03.12.2018.

Neka pitanja o implementaciji Opće uredbe o zaštiti podataka

Dosadašnja praksa u usklađenju s Općom uredbom o zaštiti podataka i njezinom primjenom ukazuje na neke opće probleme koji se ponavljaju, pogrešna razumijevanja određenih instituta i pogrešna postupanja obveznika. Na neka od tih pitanja ukazujemo u ovome članku.
1. UVODNO
Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u nastavku teksta: Opća uredba), u primjeni je od 25. svibnja 2018., pa su svi obveznici trebali najkasnije tog dana započeti s njezinom punom primjenom u svom postupanju. Opća uredba u svakom nacionalnom pravnom sustavu zemlje članice EU, pa tako i u Republici Hrvatskoj, primjenjuje se neposredno. To ipak ne znači da obveznik može primjenjivati Opću uredbu neposredno, bez odgovarajućih alata i sredstava. Naime, Opća uredba dovoljno jasno implicira (iako to izrijekom ne određuje) da obveznik treba utvrditi svoju politiku zaštite osobnih podataka. Uz to, obveznik mora biti u mogućnosti dokazati pouzdanost svojih postupaka obrade osobnih podataka (čl. 5. st. 2.), a to bi bilo nemoguće bez propisane politike obrade osobnih podataka. Dakle, osnovna je pretpostavka primjene Opće uredbe da je obveznik utvrdio vlastitu politiku zaštite osobnih podataka.
Takva politika trebala je biti utvrđena najkasnije do dana početka primjene Opće uredbe. S obzirom na to da je Opća uredba stupila na snagu još 25. svibnja 2016., svi su obveznici trebali u razdoblju od dvije godine do dana početka primjene provesti postupke usklađenja svojeg sustava zaštite osobnih podataka odnosno ustrojavanje sustava, za one koji takav sustav nisu imali.
Čini se da su postupke usklađenja pravodobno proveli uglavnom veliki obrađivači osobnih podataka, osobito oni koji imaju međunarodno poslovanje te obrađivači koji pružaju usluge informacijskog društva. S druge strane, prema javno dostupnim informacijama, može se zaključiti da dio obveznika iz kruga tijela javne vlasti još uvijek nije proveo usklađenje. Također, prema našim iskustvima, u privatnom sektoru priličan je broj srednjih ili malih pravnih osoba te osobito obrtnika i nositelja slobodnih zanimanja koji nisu proveli usklađenje.
Iz dosadašnjeg iskustva u procesu usklađenja vidljivo je da su veliki obrađivači tom postupku prišli s punom svjesnosti o važnosti Opće uredbe i svojoj odgovornosti, dok je, s druge strane, kod velikog broja ostalih obveznika primijećeno površno, nepotpuno i neprofesionalno postupanje i usklađenje sa zahtjevima Opće uredbe.

2. UTVRĐIVANJE POLITIKE ZAŠTITE PODATAKA
Politika zaštite osobnih podataka osnova je organiziranog sustava zaštite podataka. Zahtjev usklađenosti i pouzdanosti nemoguće je ispuniti bez propisane politike. Ta politika treba biti u pisanom aktu. Nevažno je kako će obveznik taj akt nazvati: politika, pravilnik, odluka, procedure i sl. 
U praksi susrećemo različite primjere mogućih načina propisivanja politika. U nekim slučajevima obveznici politike propisuju u više akata, primjerice: opća politika, posebne politike, postupci, organizacijske i tehničke mjere zaštite i sl. U drugim slučajevima svi zahtjevi sadržani su u jednom aktu. Struktura akta/akata o politikama zaštite podataka trebala bi ovisiti o vrsti obveznika, vrsti i kategorijama podataka koje obrađuje, a osobito o načinima i procesima obrade. Čini nam se prihvatljivim da manji obveznici sve zahtjeve ispune donošenjem jedinstvenog akta u kojem će urediti sva pitanja. Time će olakšati primjenu takvog akta i postupanje svih osoba s ovlastima i odgovornostima u obradi osobnih podataka.
