Bilo da se tvoj biznis nalazi u ulozi rukovaoca ili obrađivača, neophodno je da vodiš evidencije o radnjama obrade. Evidencije se vode u pisanom obliku, što obuhvata i elektronski oblik i čuvaju se trajno. Evidencija, između ostalog, mora da sadrži informacije o:

• rukovaocu, zajedničkim rukovaocima (ukoliko je primenljivo), predstavnicima rukovaoca i lica za zaštitu podataka o ličnosti, ako oni postoje, odnosno ako su određeni
• svrsi obrade
• vrsti lica na koje se podaci odnose i vrsti podataka o ličnosti
• vrsti primalaca kojima su podaci o ličnosti otkriveni ili će biti otkriveni, uključujući i primaoce u drugim državama ili međunarodnim organizacijama;
• prenosu podataka o ličnosti u druge države

Evidencije nije potrebno voditi ukoliko tvoj biznis ima manje od 250 lica zaposleno, osim ako:

• obrada koju vršiš može da prouzrokuje visok rizik po prava i slobode lica na koje se podaci odnose
• obrada nije povremena
• obrada obuhvata naročito osetljive podatke ili podatke o ličnosti koji se odnose na krivične presude, kažnjiva dela i mere bezbednosti

Sadržaj evidencije – Ko rukuje/obrađuje podatke? Koje podatke prikupljate i kako ih obrađujete? Da li ih prenosite u inostarnstvo? Koje mere preduzimate za zaštitu podataka?

Ne postoji utvrđen obrazac za vođenje ove evidencije, ipak, u nju bi trebalo da uključiš sledeće informacije:

• koje odeljenje/sektor/lice na kojoj funkciji u tvojoj organizacionoj strukturi vrši prikupljanje i obradu podataka o ličnosti
• koja kategorija podataka o ličnosti/podaci o kojim licima se prikupljaju – npr. ime i prezime, IP adresa, podaci o stranicama koje korisnik nekog sajta posećuje
• ukoliko podaci koji se prikupljaju imaju zajednički imenitelj, možeš da odrediš zajedničko ime za tu zbirku podataka – npr. Evidencija o zaposlenima

