19.04.2019.
S obzirom na Vaše obraćanje ovoj Agenciji vezano uz obvezu voditelja obrade/izvršitelja obrade na vođenje evidencije aktivnosti obrade (članak 30. Uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, SL EU L119, dalje u tekstu: Opća uredba o zaštiti podataka, eng. skraćeno GDPR), nastavno navodimo sljedeće:
Svaki voditelj obrade ili izvršitelj obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je odgovoran radi dokazivanja sukladnosti obrade sa Općom uredbom o zaštiti podataka.
Evidencija aktivnosti obrade je formular (obrazac) koji služi kao dokaz da je obrada osobnih podataka zakonita. Ista mora sadržavati informacije iz članka 30. Opće uredbe o zaštiti podataka te mora biti u pisanom obliku, uključujući elektronički oblik. Podaci sadržani u evidenciji obrade trebali bi biti na odgovarajući način zaštićeni (primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa).
Sadržaj evidencije aktivnosti obrade mora biti detaljno razrađen te mora sadržavati ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt), svrhu obrade (detaljno objašnjena), opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja, itd.), kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije), prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom) te opis tehničkih i organizacijskih mjera zaštite osobnih podataka.
Navedena obveza ne odnosi se na voditelja obrade/izvršitelja obrade koji ima manje od 250 zaposlenika (mikropoduzeća, mala i srednja poduzeća), osim:
– ako će obrada vjerojatno prouzročiti visoki rizik za prava i slobode ispitanika (primjerice: uvođenje novih tehnologija kao što su biometrijski čitači, prepoznavanje lica, IT servisa koji obrađuju osobne podatke)
– ako obrada nije povremena, odnosno ako je obrada stalna (primjerice: obrada osobnih podataka zaposlenika u svrhu isplate plaća od strane poslodavca), ako obrada uključuje posebne kategorije podataka (primjerice: zdravstveni podaci koje obrađuje bolnica, biometrijski podaci, genetski podaci)
– ako obrada uključuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima
Ističemo kako voditelji obrade prema Općoj uredbi o zaštiti podataka nemaju obvezu dostave navedenih evidencija aktivnosti obrade Agenciji za zaštitu osobnih podataka (dosadašnji Središnji registar evidencija o zbirkama osobnih podataka), već evidencije aktivnosti obrade vode kod sebe u pisanom obliku, uključujući elektronički oblik te su istu dužni dati na uvid na zahtjev nadzornog tijela (Agenciji za zaštitu osobnih podataka).
Dakle, iz svega navedenoga, može se zaključiti kako je evidencija aktivnosti obrade interni katalog informacija koji vodi voditelj obrade/izvršitelj obrade te koji pruža temeljne informacije o strukturiranim skupovima osobnih podataka/sustavima pohrane (dosadašnje zbirke osobnih podataka), odnosno radi se o internom katalogu informacija vezanih uz pojedine obrade osobnih podataka konkretnog voditelja obrade/izvršitelja obrade.
Bitno je naglasiti kako se ova obveza odnosi na situacije u kojima je vođenje navedene evidencije primjenjivo (što znači da treba uzeti u obzir uvjete i okolnosti određenog voditelja obrade/izvršitelja obrade vezano uz pojedine obrade osobnih podataka, postojanje eventualnih nesrazmjernih napora i drugih poteškoća i nemogućnosti u odnosu na vođenje navedene evidencije).
Međutim, ističemo kako je svakako preporuka i savjet ove Agencije da svaki voditelj obrade/izvršitelj obrade nastoji osigurati sve potrebne uvjete za vođenje navedene evidencije (imajući u vidu njene naprijed navedene karakteristike), odnosno činjenicu da se radi o informativnom katalogu informacija (kao korisnom alatu) koji služi voditelju obrade/izvršitelju obrade kao svojevrstan pregled/presjek svake pojedine obrade osobnih podataka kao i dokaz da je obrada osobnih podataka zakonita, tj. sukladna odredbama Opće uredbe o zaštiti podataka.