Vođenje evidencije ne bi trebalo predstavljati ništa novo tvrtkama koje su svjesne problematike privatnosti, ali GDPR isto propisuje za većinu tvrtki i organizacija. Možda vam sve to djeluje kao nebitna papirologija, ali vođenje evidencije može vam pružiti bolji uvid u poslovne aktivnosti i način na koji koristite podatke, uz, naravno, ispunjavanje zakonske obaveze.
Za više informacija o obavezi vođenja evidencije, pročitajte naš vodič koji se detaljnije obrađuje tematiku vođenja evidencije. Slijedi kraći pregled najvažnijih obaveza na koje trebate pripaziti.
1. Svi je moraju voditi
Obaveza vođenja evidencije sada obuhvaća i voditelje i izvršitelje obrade. Dakle, i voditelj i vanjske tvrtke zadužene za obradu podataka moraju svatko za sebe voditi evidenciju.
S druge strane, belgijsko nadzorno tijelo drži da je dovoljno da samo jedno od njih vodi evidenciju dok god je brzo može pribaviti i dati na uvid nadzornom tijelu kad se to od njih zatraži. No to je jedno veliko ‘možda’ i svim tvrtkama savjetujemo da ništa ne prepuštaju slučaju i uvijek vode evidenciju o vlastitim aktivnostima obrade. Evidencije su najvažnija metoda dokazivanja usklađenosti i bilo bi u vrlo kratkovidno u tom se pogledu oslanjati na nekoga drugoga.
2. Elektronički ili pisani oblik
Evidenciju o obradi podataka možete voditi u elektroničkom ili pisanom obliku. Vjerujemo da će se većina odlučiti za elektroničku pohranu. Preporučujemo vam da napravite centraliziranu bazu zapisa umjesto jednostavnih Excel tablica. To u početku iziskuje određena ulaganja i prilagodbe, ali u budućnosti će se isplatiti jer će zapise biti lakše organizirati i unositi.
Evidencija će također biti sigurnija, lako pretraživa i prilično brza, a smanjuje se rizik od slučajnog brisanja podataka. Naravno, morate uvesti dobre mjere autorizacije i kontrole pristupa; ne smijete dozvoliti bilo kome da uređuje zapise unutar baze.
3. Osnovni sadržaj
Sama forma evidencije obrade podatka nije propisana (premda će nadzorna tijela dati svoje preporuke), ali zato sadržaj jest. U kojem god obliku ih vodili, zapisi moraju sadržavati barem sljedeće stavke:
- Kontakt podatke osobe unutar tvrtke
- Detaljno objašnjenu svrhu obrade
- Kategorije osobnih podataka koje se koriste
- Posebne kategorije podataka (osjetljivi podaci), ako ih ima
- Podatke o prijenosu podataka u treće zemlje
- Postojanje podataka koji pripadaju maloljetnicima
- Popis kategorija primatelja podataka
- Razdoblje zadržavanja podataka
- Pregled sigurnosnih i tehničkih mjera za zaštitu podataka
- Dodatne podatke, ako su potrebni
Iako nije obavezno, preporučujemo da svakako u zapise uvedete i podatke o pravnoj osnovi za obradu kako ne bi došlo do gubitka tog ključnog podatka.
4. Izuzeća za male i srednje poduzetnike
Malim i srednjim poduzetnicima olakšano je vođenje evidencije. Radi o poslu koji iziskuje dosta fiksnih administrativnih troškova, pa bi to moglo nesrazmjerno utjecati na male tvrtke. Zakonodavci su stoga u zakon unijeli mogućnost izuzeća od vođenja evidencije ako tvrtka zadovolji svaki od ovih uvjeta:
Obrada podatka, mora biti povremena, ne smije biti glavna poslovna aktivnost tvrtke i ne smije obuhvaćati posebne kategorije podataka. Dakle, evidenciju o obradi morate voditi ako obrađujete puno podataka, ako bi takva obrada bila rizična za prava ispitanika ili zaposlenika ili ako obrađujete osjetljive podatke.
Obrada podataka zaposlenika, kao recimo podaci o kvaliteti odrađenog posla ili bolovanjima, smatraju se zaštićenima i o njima se mora voditi evidencija. Imajte to na umu tijekom obrade podataka, jer ova izuzeća nipošto ne predstavljaju dozvolu da radite što želite.
Unatoč olakšicama za mala i srednja poduzeća (do 250 zaposlenika), svejedno vam preporučujemo da vodite evidenciju o obradi i zbirke podataka budući se radi o odličnom dokazu usklađenosti s GDPR-om.
5. Jedan zapis za svaku svrhu
Nije potrebno stvarati nove zapise za svaku aktivnost obrade, dok god se aktivnosti provode u istu svrhu.
Jednostavnim rječnikom, aktivnosti obrate možete grupirati i opisati jednim zapisom ako se obrađuju u istu svrhu. Time možete smanjiti količinu zapisa koje morate stvarati, no pripazite jer vam takav način grupiranja ne mora uvijek olakšati vođenje evidencije. Definitivno nećete pogriješiti ako za svaku aktivnost stvorite zaseban zapis.
Svjesni smo da bi ovi propisi mogli stvarati probleme, a osobito manjim tvrtkama kojima je često teško utvrditi u kojoj su mjeri njihove evidencije u skladu s GDPR-om. Nažalost, mogle bi to saznati na skuplji način ako im to nadzorna tijela odluče pokazati kaznama.
Dobar službenik za zaštitu podataka ključan je za normalno funkcioniranje tvrtke u polju obrade podataka, a to uključuje i vođenje evidencije. Velike tvrtke će svakako morati zaposliti nove službenike, dok će manjim tvrtkama biti dovoljan službenik kao vanjski suradnik, čime smanjuju troškove. Vrlo je lako pogriješiti, no uz savjete stručnjaka put ka usklađenosti bit će kratak i jednostavan.
