U središtu

Evidencija aktivnosti obrade

05.03.2020 Među obavezama koje Opća uredba o zaštiti podataka (GDPR) propisuje nalazi se i obaveza vođenja evidencije aktivnosti obrade. To je interna evidencija koja sadrži informacije o svim aktivnostima obrade osobnih podataka koje provodi voditelj ili izvršitelj obrade.

U ranijem Zakonu o zaštiti osobnih podataka takva evidencija se nazivala zbirka osobnih podataka te je zbirku za svaku obradu osobnih podataka bilo potrebno dostaviti Agenciji za zaštitu podataka. Početkom primjene GDPR-a takva obaveza više nije propisana, već je obveza voditelja i izvršitelja obrade da vode evidenciju i da je daju na uvid nadzornom tijelu prilikom nadzora.

Je li obavezno imati evidenciju?

Iako se ova obaveza primjenjuje samo na one voditelje/izvršitelje obrade u kojima je zaposleno više od 250 osoba, postoje značajne iznimke.

Obaveza vođenja evidencije vrijedi i za svako poduzeće ili organizaciju koja zapošljava manje od 250 ljudi ako:

1) će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;

2) obrada nije povremena;

3) obrada uključuje posebne kategorije podataka;

4) je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima.

Možemo zaključiti da točka 2. čini obavezu primjenjivom na većinu (ako ne i sva) poduzeća i organizacije, budući da se na većinu njih primjenjuje nacionalni zakon koji čini određene aktivnosti obrade osobnih podatka obaveznima i redovnima. Najočitiji primjer ovoga bila bi obaveza obrade osobnih podataka zaposlenika u svrhu isplate plaća. Priroda ove obaveze čini ovu aktivnost redovnom, za razliku od povremene kako je to određeno u točki 2.

Obavezni sadržaj

Evidencije aktivnosti obrade trebale bi biti iscrpan popis svih aktivnosti obrade koje voditelji i izvršitelji obrade provode. Sljedeće informacije navedene su u čl. 30. st. 1. Opće uredbe o zaštiti podataka kao obavezan sadržaj za svaku evidenciju aktivnosti obrade koju vodi voditelj obrade:

ime i kontaktne podatke voditelja obrade, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
svrhe obrade;
kategorije ispitanika i kategorije osobnih podataka;
kategorije primatelja;
prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju;
rokove za brisanje;
tehničke i organizacijske sigurnosne mjere.

Sukladno čl. 32. st. 2. Opće uredbe o zaštiti podataka izvršitelji obrade dužni su voditi evidenciju aktivnosti obrade koja sadržava:

ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje;
kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju;
tehničke i organizacijske sigurnosne mjere.

Dodatni sadržaj

Ovo svakako ne sprječava voditelje i izvršitelje obrade da uključe i neke druge informacije u svoje evidencije. Međutim, evidencija aktivnosti obrade ne bi trebala sadržavati previše informacija. Evidencija bi trebala biti uredna, jednostavna i razumljiva. Postoje dva glavna razloga za to.

Prvi se tiče obaveze voditelja i izvršitelja obrade, propisane u čl. 30. st. 4. GDPR-a, da učine evidenciju dostupnom nadzornim tijelima na njihov zahtjev. U najboljem je interesu voditelja/izvršitelja obrade da nadzornim tijelima učini svaki namjeravani nadzor lakšim. Budući da je evidencija aktivnosti obrade najvjerojatnija početna točka provedbe svakog nadzora, taj postupak bit će toliko brži i jednostavniji ako se evidencija vodi u urednom, skoro minimalističkom obliku.

Drugi razlog je da se pomogne voditelju/izvršitelju obrade da drži svoje aktivnosti obrade i usklađenost s GDPR-om pod kontrolom. Evidencija aktivnosti obrade trebala bi biti slika usklađenosti s GDPR-om te bi trebala biti vođena na način da se nove informacije jednostavno unose.

Redovito ažuriranje aktivnosti obrade od velike je važnosti. Neuspješno održavanje evidencije jednostavnom, urednom i redovito ažuriranom ubrzo bi dovelo do situacije u kojoj bi bilo potrebno uložiti mnogo vremena i truda da bi se stvari dovele u red.

