opće Uredbe.

Dakle, bitno je da, kao voditelj obrade, u svakom pojedinom slučaju obrade, utvrdite radi li se ili ne o obradi osobnih podataka koja će „vjerojatno prouzročiti visok rizik“, a kako biste eventualno mogli primijeniti izuzetak iz članka 30., stavka 5. Opće Uredbe.