Što su osobni podaci?

Osobni podaci su sve informacije koje se odnose na identificiranu osobu ili osobu koju je moguće identificirati.

Primjeri vrste informacija koje mogu omogućiti izravnu ili neizravnu identifikaciju pojedinca te se stoga mogu smatrati osobnim podacima:

  • ime, prezime, telefonski brojevi klijenata, dionika, zaposlenika, pružatelja usluga;
  • identifikacijski brojevi, kao što su broj klijenta pojedinca, broj zaposlenika pojedinca,
  • referencu rezervacije;
  • adrese e-pošte, podaci o lokaciji;
  • povijest pregledavanja pojedinca;
  • povijest kupnje i računi;
  • fotografije, videozapisi i audio zapisi koji sadrže slike ili zvukove pojedinaca.

S pomoću tih osobnih podataka pojedinac se može izravno ili neizravno identificirati:

  • ako vaša organizacija, na primjer, obrađuje ime ili prezime pojedinca, ti osobni podaci omogućuju izravnu identifikaciju tog pojedinca;
  • ako vaša organizacija, na primjer, obrađuje broj klijenta pojedinca ili referencu rezervacije, ti osobni podaci mogu omogućiti neizravnu identifikaciju tog pojedinca.
  • Sve vrste informacija koje se obrađuju u odnosu na pojedinca koji je izravno ili neizravno identificiran (tj. preferencije, navike) također će se smatrati osobnim podacima.

Posebne kategorije osobnih podataka

Neke vrste osobnih podataka, koji se obično nazivaju osjetljivim podacima, pripadaju posebnim kategorijama koje zaslužuju veću zaštitu. U skladu s člankom 9. Opće uredbe o zaštiti podataka osjetljivi podaci uključuju podatke koji otkrivaju informacije o:

  • zdravlje pojedinca;
  • spolni život ili seksualnu orijentaciju pojedinca;
  • rasnog ili etničkog podrijetla pojedinca;
  • politička mišljenja, vjerska ili filozofska uvjerenja pojedinca;
  • biometrijske i genetske podatke pojedinca;
  • članstvo u sindikatu.

Obrada osjetljivih podataka pojedinca općenito je zabranjena, osim u posebnim okolnostima koje opravdavaju njihovu obradu (kao što je izričita privola).

Za više pojedinosti o okolnostima u kojima se osjetljivi podaci mogu obrađivati provjerite Zakonita obrada osobnih podataka

 

Osobni podaci koji se odnose na kaznene osude i kaznena djela

Obrada osobnih podataka povezanih s kaznenim osudama i kaznenim djelima podliježe strogim pravnim uvjetima. Te osobne podatke može obrađivati samo službeno tijelo, kao što je policija, mogu se obrađivati pod nadzorom službenog tijela ili ako je to dopušteno domaćim pravom.

Popis dobre prakse Opće uredbe o zaštiti podataka

  • Zapitajte se je li opravdana svrha u koju se osobni podaci mogu prikupljati.
  • Prikupljajte samo osobne podatke koji su potrebni za određenu i predviđenu
  • svrhu(-e). 
  • Informirajte pojedince o tome kako i u koje svrhe se njihovi osobni podaci mogu obrađivati.
  • Provjerite imate li odgovarajuću pravnu osnovu za obradu osobnih podataka. U slučaju da se namjeravate osloniti na privolu pojedinaca, zatražite njihovu privolu prije obrade njihovih osobnih podataka.
  • Pobrinite se da se s osobnim podacima pojedinaca postupa na siguran način.
  • Održavati osobne podatke pojedinaca točnim i ažurnim.
  • Brisanje osobnih podataka pojedinaca kada to više nije potrebno. Imajte na umu da vas nacionalno zakonodavstvo može obvezati na čuvanje određenih podataka (npr. porezni zakoni).

Što znači obrada osobnih podataka?

Obrada osobnih podataka pojedinaca uključuje bilo koju vrstu aktivnosti (postupak obrade) koja se obavlja automatiziranim i neautomatiziranim putem nad  osobnim podacima pojedinaca.

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje osobnih podataka pojedinaca.

Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. Posložene po abecednom redu  u uredskom ormariću. 

Primjenjuje li se GDPR na vašu organizaciju?