Suočeni sa zahtjevom za propisivanje politike i popratnih dokumenata mnogi su se obveznici susreli s pravnom materijom o kojoj nisu znali ništa ili vrlo malo, pa im usklađenje s Općom uredbom nije bilo jednostavno provesti. Način kako se to moglo provesti bio je ili angažiranje vanjskih stručnjaka ili vlastiti angažman. S jedne strane, to je značilo novi neželjeni trošak plaćanja vanjske usluge, a s druge strane, to je zahtijevalo napor vlastite organizacije u svladavanju nove pravne materije i stjecanju znanja koja bi omogućila osposobljavanje vlastitog osoblja za stjecanje kapaciteta izrade politike zaštite osobnih podataka. 
Oni obveznici koji su odlučili koristiti vlastite snage za postupak ustrojavanja sustava zaštite podataka često pribjegavaju »najjednostavnijoj« metodi - prepisivanju tuđih politika. Takav se pristup redovito pokazuje potpuno pogrešnim. Naime, iako referentni obveznik, čija se politika koristi kao primjer, obrađuje manje-više iste kategorije i vrste osobnih podataka, to nikako ne znači da su svrha, načini i procesi obrade isti, odnosno da se mogu nekritički preuzeti od strane drugog obveznika.
Politika zaštite osobnih podataka kojom obveznik ne bi utvrdio svoje specifične svrhe, načine, postupke, organizaciju obrade i osobito tehničke i organizacijske mjere zaštite, zapravo ne bi ispunjavala zahtjev usklađenosti i pouzdanosti, pa se takvom propisanom politikom ne bi niti ispunio osnovni zahtjev Opće uredbe. Stoga je naš savjet obveznicima, ako se služe politikom nekog drugog obveznika, neka im ta politika bude samo primjer što i kako trebaju urediti svojom politikom, a nikako da je nekritički prepišu.
Tijekom ove godine na tržištu se pojavila široka ponuda računalnih programa ili paketa obrazaca za implementaciju Opće uredbe. Mišljenja smo da prije odlučivanja za nabavu nekog takvog paketa prethodno treba dobro proučiti što je i kakav je sadržaj nekog programa ili paketa i hoće li takav proizvod zadovoljiti konkretne potrebe određenog obveznika. Pri tome treba voditi računa o dvjema okolnostima: da takvi paketi sadržavaju obrasce jednog ili više akata, a obrasci mogu biti vrlo elementarni pa do nekih potpunijih primjera te da preuzimanje obrasca ne znači završen postupak usklađenja. Ako je obrazac kvalitetan, to još uvijek zahtijeva da obveznik iz tog obrasca načini vlastite usklađene akte. Dakle, i obrasci koji se pribavljaju na takav način zahtijevaju dodatan rad i angažman osobe koja ima dovoljno znanja o materiji da može sastaviti kvalitetan i potpun set dokumenata.
Nekritičko prepisivanje tuđih politika i korištenje obrazaca itekako je vidljivo u dosadašnjoj praksi. To se očituje, primjerice, u prepisivanju u vlastite politike samo odredaba Opće uredbe ili preuzimanju općenitih primjera iz obrazaca koji se koriste. Takvim se postupcima čine tipične pogreške, primjerice: utvrđuju načini i tehnologije obrade koji se zapravo ne provode kod određenog obveznika ili se ne propisuju sve kategorije i vrste osobnih podataka i načini obrade. Karakterističan primjer loše prakse nekritičkog preuzimanje tuđih rješenja ili primjera uočljiv je pri propisivanju organizacijskih i tehničkih mjera zaštite tako da se jednostavno nabroje opće tehničke i organizacijske mjere (iz Opće uredbe ili primjenjivanog predloška), a da se kod konkretnog obveznika i ne primjenjuje neka od navedenih mjera niti se provodi način obrade koji bi zahtijevao takvu mjeru.
