Nailazimo na diskusije na temu obveze vođenja Evidencija aktivnosti obrada podataka iz članka 30. GDPR-a. Štoviše, neki konzultanti tvrde da, ako pravna osoba ima manje od 250 zaposlenih, ne treba voditi Evidencije aktivnosti obrada podataka.
Nažalost, to nije točno jer nastavak iste rečenice iz članka 30. stavak 5. GDPR-a utvrđuje da pravilo od 250 zaposlenika ne vrijedi ako je zadovoljen jedan od slijedećih uvjeta:
- ako se vrše takve obrade koji imaju vjerojatnost nastanka visokog rizika za pojedince,
- ako su uključene posebne kategorije podataka (npr. podaci o zdravlju), ili se radi o sobnim podacima u vezi s kaznenim osudama i kažnjivim djelima, ili
- ako obrade podataka nisu povremene (npr. vođenje radnog vremena, obračun plaća zaposlenika...).
To znači da svaka pravna osoba, bez obzira na broj zaposlenih, ukoliko ima zaposlene, mora voditi Evidenciju aktivnosti obrada iz članka 30. GDPR-a, kao što potvrđuju i Stajališta središnjeg EU tijela za zaštitu podataka, citiramo:
"Small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities"
Stajališta EU možete ih naći na ovom linku:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
Želimo istaknuti da je izrada i vođenje Evidencija aktivnosti obrada zapravo ključan dokument bez kojeg je zapravo nemoguće izvršiti usklađivanje GDPR obvezama.
Evidencija svih obrada osobnih podataka koje pravni subjekt vrši je rezultat mapiranja poslovnih procesa i procesa kolanja osobnih podataka kroz organizaciju, uz definiranje svih ključnih parametara pojedinih obrada (npr. svrha, pravni temelj, rokovi pohrane, vanjski izvršitelji, sigurnosne mjere...) bez kojih se ne može ni zamisliti izrada Politike privatnosti, ispunjenje obveza transparentnosti, praćenje stanja usklađenosti.
Štoviše, i AZOP će pri dolasku u nadzor postaviti prvo pitanje - dajte nam vašu Evidenciju aktivnosti obrada, koja mora biti ispisana i može biti u elektroničkom obliku.
A kako mogu izgledati Evidencije aktivnosti obrada, možete sami vidjeti i skinuti predloške koje je izradio ICO (nadzorno tijelo u UK):
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/documentation/how-do-we-document-our-processing-activities/