Osobni podaci su sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno.

Primjeri osobnih podataka uključuju:

• ime i prezime;
• kućna adresu;
• e-adresu;
• broj osobne iskaznice;
• podaci o lokaciji;
• adresa internetskog protokola (IP);
• ID kolačića;
• bankovni računi;
• porezna izvješća;
• biometrijski podaci (kao što su otisci prstiju);
• broj socijalnog osiguranja;
• broj putovnice;
• rezultate ispitivanja;
• ocjene u školi;
• povijest pregledavanja;
• fotografija pojedinca;
• registracijski broj vozila itd.

Više informacija:

• Osnove zaštite podataka

U Općoj uredbi o zaštiti podataka razlikuju se dvije glavne uloge: one voditelja obrade i izvršitelja obrade. Ta je razlika ključna jer voditelj obrade podataka snosi veću odgovornost i mora ispunjavati više obveza od izvršitelja obrade.

Voditelji obrade i izvršitelji obrade mogu biti fizičke ili pravne osobe, na primjer: malo i srednje poduzeće, javno tijelo, poduzeće, organizacija, državno tijelo, udruga itd.

Voditelj obrade određuje svrhe i sredstva postupka obrade. Drugim riječima, voditelj obrade odlučuje kako i zašto provoditi obradu. Budući da izvršitelji obrade obrađuju osobne podatke u ime voditelja obrade, obrada koju provode izvršitelji obrade mora biti uređena ugovorom s voditeljem obrade ili drugim pravnim aktom.

Primjeri voditelja obrade podataka:

• društva koja obrađuju osobne podatke svojih klijenata kako bi dovršila prodaju;
• financijske institucije koje obrađuju osobne podatke svojih klijenata;
• udruge koje obrađuju podatke svojih članova;
• škole ili sveučilišta koja obrađuju osobne podatke studenata i nastavnika;
• bolnice koje obrađuju osobne podatke svojih pacijenata;
• vladine agencije koje obrađuju osobne podatke građana.

Primjeri izvršitelja obrade podataka:

• malo i srednje poduzeće angažira knjigovodstveni servis za vođenje svojih knjiga i evidencije, malo i srednje poduzeće je voditelj obrade, a knjigovodstveni servis izvršitelj obračun;
• knjigovodstveni servis radiobračun plaća te obrađuje osobne podatke za mala i srednja poduzeća. Knjigovodstveni servisdjelovat će kao izvršitelj obrade ako obrađuje osobne podatke isključivo u ime malih i srednjih poduzeća. Malo i srednje poduzeće određuje svrhe i sredstva obrade podataka te je stoga voditelj obrade.
• Mala i srednja poduzeća naručuju usluge marketinškog društva za prikupljanje adresa e-pošte putem internetskih stranica trećih strana.  Marketinško društvo to čini u skladu s izričitim uputama malog i srednjeg poduzeća i isključivo za potrebe malog i srednjeg poduzeća. Marketinško društvo djeluje kao izvršitelj obrade za navedenu radnju.

Više informacija:

• Voditelj obrade ili izvšitelj obrade

Ne, nije potrebno javno objaviti vašu evidenciju aktivnosti obrade. Međutim, morate biti u mogućnosti staviti evidenciju na raspolaganje tijelu za zaštitu podataka na zahtjev.

Više informacija:

• Budiusklađen

Općom uredbom o zaštiti podataka uspostavlja se usklađeni skup pravila koja se primjenjuju na sve obrade osobnih podataka od strane organizacija (javnih ili privatnih, bez obzira na njihovu veličinu) s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili usmjerenih na pojedince unutar tog prostora. Glavni je cilj Opće uredbe o zaštiti podataka osigurati da osobni podaci uživaju isti visoki standard zaštite svugdje u EGP-u, čime se povećava pravna sigurnost za pojedince i organizacije koje obrađuju podatke te pruža visok stupanj zaštite pojedinaca.

Uredba je stupila na snagu 24. svibnja 2016. i primjenjuje se od 25. svibnja 2018.