Stoga, naglašavamo da ako se obveznik odluči da samostalno sastavlja dokumente za primjenu Opće uredbe koristeći pri tome primjere, obrasce, računalne programe, tome pristupa informirano i krajnje kritički.
Pri tome treba voditi računa da bi cjelovita politika u svojem normativnom dijelu trebala sadržavati uređenje najmanje sljedećih pitanja:
- opću politiku zaštite osobnih podataka i temeljna načela
- sustav pohrane osobnih podataka (kategorije ispitanika, osnove, svrhu i način obrade, vlasnike osobnih podataka, osobe koje obrađuju osobne podatke)
- organizaciju, upravljanje i nadzor
- ovlasti i odgovornosti organizacijskih dijelova i osoba
- imenovanje, ovlasti i odgovornosti službenika za zaštitu podataka (ako se imenuje)
- tehničke i organizacijske mjere zaštite osobnih podataka (primjenu načela privatnosti po dizajnu i po zadanim postavkama, tehničke mjere zaštite, informatičke mjere zaštite, organizacijske mjere zaštite)
- odnos s izvršiteljem obrade
- način provedbe procjene rizika i procjene učinka na zaštitu podataka
- prijenos osobnih podataka trećim stranama
- uvjete i način pribavljanja i uskraćivanja privola ispitanika
- informiranje ispitanika
- ostvarivanje prava ispitanika
- postupke odgovora na povrede osobnih podataka i izvješćivanje
- evidenciju aktivnosti obrade
- rokove čuvanja osobnih podataka i način brisanja. 

3. VODITELJ OBRADE I IZVRŠITELJ OBRADE
Čini se da određivanje funkcije voditelja i izvršitelja obrade predstavlja u dosadašnjoj kratkoj praksi primjene Opće uredbe jedan od najčešćih problema.
Na početku procesa oblikovanja sustava zaštite osobnih podataka izuzetno je važno odrediti ulogu koju ima određeni subjekt u pojedinom postupku obrade osobnih podataka, odnosno je li on: voditelj obrade, zajednički voditelj obrade, izvršitelj obrade ili primatelj. Uz to, trebalo bi odrediti uloge drugih subjekata koji provode određene radnje obrade paralelno s obveznikom ili nakon njega. To je važno odrediti jer za različite vrste obveznika proizlaze donekle različite obveze iz Uredbe.
Voditelj obrade je ona fizička ili pravna osoba koja sama određuje svrhu i sredstva obrade ili je to određeno propisom. Velik dio obrada osobnih podataka naložen je nekim propisom, pa upravo iz tog propisa proizlazi tko je dužan provoditi obradu osobnih podataka, a onda to upućuje i na subjekta koji je voditelj obrade. Primjerice, Zakonom o radu (Nar. nov., br. 93/14 i 127/17), zakonima kojima se određuju porezi i obvezni doprinosi te pripadajućim podzakonskim aktima određeno je da poslodavac mora prikupljati, obrađivati i prenositi osobne podatke o radnicima, pa je time određen poslodavac kao voditelj obrade za osobne podatke o radnicima. Ako obradu osobnih podataka ne određuje propis (propis RH ili EU), tada obradu određuje sam voditelj obrade, s tim što odlučuje da će provoditi neke od postupaka obrade određenih kategorija osobnih podataka. 
