Šta je obrada podataka o ličnosti?

Evidencija radnji obrade vezana je za obradu podataka o ličnosti. Obrada podataka je svaka automatizovana ili neautomatizovana radnja nad podacima o ličnosti. Pod obradom podataka smatra se aktivno i pasivno obrađivanje podataka.

Kao aktivnu obradu podrazumevamo: prikupljanje, razvrstavanje, brisanje. Pasivno obrađivanje podataka je uvid u podatke ili čuvanje podataka. Možemo reći da je bilo kakav doticaj s podacima o ličnosti zapravo obrada tih podataka.

Identifikovanje svih obrada podataka o ličnosti je preduslov usklađivanja s GDPR–om.

Tko je dužan voditi evidenciju radnji obrade?

Evidencija radnji obrade je zakonski propisana obaveza vođenja obrade podataka. Vođenja evidencije obvezatno je za privredne subjekte i organizacije u kojima je zaposleno više od 250 lica.

Bez obzira na broj zaposlenika, rukovaoc je dužan voditi evidenciju i ako organizacija ili kompanija:

  • Vodi obradu podataka koja može da uzrokuje visok rizik za licana koja se podaci odnose
  • Obrada nije povremena
  • Obrada obuhvata posebne vrste podataka(krivične presude, kažnjiva dela…)

Bez obzira što je izuzetak od ove obaveze široko postavljen, rukovaoci i obrađivači bi trebali da vode evidencije obrade podataka, jer će na taj način razumeti koje sve podatke imaju u svom posedu i moći će lakše da se prilagode novim pravilima. Takođe, evidencije radnji obrade su vrlo pogodne za rukovaoce kao sredstvo pomoću kog mogu da dokazuju svoju usaglašenost sa Zakonom o zaštiti podataka o ličnosti.

Vrsta evidencije radnji obrade

Obaveza vođenja evidencije sada obuhvaća i rukovaoce i obrađivače:

Evidencija rukovaoca

  • Zakon o zaštiti  podataka o ličnosti  iscrpno popisuje informacije koje mora da sadrži evidencija obrade za koju je odgovoran rukovalac, odnosno njegov predstavnik. Takva evidencija, između ostalog, mora da sadrži informacije o imenu i kontakt podacima rukovaoca, zajedničkih rukovaoca, predstavnika rukovaoca,svrsi obradevrsti podataka o ličnosti i slično.

Evidencija obrađivača

  • Zakonska obaveza obrađivača vrlo je slična obavezi rukovaoca, te Zakon navodi da evidencija mora sadržati informacije o imenu i kontakt podacima svakog obrađivača i svakog rukovaocau čije ime se obrada vrši, odnosno predstavnika rukovaoca ili obrađivača i lica za zaštitu podataka o ličnosti, vrsti obrada koje se vrše u ime svakog rukovaoca, prenosu podataka o ličnosti u druge države ili međunarodne organizacije, itd.

Koliko dugo se čuva evidencija radnji obrade?

Evidencija obrada čuva se trajno. Ona je dokumentovani prikaz o tome koje podatke i na koji način kompanija obrađuje. Evidencija obrada je osnov za bilo kakav oblik automatizacije GDPR procesa i preporuka je da se vodi elektronski.

Treba li se evidencija radnji obrade prijaviti nadležnom organu?

Zakon o zaštiti podataka o ličnosti ne predviđa prijavu evidencije nadležnom tijelu. Ona je namenjena organizaciji procesa obrade u kompaniji te su kompanije dužne predati ih na uvid nadležnom organu na njegov zahtev.

Koje podatke mora da sadrži evidencija radnji obrade?

