Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

• svrha obrade (npr. lojalnost klijenata);
• kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
• tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
• ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
• ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
• ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

• Budi usklađen