Voditelj obrade može biti jedan subjekt, ali može postojati i više voditelja iste obrade, tada su oni zajednički voditelji obrade. Zajednički voditelji obrade oni su koji zajednički određuju svrhu obrade ili su takvima određeni propisom. Tu je okolnost važno utvrditi jer to utječe na upravljanje postupcima obrade te nadzor nad obradom, ali iz te okolnosti proizlazi i zajednička odgovornost za postupke obrade. Unutar grupe obveznika koji zajednički djeluju (npr. grupa povezanih društava), često se obavljaju pojedine radnje obrade osobnih podataka za neke zajedničke potrebe ili zajedničkim resursima, primjerice zajedničkim aplikacijama ili na zajedničkom poslužitelju. U takvim slučajevima potrebno je pažljivo definirati uloge, da bi se razgraničile obveze i odgovornosti. Naime, unutar grupe povezanih obveznika svaki od njih pojedinačno je voditelj obrade, a što se tiče obrade koje služe nekim zajedničkim potrebama u tome pojedinačni voditelji mogu s drugima djelovati kao zajednički voditelji obrade, međutim češći je slučaj da jedan voditelj (npr. matično društvo u grupi) za druge obavlja određene radnje obrade kao njihov izvršitelj obrade. 
Izvršitelj obrade je ona fizička ili pravna osoba koja obradu obavlja u ime voditelja obrade. Kako proizlazi iz definicije (čl. 4. toč. 8. Opće uredbe), izvršitelj obrade je onaj tko po nalogu voditelja obrade i u njegovo ime obrađuje osobne podatke ispitanika voditelja obrade. 
Izvršitelj obrade može za voditelja obavljati jednu ili više radnji obrade. Primjerice, može samo prikupljati ili pohranjivati osobne podatke ili može prikupljati, koristiti ih i prenositi osobne podatke.
Često u praksi predstavlja problem definiranja i razlikovanja voditelja i izvršitelja obrade. Pri razlikovanju njihovih uloga vodimo se sljedećim kriterijima: Tablica.
Iz navedenog je vidljivo da će izvršitelj obrade biti onaj kome je voditelj obrade povjerio da u njegovo ime izvršava određene radnje obrade osobnih podataka njegovih ispitanika, u tome postupa prema voditeljevim uputama i pod njegovim nadzorom. U praksi će postojati niz dvojbenih situacija je li netko u postupcima obrade osobnih podataka izvršitelj obrade, a pri razjašnjenju pitanja treba se držati navedenih kriterija. 
Uz navedene kriterije, treba se poslužiti i onim kriterijima koji proizlaze iz propisanog sadržaja ugovora između voditelja obrade i izvršitelja obrade (čl. 28. st. 3. Opće uredbe), a osobito:
- postupa li u svojim postupcima obrade primatelj osobnih podataka prema instrukcijama voditelja obrade ili je slobodan od takvih instrukcija pa postupa prema svojim pravilima (toč. a)
- pomaže li primatelj voditelju u izvršavanju njegove obveze zaštite osobnih podataka u radnjama koje provodi voditelj obrade (toč. f)
- ovisi li brisanje osobnih podataka koje je primio od voditelja o nalogu voditelja ili o tome odlučuje primatelj (toč. g)
- je li primatelj dužan na zahtjev voditelju obrade pružiti sve informacije o postupcima obrade koje on provodi i omogućiti mu da provede nadzor nad njegovim postupcima obrade (toč. h).
Samim time što netko može imati uvid ili su mu na neki način preneseni osobni podatci, ne znači da je postao izvršitelj obrade, jer izvršiteljem se postaje samo ako postoji izričita ovlast voditelja obrade (koji je odredio da se podatci prikupljaju, obrađuju, pohranjuju i dr.) da se u njegovo ime kod izvršitelja obrade obavljaju određene radnje obrade. 
U nekim slučajevima kada je voditelj obrade određen propisom, istim propisom može biti određeno da drugi subjekt obavlja određene poslove obrade (najčešće prikupljanja i unosa podataka). U nekim je slučajevima opet propisom određeno da dva voditelja djeluju kao zajednički voditelji, kao što je, primjerice, slučaj s e-Maticama.
