ŠTO JE OBRADA OSOBNIH PODATAKA I KAKO JE VODITI?
Kao što smo već naveli, pod osobnim podacima ispitanika podrazumijeva se sve što, na bilo koji način, može dovesti do identifikacije pojedine osobe, počev od imena, adrese, e-mail adresa, IP i MAC adrese, GPS lokacije, RFID tagovi i kolačići na web stranicama, telefonski broj, fotografije, video snimke pojedinaca, osobni identifikacijski broj, preko biometrijskih podataka (otisak prsta, snimka šarenice oka), genetski podaci, pa sve do podataka o obrazovanju i stručnoj spremi, o plaći, o kreditnom zaduženju, računima u banci, zdravlju, seksualnoj orijentaciji, pa čak i glasovnoj identifikaciji.
Obrada podataka odnosi se na prikupljanje osobnih podataka svih fizičkih osoba (ispitanika) s kojima surađujete, na točno određeni način, uz primjenu svih pravila Uredbe.
Ovo prvenstveno znači da podaci:
- moraju biti obrađivani zakonito, pošteno i transparentno u odnosu na ispitanika
- moraju biti prikupljeni u točno određenu svrhu, s privolom ispitanika, i u druge svrhe se ne mogu koristiti
- moraju biti primjereni i ograničeni samo na ono što je nužno za svrhu za koju se obrađuju
- moraju biti točni i ažurni
- smiju biti čuvani samo koliko je potrebno za ispunjenje određene svrhe i ne smiju se arhivirati
- smiju biti obrađivani samo na način kojim je osigurana sigurnost osobnih podataka.
Naravno, u svim ovim slučajevima postoje iznimke od pravila, no one se uglavnom odnose na zakonske propise.
Obrada podataka može se obavljati automatiziranim putem ili ručno, a najbolji način provedbe je pseudonimizacija. Što to znači? Pseudonimizacija podrazumijeva obradu osobnih podataka na način da se oni više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi.
U obradi ispitanik mora biti informiran o postupku obrade te njegovim svrhama, koje informacije voditelj obrade mu mora pružiti. Kad se prikupljaju osobni podaci ispitanika, mora ga se obavijestiti o tome je li obvezan pružiti takve podatke i koje su posljedice ako ih ne pruži.
Omogućavanje ispitanicima da zapravo „rukuju“ sa svojim podacima, dajući im isto kroz npr. nadzornu ploču s privatnim postavkama, zapravo sebi olakšavate samo prikupljanje podataka te osiguravate veću i točniju količinu podataka, no za te iste podatke ste i odgovorni. U svakom slučaju, ispitanik dobiva veću kontrolu, a vi učinkovitije informacije.
Često je pitanje što s podacima preminulih osoba i podacima osoba koje više nisu u odnosu s voditeljem obrade? Podaci preminulih osoba ne predstavljaju temu ove Uredbe te se njih i nadalje može koristiti, isključivo sukladno drugim zakonskim propisima.
Što se tiče osoba s kojima više ne surađujete, te podatke bi trebali brisati, s naznakom koji točno podaci su brisani i kojeg datuma te o istome voditi evidenciju. Zapamtite da se i čuvanje podataka smatra obradom pa u odnosu na to, potrebno je regulirati politikama rokove čuvanja, ako ne podliježu određenim zakonskim rokovima za čuvanje.
Obradu podataka možete voditi sami, kao voditelji obrade, ili taj posao povjeriti izvršiteljima obrade, o kojim načinima ćemo govoriti u drugom tekstu.
Isto tako, za vođenje evidencije podataka, o prikupljenim privolama i ostalim potrebnim dokumentima, trebalo bi voditi Evidenciju aktivnosti obrade podataka, o čemu ćemo govoriti
pod potrebnom dokumentacijom.