Organizacija ne samo da mora obrađivati osobne podatke u skladu s Općom uredbom o zaštiti podataka, već i mora moći dokazati svoju usklađenost. To uključuje provedbu integrirane zaštite podataka, vođenje evidencije o aktivnostima obrade i, u određenim okolnostima, provedbu procjene učinka na zaštitu podataka.
Tehnička i integrirana zaštita podataka
Kao voditelj obrade podataka, pri osmišljavanju postupka obrade i u trenutku obrade, morate provesti odgovarajuće zaštitne mjere kako bi se osiguralo poštovanje načela zaštite podataka. Također morate osigurati da se automatski obrađuju samo osobni podaci koji su potrebni za svaku određenu svrhu (to se odnosi na količinu podataka, opseg obrade, ograničenje pohrane i njihovu dostupnost).
Drugim riječima, organizacija koja primjenjuje tehničkui integriranu zaštitu podataka je organizacija koja razmatra i ugrađuje zaštitu podataka i privatnost pojedinaca u svaki aspekt i u svakoj fazi svojih postupaka obrade, u korištene alate ili u bilo koju drugu poslovnu aktivnost.
Kako bi to učinila, prije pokretanja bilo kakvih postupaka obrade vaša organizacija mora uzeti u obzir:
- prirodu, kontekst i opseg predviđenog postupka obrade;
- rizike koji mogu proizaći iz predviđenih postupaka obrade ili bilo kojih drugih poslovnih aktivnosti koje mogu utjecati na osobne podatke pojedinaca;
- tehničke i organizacijske mjere koje bi trebalo uvesti kako bi se ublažili utvrđeni rizici i pritom osigurala odgovarajuća zaštita osobnih podataka pojedinaca;
- tehničke i organizacijske mjere ili postupke koje treba uspostaviti kako bi se osiguralo da je obrada osobnih podataka (uključujući posebno prikupljanje, pohranu i opću upotrebu podataka pojedinaca) ograničena na ono što je nužno s obzirom na ciljeve koji se žele postići.
U praksi
- Knjižara želi povećati svoje prihode prodajom knjiga na internetu. Vlasnik knjižare želi postaviti standardizirani obrazac za postupak naručivanja. U prvom redu, Obrazac je takav da su sva poljaobavezna, uključujući datum rođenja kupca, telefonski broj i kućnu adresu. Međutim, nisu sva polja u obrascu potrebna za prodaju i isporuku knjiga.
Na primjer, prilikom naručivanja e-knjige kupac može preuzeti proizvod izravno na svoj uređaj. Kao takva, ne mogu se zahtijevati polja u web obrascu za naručivanje knjiga. Vlasnik web trgovine stoga odlučuje izraditi dva web obrasca: jedan za naručivanje knjiga, s poljem za adresu kupca i jednim web obrascem za naručivanje e-knjiga bez polja za adresu kupca. Pritom vlasnik osigurava da se prikupljaju samo podaci potrebni za obradu. - Zdravstvena ustanovakoja zapošljava nekoliko liječnika prikuplja podatke o svojim pacijentima u svojem organizacijskom informacijskom sustavu. Različiti liječnici možda će morati pristupiti kartonima pacijenata, na primjer kada mijenjaju drugog liječnika koji je odsutan, kako bi se informirali o svojim odlukama o skrbi i liječenju pacijenata te za dokumentaciju o svim poduzetim dijagnostičkim, brizi i terapijskim mjerama. Pristup se automatski odobrava samo onim liječnicima koji su zaduženi za liječenje dotičnog pacijenta.
Korisno je voditi evidenciju o tim procjenama i mjerama kako biste mogli dokazati da poštujete načela tehničke i integrirane zaštite podataka. Odobreni mehanizam certificiranja može se upotrebljavati i kao element za dokazivanje sukladnosti s tehničkom i integriranom zaštitom podataka.
Obveza vođenja evidencije o obradi podataka
Kao organizacija dužni ste voditi evidenciju o svojim aktivnostima obrade podataka. Ta bi se evidencija trebala čuvati u pisanom obliku, uključujući u elektroničkom obliku.
Ovaj zapis daje vam pregled vaših aktivnosti obrade. Kako biste izradili takav zapis, trebali biste utvrditi koje od vaših aktivnosti zahtijevaju obradu osobnih podataka (primjeri uključuju zapošljavanje, upravljanje plaćama, osposobljavanje, karticama kojima se evidentira odlazak i dolaza s posla, upravljanje upravljanje pristupom, popis potencijalnih klijenata itd.). Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:
- svrhu obrade (npr. lojalnost klijenata);
- kategorije obrađenih podataka (npr. za obračun plaća: ime, ime, datum rođenja, plaću itd.);
- tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, IT usluge, rukovodstvo, pružatelje usluga, partnere...);
- ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP);
- ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja);
- ako je moguće, opći opis sigurnosnih mjera.
