Potaknuti smo ponovno skrenuti pozornost i pomoći svima koji vode tvrtke ili udruge ili druge vrste organizacija na ovu obvezu.
Naime, danas smo saznali u izravnom razgovoru s vlasnikom jedne pravne osobe da su savjetovani od strane jednog pravnog savjetnika da, s obzirom da imaju manje od 250 zaposlenih, ne trebaju voditi Evidenciju aktivnosti obrada.
Nažalost, to nije točno, štoviše, vrlo rizično.
Obvezu vođenja Evidencija aktivnosti obrada za voditelje obrada definira članak 30. GDPR-a, koji ima svrhu olakšati obveze mikro, malim i srednjim poduzetnicima manjima od 250 zaposlenih.
Međutim, članak 30. stavak 5. GDPR-a utvrđuje da iznimke od obveze vođenja Evidencije aktivnosti obrada za pravne subjekte manje od 250 zaposlenika ne vrijede ako je zadovoljen bilo koji od slijedećih uvjeta:
- Ako je obrada redovita, odnosno, nije povremena - na primjer obračun radnog vremena ili plaća, vođenje evidencija zaposlenika, vođenje evidencija ulazaka u poslovne prostore, video nadzor...
- Ako poslovni subjekt radi takve obrade koji imaju vjerojatnost nastanka visokog rizika za pojedince, npr. koji mogu osobi nanijeti fizičku, materijalnu ili nematerijalnu štetu, štetu na ugled ili drugu društvenu štetu, krađu identiteta, diskriminaciju ili prijevaru...
- Ako poslovni subjekt obrađuje posebne kategorije podataka (npr. podaci o zdravlju, ozljede na radu, provjera zdravstvene sposobnosti zaposlenika, članstvo u sindikatu...), ili obrađuje osobne podatke u vezi s kaznenim osudama i kažnjivim djelima
To zapravo znači da svaka pravna osoba, bez obzira na broj zaposlenih, ukoliko ima zaposlene, mora voditi Evidenciju aktivnosti obrada iz članka 30. GDPR-a, kao što potvrđuju i Stajališta središnjeg EU tijela za zaštitu podataka, citiramo:
"Small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities"
Stajališta EU možete ih naći na ovom linku:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
Želimo istaknuti da je izrada i vođenje Evidencija aktivnosti obrada zapravo ključan dokument bez kojeg je zapravo nemoguće izvršiti usklađivanje GDPR obvezama.
Evidencija svih obrada osobnih podataka koje pravni subjekt vrši je rezultat mapiranja poslovnih procesa i procesa kolanja osobnih podataka kroz organizaciju, uz definiranje svih ključnih parametara pojedinih obrada (npr. svrha, pravni temelj, rokovi pohrane, vanjski izvršitelji, sigurnosne mjere...) bez kojih se ne može ni zamisliti prepoznavanje razine rizika po pojedinoj obradi niti izrada politika zaštite osobnih podataka, ispunjenje obveza transparentnosti niti praćenje stanja usklađenosti.
Štoviše, i AZOP će pri dolasku u nadzor postaviti prvo pitanje - dajte nam vašu Evidenciju aktivnosti obrada, koja mora biti ispisana i može biti u elektroničkom obliku.
Što mora Evidencija aktivnosti obrada sadržavati?
- Naziv voditelja obrade i eventualno njegovog Službenika za zaštitu podataka
- KOJA je svrha svake pojedine obrade (npr. vođenje radnog vremena)
- KOJE kategorije ispitanika su uključene u našu obradu i KOJE kategorije njihovih osobnih podataka (npr. zaposlenik, datum i vrijeme dolaska i odlaska...)
- KOJE kategorije primatelja osobnih podataka su za svaku obradu, odnosno, KOME ih šaljemo ili dajemo pristup (npr. uključeni vanjski izvršitelji, tijela državne ili javne uprave i sl.)
- U KOJU zemlju izvan EU/EEA prenosimo osobne podatke (npr. ako koristimo mailchimp ili cloud uslugu ili imamo server izvan EU/EEA...)
- KOJI su rokovi u kojima čuvamo podatke za svaku obradu (npr. evidencije radnog vremena 6 godina...)
- KOJE sigurnosne mjere poduzimamo za svaku od obrada (npr. ograničenje pristupa evidencijama, enkripcija podataka...)
Kako mogu izgledati Evidencije aktivnosti obrada, možete sami vidjeti i skinuti predloške koje je izradio ICO (nadzorno tijelo u UK):
https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx
Sada nemojte zaboraviti dodati kao aktivnosti obrade i mjerenja temperature na ulazu, za zaposlenike i sve ostale posjetitelje.