Važno je razjasniti da se izvršiteljem obrade ne smatra osoba u njegovoj službi (radnik/službenik) koja kod voditelja obrade provodi određene radnje obrade osobnih podataka. Smatramo da to proizlazi iz članka 28. Uredbe, ali i drugih odredaba Uredbe u kojima se navodi funkcija »osobe ovlaštene za obradu osobnih podataka«, a što upućuje da se to odnosi upravo na osoblje u službi voditelja obrade koje provodi prikupljanje, korištenje, prenošenje, pohranu ili druge radnje obrade osobnih podataka.
Pri određivanju uloga važno je identificirati vrlo česte složene uloge obveznika. Naime, svaki od obveznika jest voditelj obrade za sebe, međutim moguće je da će s obzirom na djelatnost koju obavlja, imati funkciju i izvršitelja obrade. Primjerice: knjigovodstveni servisi (bez obzira na pravni oblik) voditelji suobrade, ali za svoje klijente oni su izvršitelji obrade. No, moguće je da i knjigovodstveni servis koristi određene usluge nekog trećeg u obradi, pa će i sam imati izvršitelja obrade. Također, treba jasno razlučiti funkcije možebitnih zajedničkih voditelja obrade od funkcije izvršitelja obrade.
Primatelji osobnih podataka treće su osobe kojima se prenose osobni podatci bilo da je to određeno propisom bilo da je to odredio voditelj obrade. Primatelji osobnih podataka i drugi su voditelji obrade i izvršitelji obrade kojima voditelj obrade prenosi osobne podatke radi izvršenja njihove obrade odnosno obrade u ime voditelja obrade. Dakle, primatelji osobnih podataka mogu biti izvršitelji obrade za voditelja obrade koji im je prenio podatke, ali i ne moraju to biti. U ovome drugom slučaju sam će primatelj osobnog podatka u svojim postupcima obrade tih osobnih podataka biti u ulozi voditelja obrade.
Upravo u ovome dijelu odnosa: voditelj obrade - primatelj, u praksi primjećujemo primjere pogrešnog tumačenja uloga. Tako su, primjerice, neki davatelji ostalih poštanskih usluga svojim naručiteljima dostavili ugovore o obradi osobnih podataka, određujući sebe kao izvršitelja obrade. Isto tako postupili su i neki davatelji usluga u svezi sa zaštitom na radu. Sljedeći je primjer pogrešnog postupanja u odnosu revizor - revidirano društvo, gdje je zaključeno da bi revizor bio izvršitelj obrade u postupcima revizije. U svim tim primjerima naručitelj je zatražio pružanje određene usluge, koja, nesumnjivo, uključuje i obradu osobnih podataka. Međutim, u izvršavanju tih primjera usluga izvršitelj usluge je samostalan, on ne postupa u ime voditelja obrade već u svoje ime i slobodan je od instrukcija voditelja obrade koje bi se odnosile na način unutarnjeg postupanja izvršitelja usluge. Pri tome se instrukcijom ne može smatrati ugovorena usluga, već se instrukcija odnosi na način postupanja primatelja osobnih podataka u njegovim postupcima obrade primljenih osobnih podataka.
Česti su slučajevi postavljanja pitanja zakonitosti obrade osobnih podataka od strane agencija za naplatu tražbina. U tim slučajevima riječ je o tome da je agencija od određenog vjerovnika otkupila tražbinu prema dužniku - građaninu i na osnovi takvog ugovora postala zakoniti imatelj tražbine. Budući da je došla u položaj vjerovnika tražbine, ta agencija tada u svoje ime i za svoj račun provodi naplatu tražbine. Vjerovnik joj je na zakonit načini prenio osobne podatke dužnika (jer je do prijenosa tražbine došlo ugovornom cesijom) i agencija nadalje zakonito obrađuje osobne podatke, a njezina obrada zasniva se na nužnosti izvršenja ugovora. Međutim, agencija u tome ne djeluje kao izvršitelj obrade za bivšeg vjerovnika, već djeluje u svoje ime i za svoj račun, stoga je ona voditelj obrade osobnih podataka dužnika.