Za evidenciju aktivnosti obrade odgovoran je upravitelj vaše organizacije. Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.
Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti aktivnosti koje su isključivo povremene (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).
Pročitaj više
Radna skupina iz članka 29.: dokument o stajalištu o odstupanjima od obveze vođenja evidencije o aktivnostima obrade (koju je potvrdio Europski odbor za zaštitu podataka)
Vijesti Europske komisije
Kako provesti procjenu učinka na zaštitu podataka (DPIA)?
Što je DPIA?
Ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade mora provesti procjenu učinka na zaštitu podataka. Procjena učinka na zaštitu podataka pisana je procjena planiranog postupka obrade. Pomaže vam da utvrdite odgovarajuće zaštitne mjere za ublažavanje rizika i dokazivanje usklađenosti.
Kada napraviti DPIA?
Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti takvu procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.
Konkretno, to je slučaj kada predviđena obrada uključuje:
- opsežnu obradu osjetljivih osobnih podataka i podataka povezanih s kaznenim osudama;
- sustavnu i opsežnu procjenu osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način znatno utječu na pojedince;
- sustavno praćenje javno dostupnog područja u velikim razmjerima.
U većini slučajeva postupci obrade koji ispunjavaju dva od sljedećih kriterija trebali bi se ocijeniti procjenom učinka na zaštitu podataka:
- evaluacija ili ocjenjivanje;
- automatizirano donošenje odluka s pravnim ili sličnim značajnim učinkom;
- sustavno praćenje;
- osjetljivi podaci ili podaci vrlo osobne prirode;
- podaci koji se obrađuju u velikim razmjerima:
- usklađivanje ili kombiniranje skupova podataka;
- podatke o ranjivim ispitanicima;
- inovativna uporaba ili primjena novih tehnoloških ili organizacijskih rješenja;
- kada obrada sama po sebi sprečava pojedince u ostvarivanju prava ili korištenju usluge ili ugovora.
Trebam li provesti procjenu učinka na zaštitu podataka?
Odgovorite na pitanja putem našeg interaktivnog dijagrama kako biste saznali!
Je li vjerojatno da će obrada prouzročiti visoke rizike?
Primjenjuju li se iznimke?
Primjeri u kojima procjena učinka na zaštitu podataka možda nije potrebna:
- predviđeni postupak obrade vrlo je sličan obradi koja je bila predmet procjene učinka na zaštitu podataka;
- vrsta obrade nalazi se na popisu izuzeća koji je možda donijelo vaše tijelo za zaštitu podataka;
- postupak obrade odobren je na temelju prava EU-a ili nacionalnog prava.
Trebam li provesti procjenu učinka na zaštitu podataka?
Da, morate provesti procjenu učinka na zaštitu podataka
Jesu li nakon procjene učinka na zaštitu podataka i dalje prisutni visoki rizici?
Trebam li provesti procjenu učinka na zaštitu podataka?
Procjena učinka na zaštitu podataka nije potrebna
Posavjetujte se sa svojim tijelom za zaštitu podataka
Nema potrebe za savjetovanjem s tijelom za zaštitu podataka
KljučniDPIA savjet
Trebali biste se obratiti tijelu za zaštitu podataka zemlje EGP-a u kojoj vaša organizacija ima sjedište kako biste saznali ima li javno dostupan dokument u kojem se navode uvjeti za koje će za postupke obrade biti potrebna procjena učinka na zaštitu podataka i za koji postupak obrade neće biti potrebna procjena učinka na zaštitu podataka.
Primjeri kada se može zahtijevati procjena učinka na zaštitu podataka:
- obrada biometrijskih podataka, na primjer skeniranje otisaka prstiju ili obilježja lica radi identifikacije pacijenata;
- korištenje podataka ranjivih pojedinaca u marketinške svrhe, na primjer za predviđanje njihove kupnje;
- mobilna aplikacija za praćenje lokacije pojedinca.
Primjeri kada procjena učinka na zaštitu podataka možda neće biti potrebna
- predviđeni postupak obrade vrlo je sličan obradi koja je bila predmet procjene učinka na zaštitu podataka;
- obrada je uključena u neobvezni popis postupaka obrade (koje je utvrdilo vaše nacionalno tijelo za zaštitu podataka) koji ne podliježu procjeni učinka na zaštitu podataka;
- postupak obrade dopušten je u skladu s pravom EU-a ili nacionalnim pravom.
Što uključiti u DPIA?
Procjena učinka na zaštitu podataka trebala bi uključivati:
- opis planiranog postupka obrade i njegove svrhe;
- procjenu nužnosti i proporcionalnosti;
- rizike koje postupak obrade može prouzročiti;
- mjere za uklanjanje rizika.
