Pojedinci vas mogu pitati obrađujete li njihove podatke te imaju pravo na pristup tim podacima. Dakle, kada se to dogodi i ako obrađujete njihove podatke, trebali biste, na primjer, besplatno dostaviti kopiju njihovih osobnih podataka zajedno sa svim potrebnim dodatnim informacijama. Ako je zahtjev podnesen elektroničkim putem, vaša bi organizacija trebala dostaviti tražene informacije u uobičajenom elektroničkom obliku, osim ako pojedinac zatraži drukčije.

Više informacija:

• Poštovanje prava pojedinaca

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka

Ugovorom između voditelja obrade podataka i izvršitelja obrade mora se utvrditi da izvršitelj obrade:

• obrađuje osobne podatke samo prema uputama voditelja obrade, među ostalim u pogledu prijenosa osobnih podataka u zemlju izvan EGP-a;
• osigurava da su se osobe ovlaštene za obradu podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućoj zakonskoj obvezi povjerljivosti;
• osigurava sigurnost obrade;
• ne smije angažirati drugog izvršitelja obrade podataka bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade;
• pomaže voditelju obrade u ispunjavanju obveza voditelja obrade da odgovori na zahtjeve pojedinca za ostvarivanjem njihovih prava;
• pomaže voditelju obrade osigurati sigurnost obrade, obavješćivanje o povredama podataka i izvršavanju procjene učinka na zaštitu podataka;
• po izboru voditelja obrade, briše ili vraća sve osobne podatke voditelju obrade nakon završetka pružanja usluga;
• voditelju obrade podataka stavlja na raspolaganje sve potrebne informacije za dokazivanje usklađenosti s obvezama iz Opće uredbe o zaštiti podataka;
• omogućuje i doprinosi revizijama, uključujući inspekcije koje provodi voditelj obrade p ili drugi revizor kojeg je ovlastio voditelj obrade.

Osim toga, izvršitelj obrade odmah obavješćuje voditelja obrade ako, prema njegovu mišljenju, dane upute krše Opću uredbu o zaštiti podataka ili druge odredbe EU-a ili nacionalne odredbe o zaštiti podataka.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Općom uredbom o zaštiti podataka uspostavlja se usklađeni skup pravila koja se primjenjuju na sve obrade osobnih podataka od strane organizacija (javnih ili privatnih, bez obzira na njihovu veličinu) s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili usmjerenih na pojedince unutar tog prostora. Glavni je cilj Opće uredbe o zaštiti podataka osigurati da osobni podaci uživaju isti visoki standard zaštite svugdje u EGP-u, čime se povećava pravna sigurnost za pojedince i organizacije koje obrađuju podatke te pruža visok stupanj zaštite pojedinaca.

Uredba je stupila na snagu 24. svibnja 2016. i primjenjuje se od 25. svibnja 2018.

Pseudonimizacija se sastoji od transformacije osobnih podataka tako da se više ne mogu pripisati određenom pojedincu bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije čuvaju odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu. U praksi to može značiti zamjenu osobnih podataka (ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, šifra itd.). Pseudonimizirani podaci i dalje su osobni podaci i podliježu primjeni Opće uredbe o zaštiti podataka.

Anonimizirani podaci su podaci koji su anonimizirani na takav način da se pojedinac ne može ili više ne može identificirati na bilo koji način za koji je razumno vjerojatno da će se koristiti. Kada se anonimizacija pravilno provodi, Opća uredba o zaštiti podataka se više ne primjenjuje.

Više informacija:

• Zaštičeni osobni podaci

Neke vrste osobnih podataka pripadaju posebnim kategorijama osobnih podataka, što znači da zaslužuju veću zaštitu, tzv. osjetljivi podatke. Osjetljivi podaci uključuju podatke koji otkrivaju informacije o:

• zdravlju pojedinca;
• seksualnoj orijentaciji pojedinca;
• rasnom ili etničkom podrijetlu pojedinca;
• političkim mišljenja, vjerskim ili filozofskim uvjerenjima pojedinca; članstvu u sindikatu pojedinca;
• biometrijski podaci u svrhu jedinstvene identifikacije pojedinca i genetski podaci pojedinca.

Obrada takvih podataka pojedinca općenito je zabranjena, osim u posebnim okolnostima koje opravdavaju njihovu obradu.

Više informacija:

• Osnove zaštite podataka

Osobni podaci su sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno.

Primjeri osobnih podataka uključuju:

• ime i prezime;
• kućna adresu;
• e-adresu;
• broj osobne iskaznice;
• podaci o lokaciji;
• adresa internetskog protokola (IP);
• ID kolačića;
• bankovni računi;
• porezna izvješća;
• biometrijski podaci (kao što su otisci prstiju);
• broj socijalnog osiguranja;
• broj putovnice;
• rezultate ispitivanja;
• ocjene u školi;
• povijest pregledavanja;
• fotografija pojedinca;
• registracijski broj vozila itd.

Više informacija:

• Osnove zaštite podataka

Organizacije moraju, u slučaju izravnog prikupljanja osobnih podataka od pojedinaca, pružiti , lako dostupne informacije o postupcima obrade sažeto i transparentno, služeći se razumljivim, jasnim i jednostavnim jezikom. To se može učiniti u pisanom obliku (npr. na poleđini ponude) ili elektroničkim putem (npr. na web-mjestu). Ako ispitanik to zatraži, te informacije možete dostaviti i usmeno, ali to morate moći dokazati da ste doista pružili sve potrebne informacije o obradi.

Čak i kada su podaci prikupljeni indirektno, tj. ako osobne podatke ne prikupljate izravno od pojedinca, nego primjerice putem treće strane, morate pojedincima pružiti iste detaljne informacije.

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

• Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

• opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
• sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
• sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

• Budi usklađen