Također, može biti složeno pitanje uloga naručitelja određene IT usluge i izvršitelja takve usluge, pa treba biti osobito oprezan pri ugovaranju takvih usluga i određivanja uloga u obradi osobnih podataka. Ako je IT izvršitelj isporučitelj neke aplikacije kojom se obrađuju osobni podatci te pruža uslugu održavanja takve aplikacije (ažuriranje, nadogradnja, otklanjanje pogrešaka), on u tome ne obavlja radnje obrade osobnih podataka pa nije izvršitelj obrade za naručitelja. No, ipak, ako je opseg usluge proširen i na pohranu podataka kod IT isporučitelja, njegov unos osobnih podataka, ispravke ili druge radnje na osobnim podatcima, tada će IT isporučitelj imati ulogu izvršitelja obrade. Usluga samog spremanja osobnih podataka također predstavlja radnju obrade osobnih podataka, pa ako takvu uslugu pruža IT isporučitelj, on je izvršitelj obrade. Navedeno je izraženo u mišljenju Agencije za zaštitu podataka (u nastavku teksta: AZOP): https://azop.hr/misljenja-agencije/detaljnije/obrada-osobnih-podataka-primjenom-softverskog-rjesenja-i-iznosenje-osobnih. Ako se takvo spremanje osobnih podataka obavlja na poslužitelje u inozemstvu, treba postupati kako je određeno u Poglavlju V. Opće uredbe.

4. IZJAVA O POVJERLJIVOSTI
Bivši Zakon o zaštiti osobnih podataka (Nar. nov., br. 106/12 - proč. tekst) određivao je obvezu voditeljima obrade i primateljima da obvežu sve osobe koje kod njih provode radnje obrade osobnih podataka, na davanje izjave o povjerljivosti. Opća uredba takvu obvezu određuje samo za izvršitelje obrade, i to kao dio ugovornih klauzula ugovora između voditelja obrade i izvršitelja obrade (čl. 28. st. 3. b). Vjerojatno postupajući onako kako je određivao bivši propis, mnogivoditelji obrade i dalje traže od svojih radnika koji provode obradu osobnih podataka davanje izjave o povjerljivosti. Dakle, to više nije obveza koja proizlazi iz Opće uredbe, ali to svaki voditelj može propisati svojim aktom. Napominjemo da izjavu o povjerljivosti ne daju izvršitelji obrade, već njihovo osoblje koje ima ovlast za određenu radnju obrade osobnih podataka.

5. INFORMIRANJE ISPITANIKA
Opća uredba, u članku 12. st. 1. propisuje obvezu voditelja obrade da ispitanicima pruže informacije iz članaka 13.-22. te 34. Informacije se trebaju pružiti u pisanom obliku, elektroničkim sredstvima ili u drugom prikladnom obliku. U nekim slučajevima ta se obveza zanemaruje pa skrećemo pozornost da je izvršenje te obveze izuzetno važno, stoga mora biti ispunjena da bi obveznik mogao dokazati usklađenost svojeg sustava s Općom uredbom.
U drugim slučajevima ta se obveza izvršava djelomično. Takvi se slučajevi najčešće javljaju kod voditelja obrade koji posluju samo putem interneta, jer znatan broj tih obveznika na svojoj web stranici objave odgovarajuću informaciju zvanu: politika privatnosti, izjava o privatnosti ili slično, zanemarujući da su korisnici usluga preko interneta samo jedna od kategorija ispitanika čije osobne podatke obrađuju. Sličan je slučaj s obveznicima čije objavljene politike privatnosti sadržavaju, primjerice, samo politiku uporabe kolačića, ali ne sadržavaju informacije o svim drugim vrstama obrade osobnih podataka ostalih ispitanika.
