Izrada internog akta o zaštiti podataka ⇒

Jedna od obveza voditelja i izvršitelja obrade osobnih podataka prema Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (SL L 119, 4.5.2016.; u daljnjem tekstu: Opća uredba) jest i sastavljanje internih politika zaštite osobnih podataka.

Ove interne politike, kako to proizlazi iz Opće uredbe, moraju biti dokumentirane, što znači kako moraju biti sastavljene u pisanom obliku.

Opća uredba, inače, daje vrlo šture podatke o internim politikama zaštite osobnih podataka, ali iz njenih uvodnih izjava, kao i normativnog dijela teksta, zapravo proizlazi obveza njihovog donošenja.

Voditelj i izvršitelj obrade osobnih podataka odgovoran je za usklađenost s načelima Opće uredbe i tu usklađenost mora biti u mogućnosti dokazati („pouzdanost”). To će značiti kako ispunjavanje temeljnih načela prikupljanja osobnih podataka mora biti dokumentirano (ili kao npr. interni akt o zaštiti osobnih podataka), ili više dokumenata u pisanom obliku (uključujući i elektronski oblik).

Tehničke i organizacijske mjere zaštite

Tako se u uvodnoj izjavi br. 78 Opće uredbe, između ostalog navodi kako bi voditelj obrade osobnih podataka radi dokazivanja sukladnosti s Općom uredbom, morao uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka.

Osim toga, u normativnom dijelu Opće uredbe, u dijelu koji se odnosi na obveze voditelja obrade osobnih podataka navodi se, između ostalog, kako uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere, koje se prema potrebi preispituju i ažuriraju, kako bi osigurao i mogao dokazati da se obrada osobnih podataka provodi sukladno Općoj uredbi.

Najnovije objave u našim NOVOSTIMA pratite »OVDJE!«

Obveza donošenja internih politika

Možemo reći kako obveza donošenja internih politika zaštite osobnih podataka, osim iz odredbe čl. 24. Opće uredbe, proizlazi i iz odredbe čl. 39. st. 1. t. b) Opće uredbe.

Ovom odredbom je određeno kako službenik za zaštitu osobnih podataka, između ostalog, mora pratiti poštovanje politika voditelja obrade, ili izvršitelja obrade u odnosu na zaštitu osobnih podataka. Iz navedenog proizlazi kako se obveza donošenja internih politika odnosi kako na voditelje tako i na izvršitelje obrade osobnih podataka.

U praksi se postavlja pitanje moraju li interne politike biti sastavljene u pisanom obliku?

Odgovor je potvrdan, jer dokazivanje obrade osobnih podatka sukladno Općoj uredbi zapravo je moguće jedino pisanim aktom.