Zbirke osobnih podataka, koje su po zakonu tvrtke bile potrebne voditi, poprilično su složene, a nadzor nad provedbom propisa bila je slaba. Ne čudi da je zato ispravno evidentiranje rijetkost. Ipak, s 25. svibnjem stanje stvari postat će ozbiljnije: Opća uredba o zaštiti podataka dosljednije će se provoditi, pa vam savjetujemo da se upoznate s novim promjenama.
Evidencija aktivnosti obrade
Pojam vođenja evidencije u GDPR-u se obrađuje u čl. 30., i to prilično potanko, pa je ovo jedna od dijelova GDPR-a gdje uvelike nema nejasnoća. Možda se doima kao da se radi o prilično složenoj obavezi, međutim naša je procjena da će se sam postupak vođenja biti jednostavniji nego do sad.
Zapisi o obradi moraju biti vrlo detaljni. I voditelji i izvršitelji obrade (ako se razlikuju) dužni su voditi evidenciju o aktivnostima. Na zahtjev je potrebno nadležnom tijelu prikazati evidenciju, koja služi kao dokaz da je obrada zakonito izvršena.
Evidencija se može voditi u elektroničkom ili pisanom obliku. Trebali biste ih držati na centraliziranom mjestu, po mogućnosti u dobro strukturiranoj i zaštićenoj bazi podataka, umjesto u običnim Excelovim tablicama ako je ikako moguće.
Dobra je vijest da evidencije više nećete morati izravno dostavljati nadzornim tijelima; prema GDPR-u one se smatraju internim dokumentima koje tek na zahtjev dajete na uvid nadležnim institucijama.
Obavezan sadržaj evidencija
Sam oblik i izgled zapisa o obradi nije propisan, no zato sadržaj jest. Ne smijete izostaviti niti jedno od sljedećeg:
- Kontakt podatke osobe unutar tvrtke
- Detaljno objašnjenje svrha obrade
- Kategorije osobnih podataka koje se koriste
- Posebne kategorije osobnih podataka (osjetljivi podaci), ako ih ima – to uključuje zdravstvene podatke, vjersku i političku pripadnost i sl.
- Podatke o prijenosu podataka u treće zemlje
- Razdoblje zadržavanja podataka
- Pregled sigurnosnih i tehničkih mjera za zaštitu podataka
- Dodatne podatke, ako su potrebni (postojanje podataka maloljetnika i sl.)
- Popis svih kategorija primatelja tih podataka (tko ima uvid u podatke)
- Pravne osnova za obradu (preporučamo uvrstiti u evidenciju)
Podatke ne smijete koristiti ni za koju drugu svrhu osim one koju ste naveli tijekom pribavljanja privole (ako se njome služite). Svrhu obrade treba objasniti što je preciznije moguće. Što se primatelja podataka tiče, dovoljno je navesti kategoriju primatelja (računovodstvo, ime institucije i sl.), mada je idealno navesti ime i prezime primatelja ako je poznato i/ili moguće.
Jedan zapis može opisivati više aktivnosti obrade, dok god one dijele istu svrhu, no to bi vođenje moglo samo zakomplicirati unatoč smanjenju ukupnog broja zapisa. Odlučite sami!
Prijenosi u treće zemlje
Ako vršite prijenose osobnih podataka u treće zemlje, o tome morate obavijestiti ispitanike, a u evidenciji se moraju nalaziti detalji o primatelju podataka zajedno s mjerama sigurnosti koje ste poduzeli. Nemojte prenositi podatke izvan granica EU-a ako za to nemate dobar razlog ili jaku osnovu.
Razdoblje zadržavanja
Morate navesti koliko dugo planirate zadržati osobne podatke, no ne morate izričito navoditi datume. Možete se poslužiti i drugim parametrima poput „za vrijeme trajanja ugovora“, ili „dok god se vrši pružanje usluga“ i slično. Naravno, na zahtjev ispitanika svejedno u pravilu morate obrisati podatke.
Dodatni podaci
U evidencijama biste trebali opisati i koje ste administrativne i tehničke mjere za zaštitu podataka poduzeli. Možete navesti i dodatne informacije za koje smatrate da su bitne ili korisne, no upamtite da nadzorno tijelo ima pravo uvida u sve podatke iz evidencija; stoga pazite što upisujete.
Izvršitelji obrade u evidencijama ne moraju navoditi svrhe obrade i razdoblja zadržavanja podataka, jer to pripada domeni voditelja obrade, o čemu voditelj vodi brigu.
Izgled zapisa
Prema mišljenju Agencije za zaštitu podataka, na naš su upit odgovorili kako GDPR ne propisuje formalni izgled obrasca, te da je bitan isključivo sadržaj evidencije. Ipak, neka su nadzorna tijela u drugim zemljama dala naznake da planiraju razviti svoj sustav špranci kojima bi se tvrtke potom mogle koristiti. Time ćete se moći poslužiti i vi (uz eventualnu lokalizaciju).
Zapise uopće ne morate voditi u papirnatom obliku, dok god su vam uvijek pri ruci.
Iznimke za mala i srednja poduzeća
Zakonodavac je svjestan tereta koji toliko birokracije ima na ukupno poslovanje, a pogotovo na mala i srednja poduzeća (MSP-ove) koji ne mogu priuštiti zapošljavanje velikog broja administrativnih djelatnika. MSP-ima se smatraju poduzeća s manje od 250 zaposlenika. Takva poduzeća ne moraju voditi evidencije aktivnosti obrade, ali samo ako te aktivnosti nisu česte i ne vrše se na posebnim kategorijama osobnih podataka. U suprotnom, evidencije mora biti, ma kako povremena obrada bila. Evidenciju morate voditi i ako aktivnosti obrade predstavljaju visok rizik po prava i slobode ispitanika.
Pod povremenom obradom smatra se sporadična obrada podataka koja ne predstavlja glavni dio poslovanja tvrtke; takva je obrada nepredviđena i ne odvija se regularnim, periodičnim tokom. Ako ste svjesni da ćete podatke obrađivati svaka dva tjedna, to se više ne smatra povremenom obradom. Preporučujemo da evidenciju vodite kad god ste u mogućnosti, čak i ako GDPR-om to nije propisano.
Kad obrađujete podatke zaposlenika, dužni ste voditi evidenciju (i prema GDPR-u, i prema našim zakonima).
Kazne
Tvrtke koje nepropisno vode evidenciju čeka kazna u iznosu do 10 milijuna eura ili 2 % godišnjeg prometa na svjetskoj razini, štogod je veće, ovisno o težini prekršaja.
Puno je isplativije dovesti evidenciju u red nego plaćati kazne, a i sami zapisi pomažu vam utvrditi usklađenost s GDPR-om. Dobra praksa evidentiranja aktivnosti obrade olakšat će upravi donošenje odluka i omogućiti uvid u radne procese. U velikim tvrtkama to može polučiti značajne uštede ako se krene u postupke optimizacije poslovanja (Trebaju li nam zaista ti podaci? Zašto trošimo vrijeme i prostor za pohranu na njih? itd.). Već samo to je palac gore za vođenje evidencije.
Savjeti od strane stručnog DPO-a (službenika za zaštitu podataka) olakšat će vam prilagodbu novim propisima na jednostavan i brz način, te na duge staze smanjiti troškove vezane za papirologiju. Zaista se čini da je GDPR zapravo manje strog od postojećeg Zakona o zaštiti podataka u ovom pogledu. To samo potvrđuje činjenicu da, kad treba izmisliti nove papire i potvrde, na svijetu nema boljih za taj posao od Hrvata.