Europski odbor za zaštitu podataka redovito objavljuje priopćenja za medije, vijesti, blogove i druge sadržaje na internetskim stranicama Europskog odbora za zaštitu podataka i njegovim kanalima društvenih medija (Twitter: @EU_EDPB; LinkedIn: Europski odbor za zaštitu podataka) kako bi zajednicu za zaštitu podataka i širu javnost s upoznao s njegovim radom.

Na internetskim stranicama Europskog odbora za zaštitu podataka nalaze se i dva izvora RSS-a na koje se možete pretplatiti za automatska ažuriranja novosti Europskog odbora za zaštitu podataka i njegovih najnovijih publikacija.

Pseudonimizacija se sastoji od transformacije osobnih podataka tako da se više ne mogu pripisati određenom pojedincu bez upotrebe dodatnih informacija, pod uvjetom da se takve dodatne informacije čuvaju odvojeno i da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne pripisuju pojedincu. U praksi to može značiti zamjenu osobnih podataka (ime, osobni broj, telefonski broj itd.) u skupu podataka s neizravno identificirajućim podacima (alias, šifra itd.). Pseudonimizirani podaci i dalje su osobni podaci i podliježu primjeni Opće uredbe o zaštiti podataka.

Anonimizirani podaci su podaci koji su anonimizirani na takav način da se pojedinac ne može ili više ne može identificirati na bilo koji način za koji je razumno vjerojatno da će se koristiti. Kada se anonimizacija pravilno provodi, Opća uredba o zaštiti podataka se više ne primjenjuje.

Više informacija:

• Zaštičeni osobni podaci

• Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna.
• Prikupljanje osobnih podataka mora biti samo u određene, izričite i zakonite svrhe. Obrada podataka pojedinca mora biti strogo ograničena na prvotno utvrđene svrhe i stoga se ne smije obrađivati u daljnje ili druge svrhe koje nisu u skladu s prvotnim svrhama.
• Obrađivanje samo onih osobnih podataka koji su primjereni, relevantni i ograničeni u odnosu na ono što je nužno s obzirom na predviđenu svrhu.
• Svi osobni podaci koji se obrađuju moraju biti točni i prema potrebi ažurirani. Netočni osobni podaci moraju se ispraviti ili izbrisati.
• Pohrana osobnih podataka pojedinaca mora biti vremenski ograničena s obzirom na svrhu u koju su ti podaci prikupljeni i obrađeni. Stoga se osobni podaci pojedinaca moraju izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni.
• Obrada podataka pojedinaca mora se provoditi na siguran način. U tom smislu potrebno je uspostaviti snažne sigurnosne kontrole kako bi se osigurala odgovarajuća zaštita podataka pojedinaca.

Naposljetku, voditelj obrade je odgovoran. To znači da je odgovoran i mora biti u stanju dokazati usklađenost s gore navedenim načelima.

Više informacija:

• Osnove zaštite podataka

Da, možete, ali GDPR postavlja određene obveze za tvrtke koje dijele osobne podatke. Vaša organizacija mora obavijestiti pojedince da ćete njihove podatke podijeliti s trećom stranom. Također ih morate obavijestiti o svojim svrhama, sigurnosti, pristupu i mjerama zadržavanja koje će se primjenjivati.

Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

• svrha obrade (npr. lojalnost klijenata);
• kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
• tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
• ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
• ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
• ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

• Budi usklađen

Usklađenost s Općom uredbom o zaštiti podataka nadziru nacionalna tijela za zaštitu podataka. Nadzorno tijelo može provoditi istrage i prema potrebi izricati sankcije. Tijela za zaštitu podataka imaju na raspolaganju niz alata, uključujući upravno novčane kazne do 20 milijuna EUR ili 4 % godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće, opomene te privremene ili trajne zabrane obrade.

Kontakt podatke za sva tijela za zaštitu podataka unutar EGP-a možete pronaći na internetskim stranicama Europskog odbora za zaštitu podataka: Članovi

Više informacija:

• Tijelo za zaštitu podataka i vi