Ispravno vođenje Evidencije aktivnosti obrade ključno je za osiguravanje usklađenosti s GDPR-om.


Zbirke osobnih podataka, koje su po zakonu tvrtke morale voditi, poprilično su složene, a nadzor nad provedbom propisa bila je slaba.

Stupnjem na snagu Opće uredbe o zaštiti podataka stanje stvari postalo je ozbiljnije te zahtjeva veći oprez s obzirom na sankcije koje mogu uslijediti ukoliko se ne pridržavate odredbi Uredbe, mišljenja Komisije, presuda Suda EU, ali i mišljenja našeg nadzornog tijela.

Pojam vođenja evidencije u GDPR-u se obrađuje u čl. 30. Možda Vam se čini da se radi o prilično složenoj obavezi, međutim naša je procjena da je sam postupak vođenja jednostavniji nego do sada.

Evidencije aktivnosti obrade moraju biti detaljne I sadržavati sve što Uredba propisuje. Voditelji i izvršitelji obrade (ako se razlikuju) dužni su voditi evidenciju o aktivnostima obrade.

Na zahtjev je potrebno nadležnom tijelu prikazati evidenciju, koja služi kao dokaz da je obrada zakonito izvršena.

Evidencija se može voditi u elektroničkom ili pisanom obliku. Trebali biste ih držati na centraliziranom mjestu, po mogućnosti u dobro strukturiranoj i zaštićenoj bazi podataka, umjesto u običnim Excelovim tablicama.

Dobra je vijest da evidencije više ne morate izravno dostavljati nadzornim tijelima; prema GDPR-u one se smatraju internim dokumentima koje tek na zahtjev dajete na uvid nadležnim institucijama.

Nadalje, ako vršite prijenose osobnih podataka u treće zemlje, o tome morate obavijestiti ispitanike, a u evidenciji se moraju nalaziti detalji o primatelju podataka zajedno s mjerama sigurnosti koje ste poduzeli.

Pazite na sadržaj svojih evidencija i nemojte zaboraviti na sadržaj koji za iste propisuje Opća Uredba. Također, vodite računa o svim utvrđenim i važećim propisima određenim rokovima čuvanja kategorija osobnih podataka.