❄ Odgovornost za
vođenje evidencije o obradi ličnih podataka je na kontroloru/obrađivaču, u
cilju dokazivanja da je svoje aktivnosti u vezi sa obradom ličnih podataka
uskladio sa Zakonom o zaštiti ličnih podataka (u daljem tekstu: Zakon)
❄ Ukoliko kontrolor/obrađivač
poslove evidencije o obradi dodijeli Službeniku, u tom slučaju on može
samostalno voditi evidenciju u bliskoj saradnji sa drugim zaposlenim ili može
biti samo lice koje će biti uključeno u taj posao i kontrolisati ga. Dakle,
kontrolor je odgovoran za evidenciju o obradi ličnih podataka i njen sadržaj,
te je na njemu da procijeni koji od zaposlenih će tu obavezu izvršiti.
❄ U praksi, Službenici izrađuju evidencije o obradi na
osnovu informacija koje su im dostavile različite organizacione jedinice
zadužene za obradu ličnih podataka. Zaposleni moraju biti obaviješteni ko je Službenik,
te da su dužni pružiti mu svi potrebne informacije za rad.
❄ Evidencija o
obradi se smatra jednim od glavnih alata koji Službeniku omogućava obavljanje
njegovih zadataka u praćenju primjene Zakona i drugih propisa u njegovom radu. Osim navedenog, evidencija o obradi
predstavlja prvi korak za postizanje usklađenosti sa Zakonom (član 7.
Zakona), te dokazivanje načela pouzdanosti.
❄ Svojim sadržajem i
preglednošću evidencija o obradi omogućava i procjenu rizika za prava i slobode
pojedinaca, kao i adekvatnu primjenu odgovarajućih tehničkih i organizacionih mjera
za postizanje potrebnog nivoa sigurnosti ličnih podataka.
❄ Evidencija o
obradi se vodi u pisanoj formi, što uključuje elektronsku formu.
❄ Svaki kontrolor
podataka/obrađivač obavezan je sarađivati sa Agencijom i omogućiti joj na zahtjev
uvid u tu evidenciju kako bi njima mogla poslužiti u daljnjim nadzornim
aktivnostima.
❄ Na zahtjev Agencije,
kontrolor podataka /obrađivač trebao bi unaprijed dostaviti evidenciju radi
pregleda svih aktivnosti obrade ličnih podataka koje provodi.
❄ Zakon u članu 32.
stav (5) izuzima privredne subjekte
ili organizacije u kojima je zaposleno manje od 250 lica, od dužnosti
vođenja evidencije obrade ličnih podataka, osim
u sljedećim slučajevima ako:
- će obrada koju
privredni subjekt ili organizacija „vjerovatno prouzrokovati rizik za
prava i slobode nosioca podataka” (ovdje rizik ne mora nužno biti „visok
rizik”, bilo koji rizik za prava i slobode nosioca podataka, koliko god malen,
zahtijevao bi vođenje evidencije (i preispitivanje) aktivnosti kontrolora
podataka /obrađivača; ili
- obrada nije
povremena; ili
- obrada
uključuje osjetljive podatke ili podatke o krivičnim presudama ili
krivičnim djelima
❄ U slučaju
bilo kakve nedoumice oko vođenja evidencije, kontrolor podataka/obrađivač
trebao bi se posavjetovati sa Službenikom, a od Službenika se očekuje da bi u
graničnim slučajevima trebao težiti pružanju savjeta u smjeru stvaranja cjelokupne
evidencije umjesto da rizikuje povredu neispunjavanjem
svojih obaveza Zakona.
❄ Zakon u članu 32. propisuje da se evidencija obrade
ličnih podataka sastoji od sljedećih informacija:
- ime i
kontaktne podatke kontrolora podataka i, ako je primjenjivo, zajedničkog kontrolora
podataka, predstavnika kontrolora podataka i Službenika;
- svrhe
obrade;
-
opis
kategorija nosilaca ličnih podataka i kategorija ličnih podataka (uključujući i
to pripadaju li bilo koji podaci unutar posebne kategorije podataka/osjetljivi
podaci);
-
kategorije
primalaca kojima su lični podaci otkriveni ili će im biti otkriveni,
uključujući primaoce u drugim državama ili međunarodne organizacije;
-
ako je
primjenjivo, o prenosu ličnih podataka u drugu državu ili međunarodnu
organizaciju, uključujući identificiranje te druge države ili međunarodne
organizacije te, u slučaju prenosa iz člana 51. stav (2), dokumentaciju o
odgovarajućim zaštitnim mjerama;
-
ako je
moguće, predviđene rokove za brisanje različitih kategorija podataka;
-
ako je
moguće, opši opis tehničkih i organizacionih sigurnosnih mjera iz
člana 34. stav (1) Zakona.
❄ Evidencija obrade
ličnih podataka obrađivača se sastoji od sljedećih informacija:
- ime i
kontaktni podaci jednog ili više obrađivača i svakog kontrolora podataka u čije
ime obrađivač djeluje, te, ako je
primjenjivo, predstavnika kontrolora podataka ili obrađivača kao i Službenika;
-
vrste obrade
koje se obavljaju u ime svakog kontrolora podataka; (npr. ime i prezime, broj
tekućeg računa i sl.)
-
ako je
primjenjivo, prenos ličnih podataka u drugu državu ili međunarodnu
organizaciju, uključujući identificiranje te druge države ili međunarodne
organizacije te, u slučaju prenosa iz člana 51. stav (2), dokumentaciju o
odgovarajućim zaštitnim mjerama;
-
ako je
moguće, opšti opis tehničkih i organizacionih sigurnosnih mjera iz člana 34. stav (1).
❄ Zakon u
članu 80. propisuje da se evidencija o obradi od nadležnog organa, sastoji od
sljedećih informacija:
- Naziv i i kontaktni podaci nadležnog organa,
zajedničkog nadležnog organa i službenika za zaštitu podatka;
- Svrhu
obrade;
- Kategoriju
primaoca kome su lični podaci otkriveni ili će mu biti otkriveni, uključujući
primaoca u drugoj državi ili međunarodnoj organizaciji;
- Opis
kategorije nosioca podatka i kategorije ličnih podataka;
- Upotrebu
izrade profila, ako je primjenjivo;
- Kategoriju
prenosa ličnih podataka u drugu državu ili međunarodnu organizaciju, ako je
primjenjivo;
- Pravni osnov
za postupak obrade, uključujući i prijenose, kojem su lični podaci namijenjeni;
- Predviđene
rokove za brisanje različitih kategorija ličnih podataka, ako je moguće,
- Opći opis
tehničkih i organizacijskih mjera iz člana 85. stava (1), ako je moguće;
❄ Evidencija obrade
ličnih podataka obrađivača se sastoji od sljedećih informacija:
- Ime i
kontakt podatke jednog ili više obrađivača i svakog kontrolora podataka u čije
ime obrađivač djeluje te službenika za
zaštitu podataka, ako je primjenjivo;
- Kategoriju
obrade koja se provodi za svakog kontrolora podataka;
- Ako je
primjenjivo, podatke o prenosu ličnih podataka u drugu državu ili međunarodnu
organizaciju ako za to postoji izričito uputstvo kontrolora podataka,
uključujući identifikaciju te druge države ili međunarodne organizacije;
- Ako je
moguće opći opis tehničkih i organizaciono –sigurnosnih mjera iz člana 85. stav
(1);