Stručnjaci savjetuju.

DATUM: 31.05.2018.

Prema Općoj uredbi o zaštiti osobnih podataka, organizacije se moraju pridržavati sljedećih načela obrade osobnih podataka:

1. Zakonitost, poštenost i transparentnost – osobni podaci trebaju se obrađivati samo u svrhe koje Opća uredba propisuje kao zakonite (uključuju zakonske, ugovorne i druge osnove, uključujući i izričitu privolu ispitanika, legitimne interese i druge osnove opisane u članku 6 Opće uredbe). Također, obrada mora biti poštena prema ispitaniku, kojemu također informacije o procesu obrade trebaju biti pružene na uvid.
2. Ograničavanje svrhe –  osobni podaci smiju se obrađivati isključivo u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama. Ovo znači da, primjerice, ako držite nečije osobne podatke za svrhu redovnog poslovanja, a koristite ih u privatne svrhe bez dopuštenja ispitanika, u prekršaju ste po Općoj uredbi.
3. Smanjenje količine podataka – podaci koje obrađujete moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju. Ovo primjerice znači da u slučaju potrebe da identificirate neku osobu u kontekstu potpisivanja ugovora, nije primjereno tražiti od osobe kopiju osobne iskaznice – za ovu svrhu dovoljno je da ispitanik samo da osobnu iskaznicu na uvid ovlaštenoj osobi da potvrdi svoj identitet, ali nije potrebno da se cijeli dokument zadržava kao dokaz, pogotovo jer sadrži više od informacija koje su nužne za sklapanje ugovora.
4. Točnost i ažurnost – mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”). U praksi, ovo znači da bi trebalo uvesti procedure za redovno ažuriranje baza podataka, kao i njihovo čišćenje, koje se odvija po predviđenom rasporedu i za koje je zadužena osoba koja ima ovlasti upravljanja određenom bazom podataka.
5. Ograničenje pohrane – osobni podaci ispitanika moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. Odnosno, u trenu u kojemu primjerice istekne zakonska obaveza čuvanja računovodstvenih zapisa koji se po toj osnovi čuvaju, primjereno je da se osobni podaci istekom tog roka unište ili dostave voditelju obrade/ispitaniku.

Iznimno, osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

1. Cjelovitost i povjerljivost – podaci moraju obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera . Ovo u pravilu znači da je potrebno po potrebi prilagoditi tehnološku infrastrukturu za čuvanje podataka, raditi redovne sigurnosne kopije bazi podataka, koristi enkripcije, šifre i druge mjere zaštite primjerene kontekstu obrade.

Dodatno, uvodi se i princip pouzdanosti, koji se odnosi na dokazivanje usklađenosti voditelja obrade osobnih podataka Općoj uredbi. Ovo znači da će organizacija koja obrađuje osobne podatke u svakome trenutku morati moći dokazati da se dosljedno drži ovih procesa obrade osobnih podataka u svojemu radu.  Prvi korak prema usklađenosti s ovim principom jest razviti pravilnike i dokumentaciju u kojoj se propisuju mjere zaštite podataka i način njihove obrade te ugrađuju ova načela.