Osobni podaci su sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno.

Primjeri osobnih podataka uključuju:

• ime i prezime;
• kućna adresu;
• e-adresu;
• broj osobne iskaznice;
• podaci o lokaciji;
• adresa internetskog protokola (IP);
• ID kolačića;
• bankovni računi;
• porezna izvješća;
• biometrijski podaci (kao što su otisci prstiju);
• broj socijalnog osiguranja;
• broj putovnice;
• rezultate ispitivanja;
• ocjene u školi;
• povijest pregledavanja;
• fotografija pojedinca;
• registracijski broj vozila itd.

Više informacija:

• Osnove zaštite podataka

Organizacije moraju, u slučaju izravnog prikupljanja osobnih podataka od pojedinaca, pružiti , lako dostupne informacije o postupcima obrade sažeto i transparentno, služeći se razumljivim, jasnim i jednostavnim jezikom. To se može učiniti u pisanom obliku (npr. na poleđini ponude) ili elektroničkim putem (npr. na web-mjestu). Ako ispitanik to zatraži, te informacije možete dostaviti i usmeno, ali to morate moći dokazati da ste doista pružili sve potrebne informacije o obradi.

Čak i kada su podaci prikupljeni indirektno, tj. ako osobne podatke ne prikupljate izravno od pojedinca, nego primjerice putem treće strane, morate pojedincima pružiti iste detaljne informacije.

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

• Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

• opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
• sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
• sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

• Budi usklađen

Opća uredba o zaštiti podataka daje pojedincima kontrolu nad obradom njihovih osobnih podataka. Da bi se to postiglo, transparentnost je ključna. To znači da morate obavijestiti pojedince čije podatke obrađujete o svojim postupcima obrade i svrhama obrade. Drugim riječima, morate objasniti tko obrađuje njihove podatke, ali i kako i zašto. Samo ako je upotreba osobnih podataka „transparentna” za uključene osobe, iste mogu procijeniti moguće rizike i donositi odluke o svojim osobnim podacima.

Prema Općoj uredbi o zaštiti podataka dužni ste podijeliti sljedeće informacije s pojedincima:

• identitet i kontaktne podatke voditelja obrade;
• svrhe obrade;
• pravnu osnovu obrade (ako je legitiman interes, konkretne informacije o tome koji se legitimni interesi odnose na određenu obradu)
• podatke za kontakt voditelja obrade;
• podatke za kontakt službenika za zaštitu podataka (ako je službenik za zaštitu podataka imenovan);
• primateljima ili kategorijama primatelja podataka;
• Informacije o tome hoće li se podaci prenijeti izvan Europskog gospodarskog prostora (EGP) (ako je primjenjivo: postojanje ili nepostojanje odluke o primjerenosti ili upućivanja na odgovarajuće zaštitne mjere i način na koji se te informacije mogu staviti na raspolaganje ispitanicima);
• kategorije obrađenih osobnih podataka, ako podaci nisu dobiveni od pojedinca.

Osim toga, Opća uredba o zaštiti podataka zahtjeva od vaše organizacije da pruži sljedeće informacije kako bi se osigurala poštena i transparentna obrada:

• razdoblje pohrane ili, ako to nije moguće, kriterije korištene za određivanje tog razdoblja;
• pravo na pristup osobnim podacima, brisanje ili, ispravak osobnih podataka , ograničenje obrade, pružanje mogućnosti prigovora obradi te prenosivost osobnih podataka;
• pravo na podnošenje pritužbe tijelu za zaštitu podataka;
• ako je pravna osnova za obradu privola: pravo na povlačenje privole u bilo kojem trenutku;
• u slučaju automatiziranog donošenja odluka, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika;
• izvor osobnih podataka (ako ih niste izravno primili od dotičnog pojedinca;
• je li pojedinac dužan dati osobne podatke (prema zakonu ili ugovoru ili sklopiti ugovor) i koje su posljedice odbijanja pružanja podataka.

Više informacija:

• Poštujte prava pojedinaca

Obrada osobnih podataka znači svaka vrsta aktivnosti (postupak obrade) koja se obavlja na osobnim podacima pojedinaca ili s njima. To uključuje prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu ili izmjenu, pronalaženje, ispitivanje, uporabu, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje osobnih podataka.

Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i sredstva aktivnosti obrade. Nespojive funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.

Službenik za zaštitu podataka mora moći obavljati svoje zadaće i zadaće na neovisan način. To znači da vaša organizacija:

• ne smije davati upute službeniku za zaštitu podataka u pogledu izvršavanja njegovih dužnosti;
• ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja njegovih zadaća.

Više informacija:

• Službenik za zaštitu podataka

Važeći ugovor između voditelja obrade i izvršitelja obrade podataka obvezan je prema Općoj uredbi o zaštiti podataka. Za povredu odredbi članka 28. Opće uredbe o zaštiti podataka se može izreći upravna novčana kazna u iznosu do 10 milijuna EUR ili do 2 % ukupnog godišnjeg prometa društva, ovisno o tome koji je iznos veći.

Dansko i slovensko nadzorno tijelo za zaštitu podataka te Europska komisija izradile su predloške ugovora kako bi vam pomogle pri sklapanju ugovora između voditelja obrade i izvršitelja obrade.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Zadaća službenika za zaštitu podataka uključuje, među ostalim:

• informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o  zaštiti podataka;
• praćenje usklađenosti s propisima o zaštiti podataka;
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
• djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
• djelovanje kao kontaktna točka za pojedince.

Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

Više informacija:

• Službenik za zaštitu podataka

Usklađenost s Općom uredbom o zaštiti podataka nadziru nacionalna tijela za zaštitu podataka. Nadzorno tijelo može provoditi istrage i prema potrebi izricati sankcije. Tijela za zaštitu podataka imaju na raspolaganju niz alata, uključujući upravno novčane kazne do 20 milijuna EUR ili 4 % godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće, opomene te privremene ili trajne zabrane obrade.

Kontakt podatke za sva tijela za zaštitu podataka unutar EGP-a možete pronaći na internetskim stranicama Europskog odbora za zaštitu podataka: Članovi

Više informacija:

• Tijelo za zaštitu podataka i vi