Poslovanje tvrtke kroz GDPR: Evidencija aktivnosti obrade

Pored svoje regulatorne važnosti, Evidencija aktivnosti obrade može pomoći svakoj tvrtki u njenom poslovanju i van njenih obveza prema Općoj uredbi.

EVIDENCIJA OBRADE AKTIVNOSTI I OPĆA UREDBA

GDPR člankom 30. uređuje Evidenciju aktivnosti obrade osobnih podataka navodeći pri tome da svaki voditelj, izvršitelj i njihov predstavnik, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koju je odgovoran, koje podatke takva evidencija najmanje mora sadržavati te da su je dužni dati na uvid nadzornom tijelu.

Opća Uredba u istom članku navodi da Evidencija nije obvezna za organizacije s manje od 250 zaposlenih, dodaje i iznimke od tog pravila koja će i takve subjekte s učiniti obveznim u vođenju Evidencije, a to su:

• ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika
• ako obrada nije povremena ili obrada uključuje posebne kategorije podataka
• ako je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima
• tumačenje „ako je primjenjivo“ i „predviđena odstupanja“ je zbog kojeg mnogi shvaćaju da su evidenciju aktivnosti obrade osobnih podataka dužni voditi samo subjekti s više od 250 zaposlenih. Međutim nigdje nije definirano što točno znači „ako je primjenjivo“ i „predviđena odstupanja“ iako dobar dio možemo razaznati iz primjenjivih Smjernica Radne skupine za zaštitu podataka iz članka 29 (WP29)

Također, prema takvim Smjernicama WP29 proizlazi da je poslovni subjekti taj koji mora moći dokazati da je opravdano zašto predmetnu evidenciju nije u obvezi voditi, što predstavlja nimalo lagan zadatak dokazati nepostojanje takve potrebe.

Zaključno mišljenje govori da je vođenje evidencije aktivnosti obrade osobnih podataka neovisno o veličini poslovnog subjekta je preporuka za svaki poslovni subjekt.

ODRŽAVANJE EVIDENCIJA AKTIVNOSTI OBRADE

Jednom kada se uspostavi evidencija aktivnosti obrade, njen sadržaj treba održavati shodno stvarnom stanju. To znači da se svaka nova aktivnost ili promjena postojeće treba ažurirati u Evidenciji aktivnosti obrade. Najjednostavniji način za to je postavljanje internog procesa da se službeniku za zaštitu podataka notificiraju takve promjene, kako bi ih mogao pravovremeno ažurirati. Pored toga, preporuka je da službenik za zaštitu podataka periodički revidira Evidenciju aktivnosti obrade na razini cijele tvrtke.

EVIDENCIJA KAO POSLOVNA VRIJEDNOST

Na službenim stranicama Agencije za zaštitu osobnih podataka (AZOP) postoje gotovi i dostupni predlošci Evidencije aktivnosti obrade za voditelje i izvršitelje obrade koje tvrtke dodatno mogu prilagoditi svojim potrebama. Ispunjavanjem takvih obrazaca će se ispuniti regulatorna obveza. Pored ispunjavanja regulatorne obveze, Evidencija aktivnosti obrade daje pregled svih aktivnosti u tvrtki i osobne podatke koje koristi.

U osnovi poslovanja se nalaze poslovni procesi i podaci. No, tvrtke u različitoj mjeri daju značaj procesnom upravljanju. Čak i kad tvrtke formiraju cjeline za upravljanje procesima, praćenje niza operativnih aktivnosti i dinamike njihovih promjena može predstavljati napor. Ako u tvrtki postoje iste ili slične operativne aktivnosti, što nužno predstavlja i aktivnosti obrade, evidencija će ih detektirati. Samim time, tvrtka će izbjeći dupliciranje jedne ili više aktivnosti, a ponegdje i čitavih procesa što omogućuje uštede ili konsolidaciju resursa.

Evidencija aktivnosti obrade je neizostavni dio postizanja potrebne usklađenosti tvrtke prema GDPR, no ona sama nije dokaz da je poslovanje usklađeno s GDPR.