GDPR se može primjenjivati na sve privatne i javne organizacije ako:

  • predmetna organizacija ima poslovni nastan u EU-u ili Europskom gospodarskom prostoru (EGP – države članice EU-a + Island, Lihtenštajn i Norveška); ili
  • organizacija nema poslovni nastan u EGP-u, ali nudi  proizvodi ili usluge nude pojedincima koji se nalaze u EGP-u ili organizacija prati ponašanje pojedinaca koji se nalaze u EGP-u.

GDPR se na isti način primjenjuje i na svakog podugovaratelja koji može obrađivati osobne podatke pojedinaca u ime privatne ili javne organizacije.

U praksi se GDPR primjenjuje na vas ako se primjenjuje jedan od sljedećih uvjeta:

  • Vi ste društvo sa sjedištem u državi EGP-a;
  • Vi ste organizacija sa sjedištem u zemlji izvan EGP-a koja prodaje robu ili nudi usluge, čak i besplatno, usmjerena na pojedince u zemlji EGP-a;
  • Ako ste IT poduzeće sa sjedištem u zemlji izvan EGP-a koje je podugovorila privatna organizacija sa sjedištem u EGP-u za upravljanje njihovim bazama podataka IT-a, kao što je baza podataka klijenata;
  • Vi ste pružatelj usluga sa sjedištem u EGP-u i obrađujete osobne podatke u ime druge tvrtke.

Ključna načela Opće uredbe o zaštiti podataka

Pri obradi osobnih podataka pojedinaca vaša organizacija mora poštovati sljedećih 6 ključnih načela Opće uredbe o zaštiti podataka. Osim toga, vaša organizacija mora moći dokazati svoju usklađenost s tim načelima.

 

Zakonitost, pravednost i transparentnost

 

Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna.

Vaša organizacija može obrađivati osobne podatke pojedinca samo ako je predviđeni postupak obrade zakonit, odnosno ako je zadovoljen jedan od sljedećih uvjeta; obrada se temelji na privoli pojedinca, obrada je potrebna za izvršenje ugovora ili se obrada oslanja na neku od drugih pravnih osnova za obradu podataka navedenih u članku 6. Opće uredbe o zaštiti podataka.

Ako se obrada temelji na privoli, vaša organizacija mora osigurati da je ta privola dobrovoljno dana, informirana, konkretna i nedvosmislena. Drugim riječima, ne smije biti sumnje da su pojedinci svjesni  na što pristaju, u koje se svrhe obrada provodi i da je ta privola dana aktivno prije početka obrade. Nadalje, pojedinci bi trebali moći slobodno povući svoju privolu. Ako shvatite da će obrada njihovih podataka ipak biti potrebna (tj. u kontekstu ugovora), to znači da privola nije odgovarajuća pravna osnova.

Ograničenje svrhe

Vaša organizacija može prikupljati osobne podatke samo u određene, izričite i zakonite svrhe. Obrada podataka pojedinca mora biti strogo ograničena na prvotno utvrđene svrhe i stoga se ne smije obrađivati u dodatne ili druge svrhe koje nisu u skladu s prvotnim svrhama.

 

Smanjenje količine podataka

Vaša organizacija može obrađivati samo osobne podatke koji su nužni i razmjerni s obzirom na predviđenu svrhu.

 

Točnost

Osobni podaci pojedinaca koje vaša organizacija obrađuje moraju biti točni i ažurirani. Netočni osobni podaci moraju se ispraviti ili izbrisati.

 

Ograničenje skladištenja

Pohrana osobnih podataka pojedinaca mora biti vremenski ograničena s obzirom na svrhu u koju su ti podaci prikupljeni i obrađeni. Stoga se osobni podaci pojedinaca moraju izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni. U praksi to znači da bi vaša organizacija trebala imati uspostavljenu internu politiku u pogledu razdoblja čuvanja podataka prema različitim svrhama, kao i postupak za brisanje podataka.

 

Sigurnost

Obrada podataka pojedinaca mora se provoditi na siguran način. U tom smislu moraju se uspostaviti snažne zaštitne mjere za zaštitu podataka, kao što su odgovarajuće mjere kibernetičke sigurnosti , kako bi se osigurala odgovarajuća zaštita podataka pojedinaca. Te mjere moraju spriječiti slučajno, neovlašteno ili nezakonito otkrivanje, gubitak, uništenje ili oštećenje osobnih podataka pojedinaca.