Pitanje 1: Koji su osnovni zahtjevi za vođenje evidencija prema GDPR-u?
Odgovor 1: Evidencija mora biti jasna, nedvosmislena i ažurna.
Evidencija o tome na koje načine vodite evidencije koje sadrže osobne podatke trebaju imati određeni sadržaj. U praksi su se potrebnim pokazali navodi (stupci u tablici koji se odnose na svaku evidenciju): naziv obrade, kategorije ispitanika, izvršitelj obrade, svrha obrade, IT servis ili fizičko mjesto pohrane (lokacija osobnih podataka), pravna osnova obrade (ČL. 6 GDPR), prava dostupna ispitaniku, poveznica na dokaz o privoli (ako je privola pravna osnova), kategorije osobnih podataka koje se obrađuju (identifikacijski podaci, financijski, zdravstveni itd.), obuhvaća li obrada posebne kategorije osobnih podataka, pravni temelj za obradu posebnih kategorije osobnih podataka, legitimni interes za obradu (ako je primjenjivo), postojanje automatiziranog donošenja odluka, kategorije primatelja, rokovi brisanja, je li potrebna procjena učinka obrade, je li došlo do povrede osobnih podataka, opis poduzetih tehničkih i organizacijskih mjera, prijenos u treće zemlje – da/ne, opis poduzetih mjera u slučaju prijenosa u treće zemlje, izvor podataka (ako nije ispitanik, pazite da izvor ima pravo podijeliti podatke).
Najbolje voditi u obliku tablice i ažurirati kad god dođe do promjene. Paziti u slučaju video-nadzora i vanjskih servisa jer su oni izvršitelji obrade.
Pitanje 2: Koje su najčešće greške koje organizacije čine prilikom vođenja evidencija prema GDPR-u i kako ih izbjeći?
Odgovor 2: Organizacije najčešće uopće ne vode evidencije prema GDPR ili su one manjkave, odnosno ne sadrže sve svrhe obrade. Svaka će organizacija ili gotovo svaka imati Evidenciju podataka o zaposlenicima, Evidenciju podataka o studentima, Obračun i isplata plaća i drugih dohodaka, Evidencija kandidata za zapošljavanje, Evidencija podataka o evaluacijama zaposlenika, Sigurnosni protokoli radnih mjesta, Evidencija kupaca, Evidencija dobavljača, Videozapisi posjetitelja na adresi…, Evidencija radnog vremena, Kontakt forma na web stranici, Upravljanje kvalitetom, Active Directory, Registar korisnika sustava XYZ, Plan godišnjih odmora itd.
Potrebno je uključiti sve odjele kako bi se utvrdilo koje se…