U ranijem Zakonu o zaštiti osobnih podataka takva evidencija se nazivala zbirka osobnih podataka te je zbirku za svaku obradu osobnih podataka bilo potrebno dostaviti Agenciji za zaštitu podataka. Početkom primjene GDPR-a takva obaveza više nije propisana, već je obveza voditelja i izvršitelja obrade da vode evidenciju i da je daju na uvid nadzornom tijelu prilikom nadzora.
Je li obavezno imati evidenciju?
Iako se ova obaveza primjenjuje samo na one voditelje/izvršitelje obrade u kojima je zaposleno više od 250 osoba, postoje značajne iznimke.
Obaveza vođenja evidencije vrijedi i za svako poduzeće ili organizaciju koja zapošljava manje od 250 ljudi ako:
1) će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika;
2) obrada nije povremena;
3) obrada uključuje posebne kategorije podataka;
4) je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima.
Možemo zaključiti da točka 2. čini obavezu primjenjivom na većinu (ako ne i sva) poduzeća i organizacije, budući da se na većinu njih primjenjuje nacionalni zakon koji čini određene aktivnosti obrade osobnih podatka obaveznima i redovnima. Najočitiji primjer ovoga bila bi obaveza obrade osobnih podataka zaposlenika u svrhu isplate plaća. Priroda ove obaveze čini ovu aktivnost redovnom, za razliku od povremene kako je to određeno u točki 2.
Obavezni sadržaj
Evidencije aktivnosti obrade trebale bi biti iscrpan popis svih aktivnosti obrade koje voditelji i izvršitelji obrade provode. Sljedeće informacije navedene su u čl. 30. st. 1. Opće uredbe o zaštiti podataka kao obavezan sadržaj za svaku evidenciju aktivnosti obrade koju vodi voditelj obrade:
Sukladno čl. 32. st. 2. Opće uredbe o zaštiti podataka izvršitelji obrade dužni su voditi evidenciju aktivnosti obrade koja sadržava:
Dodatni sadržaj
Ovo svakako ne sprječava voditelje i izvršitelje obrade da uključe i neke druge informacije u svoje evidencije. Međutim, evidencija aktivnosti obrade ne bi trebala sadržavati previše informacija. Evidencija bi trebala biti uredna, jednostavna i razumljiva. Postoje dva glavna razloga za to.
Prvi se tiče obaveze voditelja i izvršitelja obrade, propisane u čl. 30. st. 4. GDPR-a, da učine evidenciju dostupnom nadzornim tijelima na njihov zahtjev. U najboljem je interesu voditelja/izvršitelja obrade da nadzornim tijelima učini svaki namjeravani nadzor lakšim. Budući da je evidencija aktivnosti obrade najvjerojatnija početna točka provedbe svakog nadzora, taj postupak bit će toliko brži i jednostavniji ako se evidencija vodi u urednom, skoro minimalističkom obliku.
Drugi razlog je da se pomogne voditelju/izvršitelju obrade da drži svoje aktivnosti obrade i usklađenost s GDPR-om pod kontrolom. Evidencija aktivnosti obrade trebala bi biti slika usklađenosti s GDPR-om te bi trebala biti vođena na način da se nove informacije jednostavno unose.
Redovito ažuriranje aktivnosti obrade od velike je važnosti. Neuspješno održavanje evidencije jednostavnom, urednom i redovito ažuriranom ubrzo bi dovelo do situacije u kojoj bi bilo potrebno uložiti mnogo vremena i truda da bi se stvari dovele u red.
Oblik
Što se tiče oblika evidencije, GDPR propisuje da to bude pisani oblik, što uključuje i elektronički oblik. U tu svrhu, Microsoft Excel tablice su najpopularniji alat. Neka nacionalna nadležna tijela objavila su svoju vlastitu verziju predloška evidencije aktivnosti obrade.
Ovo su dva primjera od francuskog (CNIL) i britanskog (ICO) nadležnog tijela:
- CNIL: https://www.cnil.fr/sites/default/files/atoms/files/record-processing-activities.ods
Voditelji/izvršitelji obrade bi trebali odrediti osobe koje su zadužene za vođenje evidencije. Ako voditelj/izvršitelj imaju imenovanog službenika za zaštitu podataka, obično će ta osoba biti zadužena za vođenje evidencije.
Preporučljivo je i uspostaviti obavezu da se redovno obavijesti osoba zaduženu za vođenje evidencije o svakoj promijeni na aktivnostima obrade (novi izvršitelj obrade, nove kategorije ispitanika, nova internetska stranica i sl.) kako bi se evidencije mogle ažurirati što je češće moguće.
Imati valjanu evidenciju aktivnosti obrade trebala bi biti glavna briga kad je u pitanju usklađenost s GDPR-om. Ne samo da je to pravna obveza, već je i koristan alat za nadzor usklađenosti.
Marija Bošković Batarelo, LL.M. Pravo i tehnologija