  1. Ime i kontakt podaci – Ime i kontakt podaci rukovaoca, zajedničkih rukovaoca, obrađivača i lica za zaštitu podataka o ličnosti (DPO). Uključuju ime kompanije, sedište i adresu koja mora da odgovara reigstrovanom sedištu i nazivu kompanije.
  2. Informacije osvrsi obrade i pravnom uslovu – Podaci o svrsi obrade opisuju u koju svrhu se podaci prikupljaju i obrađuju. Potrebno je naznačiti i pod kojim pravnim uslovom se vrši obrada. Pročitajte kojih 6 vrsta pravnih uslovaprepoznaje Zakon o zaštiti podataka o ličnosti (ZZPL).
  3. Vrsta lica na koja se podaci odnose – U evidenciji navedite za koje kategorije lica se vrši obrada podataka o ličnosti. Na primer, podaci o osoblju, pacijentima i slično.
  4. Vrsta podataka – Potrebno je navesti koje sve vrste podataka se prikupljaju i obrađuju (Ime, prezime, adresa…)
  5. Vrsti primalaca – Informacije o vrsti primalaca podataka kojima su podaci o ličnosti otkriveni ili će biti otkriveni (ukljućujući međunarodne organizacije ili inostrane primaoce podataka)
  6. Način prikupljanja podataka – Navedite izvor dobijanja podataka (neposredno od lica na koje se odnosi, preuzimanjem iz drugih zbirki podataka ili  drugih izvora).
  7. Način čuvanja podataka – Način čuvanja podataka o ličnosti sadrži informacije o tome u kojem je obliku podatak, kao i oznaku nosača informacije na kome se podatak čuva. Većina ličnih podataka danas čuva se u elektronskom obliku, ali i dalje postoje mnogi zapisi u papirnatom obliku.
  8. Informacije o prenosu podataka o ličnosti – Ako se podaci prenose u druge države ili međunarodne organizacije, potrebno je navesti informacije o prenosu podataka o ličnosti uključujući i naziv druge države ili međunarodne orga––nizacije.
  9. Rok čuvanja podataka – Navedite datum uspostavljanja zbirke podataka i rokove čuvanja i korišćenja podataka o ličnost. Ako vreme korišćenja podataka o ličnosti nije određeno zakonom ili drugim propisom, u evidenciju se upisuje rok koji je neophodan za ostvarenje svrhe obrade zbog koje su podaci o ličnosti prikupljeni. Evidencija radnji obrademože da sadrži i oznaku o brisanju podataka o ličnosti posle proteka roka za čuvanje i korišćenje podataka.
  10. Opštem opisu mera zaštite (ako je moguće) – Oznaka preduzetih mera zaštite podataka o ličnosti sadrži podatke o tome koje su organizacione, kadrovske i tehničke mere zaštite preduzete.

Ukoliko ste organizacija ili kompanija koja nije obveznik vođenja evidencije, ipak razmislite. Evidencija radnji obrade vam na jednostavan način pruža uvid u vrstu podataka i vrstu lica za koje vršite obradu te daje jedinstven uvid u interne procese.

Iako niste dužni prijaviti zbirku, imajte na umu da ste je dužni voditi. Evidenciju obrade podataka dužni ste dostaviti nadležnoj agenciji na zahtjev te služi kao dokaz vaše sukladnosti sa Zakonom o zaštiti podataka o ličnosti.

EVIDENCIJA U EXCELU

Neke kompanije odlučuju evidenciju voditi u Excel-u. Međutim, Excel ne omogućuje efikasnu kolaboraciju i ne može se jednostavno integrirati s ostalim sustavima kompanije. U proseku kompanije koje su dužne voditi evidenciju imaju 100 i više obrada ličnih podataka, a obrade se vremenom menjaju te ih je potrebno ažurirati. S vremenom vođenje evidencija radnji obrade u tablicama postaje sve veći problem.

Data Protection officer (Lice za zaštitu podataka o ličnosti) nije jedini koji vodi računa o svim aktivnostima obrade jer jedan čovek ne može tako detaljno poznavati sve poslovne procese u kompaniji. Potrebno je distribuirati odgovornost. DPO mora da ima centralni nadzor nad svim aktivnostima koje se dešavaju s evidencijom.