Koje podatke se može obrađivati i pod kojim uvjetima?

Odgovor

Vrsta i količina osobnih podataka koje društvo/organizacija može obrađivati ovisi o razlogu zašto ih obrađuje (iskorišten pravni razlog) i predviđenoj namjeni. Društvo/organizacija mora poštovati nekoliko ključnih pravila, uključujući sljedeća:

• osobni podaci moraju se obrađivati na zakonit i transparentan način, osiguravajući poštenost prema pojedincima čije osobni podaci se obrađuju („zakonitost, poštenost i transparentnost”),
• mora postojati posebna svrhe za obradu podataka i društvo/organizacija moraju naznačiti te svrhe pojedincima kad prikupljaju njihove osobne podatke. Društvo/organizacija ne može samo prikupljati osobne podatke u neutvrđene svrhe („ograničavanje svrhe”);
• društvo/organizacija mora prikupljati i obrađivati samo osobne podatke koji su nužni za ispunjavanje te svrhe („smanjenje količine podataka”);
• društvo/organizacija mora osigurati da su osobni podaci točni i ažurni, uzimajući u obzir svrhe u koje se obrađuju te ih ispraviti ako nisu točni („točnost”);
• društvo/organizacija  osobne podatke ne može dalje upotrebljavati u druge svrhe koje nisu kompatibilne s izvornom svrhom prikupljanja;
• društvo/organizacija mora osigurati da se osobni podaci ne pohranjuju dulje nego što je to potrebno u svrhe u koje su prikupljani („ograničenje pohrane”);
• društvo/organizacija mora utvrditi odgovarajuće tehničke i organizacijske mjere zaštite koje osiguravaju sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajuće tehnologije („cjelovitost i povjerljivost”).

Primjer

Vaše društvo/organizacija vodi turističku agenciju. Kada tražite osobne podatke svojeg klijenta, trebate jasnim i jednostavnim jezikom objasniti zašto su vam potrebni podaci, kako ćete ih upotrebljavati te koliko ih dugo namjeravate zadržati. Obradu treba strukturirati na način da poštuje ključna načela zaštite podataka.

Upućivanja

• Članak 5. stavak 1. i Uvodna izjava (39) OUZP-a
• Mišljenje 03/2013 Radne skupine iz članka 29. o ograničavanju svrhe (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)