Prethodno savjetovanje tijekom procjene učinka na zaštitu podataka
Kad voditelj obrade podataka ne može pronaći dostatne mjere za smanjenje rizika na prihvatljivu razinu (tj. preostali su rizici i dalje visoki), potrebno je savjetovanje s tijelom za zaštitu podataka. U tom slučaju voditelj obrade podataka mora pružiti sljedeće informacije:
- odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu;
- svrhu postupka obrade i način na koji će se postupak obrade provoditi;
- mjere predviđene za zaštitu osobnih podataka pojedinaca;
- podatke za kontakt službenika za zaštitu podataka vaše organizacije, ako je primjenjivo;
- DPIA u pitanju.
Nakon provedene procjene učinka na zaštitu podataka – testirajte poboljšajte, provjerite!
Nakon izrade procjene učinka na zaštitu podataka morate procjenu testirati; poboljšati procjenu ako je potrebno; provesti postupak obrade; ponovno procijeniti podudara li se procjena učinka na zaštitu podataka s postupkom obrade; i napraviti kontrolnu provjeru.
Pročitaj više
Radnu skupinu iz članka 29.: Smjernice o procjeni učinka na zaštitu podataka (DPIA)
Vijesti Europske komisije
Nacionalni popisi vrsta postupaka obrade podataka za koje je potrebna ili ne zahtijeva procjena učinka na zaštitu podataka
Povjerenstvo za zaštitu podataka, irsko nadzorno tijelo
Kodeksi ponašanja
Ovisno o tome gdje se vaša organizacija nalazi u EGP-u, mogu postojati udruženja ili druga tijela koja predstavljaju voditelje obrade ili izvršitelje obrade podataka. Ta udruženja i tijela mogu pripremiti kodekse ponašanja, uključujući mehanizme za zaštitu podataka, kojih se voditelji obrade i izvršitelji obrade mogu pridržavati kako bi pomogli osigurati da se osobni podaci pojedinaca poštuju u skladu s Općom uredbom o zaštiti podataka.
Konkretnije, tim se kodeksima ponašanja nastoji osigurati, na primjer:
- da se osobni podaci obrađuju na pravedan i transparentan način;
- da su svrhe u koje se obrađuju osobni podaci pojedinaca zakonite;
- kako pseudonimizirati osobne podatke;
- da se transparentne informacije daju pojedincima čiji se osobni podaci obrađuju;
- da se na odgovarajući način traži privola za obradu podataka pojedinaca, posebno osobnih podataka povezanih s djecom;
- da su uspostavljene sve tehničke i organizacijske mjere kako bi se osigurala sigurna obrada podataka pojedinaca;
- da se poštuju postupci za obavješćivanje o povredama osobnih podataka;
- da se poštuju postupci, uključujući zaštitne mjere, povezani s prijenosom osobnih podataka u zemlje i organizacije izvan EGP-a;
- da se poštuju postupci povezani sa sudskim postupcima i rješavanjem sporova.
Ključansavjet
- Trebali biste stupiti u kontakt s relevantnom udrugom ili tijelom koje priprema GDPR kodekse ponašanja jer vam oni mogu pomoći u vašoj usklađenosti s GDPR-om.
Certifikacija
Što je GDPR certifikacija?
Organizacija koja dobije GDPR certifikat može koristiti ovu certifikaciju kako bi dokazala usklađenost svojih postupaka obrade s Općom uredbom o zaštiti podataka.
Tijela EGP-a za zaštitu podataka mogu, na primjer:
- izdaje certifikate Opće uredbe o zaštiti podataka u pogledu vlastitog programa certificiranja;
- sam izdaje certifikate iz Opće uredbe o zaštiti podataka u pogledu vlastitog programa certificiranja, ali delegira cijeli ili dio postupka procjene trećim stranama;
- izraditi vlastiti program certificiranja i povjeriti određenim tijelima izdavanje tih certifikata;
- poticati tržište na razvoj mehanizama certificiranja;
- ocijeniti programe certificiranja certifikacijskih tijela.
Certifikacijsko tijelo zaduženo je za izdavanje, preispitivanje i povlačenje certifikata na temelju mehanizma certificiranja i odobrenih kriterija.
Certifikacijska tijela moraju dokumentirati svoju procjenu postupaka obrade vaše organizacije za koje se može izdati GDPR certifikat.
Moja organizacija je dobila GDPR certifikat, što je sljedeće?
GDPR certifikacija postupka obrade koji provodi vaša organizacija vrijedi najviše 3 godine, ali se može obnoviti ili opozvati. Kako bi zadržala tu certifikaciju, vaša organizacija mora kontinuirano i dosljedno provoditi mjere koje se odnose na postupak zaštite podataka koji je certificiran.