Oblik

Što se tiče oblika evidencije, GDPR propisuje da to bude pisani oblik, što uključuje i elektronički oblik. U tu svrhu, Microsoft Excel tablice su najpopularniji alat. Neka nacionalna nadležna tijela objavila su svoju vlastitu verziju predloška evidencije aktivnosti obrade.

Ovo su dva primjera od francuskog (CNIL) i britanskog (ICO) nadležnog tijela:

- CNIL: https://www.cnil.fr/sites/default/files/atoms/files/record-processing-activities.ods

- ICO: https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx

Voditelji/izvršitelji obrade bi trebali odrediti osobe koje su zadužene za vođenje evidencije. Ako voditelj/izvršitelj imaju imenovanog službenika za zaštitu podataka, obično će ta osoba biti zadužena za vođenje evidencije.

Preporučljivo je i uspostaviti obavezu da se redovno obavijesti osoba zaduženu za vođenje evidencije o svakoj promijeni na aktivnostima obrade (novi izvršitelj obrade, nove kategorije ispitanika, nova internetska stranica i sl.) kako bi se evidencije mogle ažurirati što je češće moguće.

Imati valjanu evidenciju aktivnosti obrade trebala bi biti glavna briga kad je u pitanju usklađenost s GDPR-om. Ne samo da je to pravna obveza, već je i koristan alat za nadzor usklađenosti.

Marija Bošković Batarelo, LL.M. Pravo i tehnologija

U središtu

Diskriminacija po dobi u postupku brisanja s liste stečajnih upravitelja Ustavni sud je u dva predmeta (broj: U-III-1092/2023 i U-III-249/2023 ) koja je razmatrao u ožujku ove godine razmatrao slučajeve dva stečajna upravitelja koji su razriješeni dužnosti zbog navršenja 70 godina života, iako su bili imenovani na tu dužnost bez vremenskog ograničenja. Posebno su bili ... 25.04.2024 Rješavanje prigovora dužnika – novosti prema Pravilniku o sadržaju procedura za rješavanje prigovora dužnika Ministarstvo financija je donijelo Pravilnik o sadržaju procedura za rješavanje prigovora dužnika koji je stupio na snagu 21. ožujka 2024. godine te je tvrtkama koje se bave otkupom i servisiranjem potraživanja dao rok od 30 dana da se usklade sa odredbama Pravilnika. Autorica u članku piše o nov... 24.04.2024 Uz novelu Zakona o sudovima iz 2024. – o obvezi javne objave svih sudskih odluka Postoji percepcija kod pripadnika šire pravosudne zajednice, kod medija i srodnih institucija te javnosti uopće da postoji nedostatak transparentnosti u slučaju odluka koje donose sudovi. Cilj je rada analizirati dodatne napore koje je zakonodavac uložio u Noveli Zakona o sudovima iz 2024. kako bi... 22.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 4. epizoda (rasprava i rješavanje spora bez rasprave; radnje u sporu) U prethodnoj epizodi serijala bavili smo se dokazivanjem u upravnome sporu. 1 U ovoj epizodi donosimo glavne novosti na području rasprave 2 i rješavanja upravnoga spora bez rasprave, te radnji u sporu. 19.04.2024 Osvrt na Zakon o sportu i Pravilnik o preoblikovanju sportskog kluba – udruge za natjecanje u sportsko dioničko društvo Važeći Zakon o sportu omogućuje preoblikovanje sportskog kluba – udruge za natjecanje u sportsko dioničko društvo. Način, rokovi te druga pitanja značajna za provedbu preoblikovanja sportskog kluba – udruge za natjecanje u sportsko dioničko društvo sada regulira podzakonski akt, Pravilnik o preo... 18.04.2024 Kadrovske promjene nakon raspisanih parlamentarnih izbora Autorica u članku aktualizira pitanje kadrovskih promjena u državnim tijelima u postupku primopredaje državne vlasti, osobito pitanje u kojem razdoblju traje zabrana kadrovskih promjena, s obzirom na raspuštanje Hrvatskoga sabora i raspisane parlamentarne izbore. 15.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 3. epizoda (dokazivanje u upravnome sporu) U prethodnoj epizodi serijala bavili smo se odgodnim učinkom tužbe, privremenim mjerama, te tužbom i tužbenim zahtjevom. 1 U ovoj epizodi donosimo glavne novosti na području dokazivanja (utvrđivanja) činjenica odlučnih za rješavanje spora. 12.04.2024 Više ...