• na koji način obrađuješ podatke o ličnosti – prikupljanje, beleženje, prepisivanje, umnožavanje, kopiranje, prenošenje, pretraživanje, razvrstavanje, pohranjivanje, razdvajanje, ukrštanje, objedinjavanje, upodobljavanje, menjanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, objavljivanje, širenje, snimanje, organizovanje, čuvanje, prilagođavanje, otkrivanje putem prenosa ili na drugi način činjenje dostupnim, prikrivanje, izmeštanje i na drugi način činjenje nedostupnim,…bez obzira da li se vrši automatski, poluautomatski ili na drugi način
• na koji način se čuvaju podaci koji se prikupljaju za svrhu obrade – u štampanoj formi (registratori, skladišta), elektronskoj formi (cloud ili drugi način čuvanja elektronskih baza podataka), u formi video zapisa, u kombinaciji više navedenih oblika čuvanja ili na drug način
• na koji način prikupljaš podatke koje obrađuješ – odnosno da li si podatke dobio direktno od lica na koje se ti podaci odnose ili na drugi način – od klijenta koji te je neposredno angažovao – od odgovora na ovo pitanje zavisi da li ćeš imati ulogu rukovaoca ili obrađivača podataka o ličnosti i koje mere treba da preduzmeš po tom osnovu. Pomoć i smernica prilikom određenja tvog položaja svakako se zasniva na odgovoru na pitanje – da li podatke obrađuješ za svoje potrebe ili za potrebe i za svrhe koje je odredilo neko drugo lice
• datum kada je tvoj biznis počeo da obrađuje podatke o ličnosti prvi put
• svrsi zbog koje prikupljaš i obrađuješ podatke o ličnosti – razlog bi trebalo da se odnosi na tvoje poslovanje, usluge koje pružaš svojim klijentima, a često se radi i o razlozima marketinške prirode i poboljšanja položaja tvog brenda/proizvoda/usluge na tržištu – savet: Odgovori na pitanje – Zašto prikupljam konkretnu kategoriju podataka o ličnosti i iz kog razloga je to potrebno za moje poslovanje?
• pravni osnov za obradu podataka o ličnosti – savet: pogledaj uslove za zakonitu obradu podataka o ličnosti – trebalo bi da obrađuješ podatke bar na osnovu jednog od njih. Ukoliko obrađuješ podatke o ličnosti na osnovu instrukcija svog klijenta i imaš ulogu obrađivača podataka o ličnosti, upamti da je neophodno da sa licem koje ti je podatke o ličnosti učinilo dostupnim i koje ima ulogu rukovaoca svoj odnos urediš ugovorom. Ukoliko ti je podatke poverio klijent ili poslovni partner, poželjno je da navedeš da li između vas postoji ugovor kojim su regulisana vaša prava, obaveze i odgovornosti, koja je tvoja uloga u obradi podataka na osnovu ugovora, koje su tvoje obaveze, kao i druge relevantne podatke koji treba da prikažu osnov po kome si dobio pristup i na osnovu kog obrađuješ podatke. Naročito obrati pažnju ukoliko si ugovor zaključio sa partnerom koji ima sedište u inostranstvu ili ukoliko na osnovu ugovora sa tim partnerom obrađuješ podatke o ličnosti lica koja su strani državljani – u ovom slučaju razmisli o konsultovanju stručnjaka u ovoj oblasti, budući da ćeš po tom osnovu biti obavezan da poštuješ i pravila države čiji je državljanin lice čije podatke obrađuješ. U tom smislu, trebalo bi da dostaviš ugovor sa svojim partnerom na analizu kako bi ustanovio da li je tvoja obrada u skladu sa svim primenljivim pravilima
• kategoriji lica čije podatke obrađuješ (npr. kupci (predstavnici/zaposleni pravnih lica ili preduzetnici), dobavljači (predstavnici/zaposleni pravnih lica ili fizička lica), distributeri (predstavnici/zaposleni pravnih lica ili fizička lica), poslovni saradnici (predstavnici/zaposleni pravnih lica ili fizička lica), krajnji kupci/potrošači (fizička lica), posetioci web sajta, itd.
• licima koja imaju ili će imati pristup podacima o ličnosti koji su predmet obrade – da li su pitanju lica koja su zaposlena ili na drugi način angažovana u tvojoj organizacionoj strukturi ili pristup imaju i treća lica i po kom osnovu. U slučaju da pristup imaju lica koja su deo tvoje organizacione strukture, trebalo bi da navedeš odeljenje/sektor kompanije i funkciju lica koja imaju ili će imati pristup podacima o ličnosti
• da li iznosiš podatke o ličnosti u inostranstvo . Ukoliko iznosiš podatke o ličnosti u inostranstvo, navedi:
• u koju zemlju ili međunarodnu organizaciju su izneti podaci i na koji način – da li fizički, u štampanoj formi, ili elektronskim putem
• po kom pravnom osnovu su izneti podaci van granica RS (primera radi, to može da bude ugovor)
• da li je bilo zahteva bilo koje vrste od strane lica na koje se podaci koje prikupljaš i obrađuješ odnose – obično se radi o zahtevima koji su povezani sa ostvarivanjem prava ovih lica – npr. da li je neko od ovih lica opozvalo svoj pristanak za dalju obradu njegovih podataka, tražilo njihovo brisanje, prenos drugom rukovaocu ili obrađivaču i sl. Ukoliko je odgovor potvrdan, potrebno je navesti podatke o zahtevu, kao i način na koji si po njemu postupio
• merama koje su preduzete u cilju čuvanja i zaštite podataka o ličnosti – obezbeđivanje prostorija gde se nalaze dokumenti koji sadrže podatke o ličnosti, ograničavanje pristupa podacima o ličnosti samo onim licima koja imaju posebna ovlašćenja, enkripcija