Stoga naglašavamo da su obveznici o obradi osobnih podataka obvezni jednako informirati sve kategorije ispitanika (radnike, kupce, dobavljače, partnere, korisnike usluga, učenike, studente i dr.). Uredbom se zahtijeva da takvo informiranje bude u pisanom obliku, ali se ne određuje način objavljivanja takve informacije, pa se ona može objaviti na web stranici, na oglasnoj ploči, uručivanjem ispitanicima ili na drugi način. Bitno je da se nesumnjivo i na lako pristupačan način omogući svakom ispitaniku dostupnost takve informacije.

6. PRIVOLE ISPITANIKA
U praksi se primjećuje česta nekritična uporaba privola ispitanika za određene obrade, što dovodi do suvišnog administriranja i do nepotrebnog opterećivanja samih ispitanika. Čini se da je razlog tome nedovoljno poznavanje pravnog uređenja privole, kao pristanka na određenu radnju obrade osobnih podataka koju daje ispitanik.
Opća uredba određuje da je obrada osobnih podataka zakonita ako se zasniva na najmanje jednoj od zakonitih osnova navedenih u članku 6. st. 1. Među definiranim osnovama privola je jedna od njih. Dakle, zaključak je jasan: ako postoji neka druga od propisanih osnova, tada privola ispitanika nije nužna za zakonitost obrade. Primjerice, ako voditelj obrade mora određene osobne podatke prikupljati i obrađivati jer mu je takva obveza propisana ili je nužna radi izvršenja nekog ugovora, tada mu za obradu osobnih podataka nije potreban pristanak ispitanika.
Među propisanim osnovama za obradu određuje se i legitiman interes voditelja obrade, što predstavlja vrlo široku kategoriju za obradu osobnih podataka. Upravo ta osnova za obradu u praksi može predstavljati zakoniti razlog velikog broja vrsta obrade, a u kojim slučajevima voditelji obrade ipak posežu za pribavljanjem privole. Prema tome, ako postoji legitiman interes voditelja za određenu vrstu obrade osobnih podataka, on to može činiti i bez privole ispitanika. Dakako, bilo bi preporučljivo da voditelj obrade u svojim politikama jasno definira koje obrade provodi na osnovi legitimnog interesa, jer će u slučaju prigovora ispitanika na takvu obradu morati moći dokazati takvu osnovu. Svakako, pribavljanje privole nije suprotno Općoj uredbi, jer se određena obrada može zasnivati istodobno i na više osnova. Naglašavamo da bi u cilju izbjegavanja prekomjernog administriranja bilo preporučljivo izbjegavati traženja privola od ispitanika za obrade za koje je voditelj jasno utvrdio da postoji neka od drugih zakonitih osnova za obradu.

7. EVIDENCIJA AKTIVNOSTI OBRADE
Evidencija aktivnosti obrade višestruko je važan dokument. Ona je neizostavan dokaz usklađenosti sustava obrade osobnih podataka. Uz to, ona služi transparentnosti sustava obrade jer daje prikaz svih vrsta i načina obrade kod određenog obveznika. Evidencija treba biti i sredstvo kojim će se obveznik služiti u rješavanju zahtjeva ispitanika, osobito zahtjeva za brisanje podataka. Također, u možebitnom nadzoru AZOP-a osobe ovlaštene za nadzor iz evidencije aktivnosti obrade steći će osnovna saznanja o postojanju i funkcioniranju sustava obrade osobnih podataka kod određenog obveznika. 
Odredbom članka 30. st. 5. Opće uredbe određen je prag broja radnika (250 i više) prema kojem bi se određivala obveza vođenja evidencije aktivnosti obrade, iz čega obveznici s brojem radnika manjim od 250 zaključuju da nemaju obvezu vođenja te evidencije. Međutim, jedan od izuzetaka koji se navodi u istoj odredbi (»ako obrada nije stalna«), upućuje nas na zaključak da ako obveznik provodi određenu stalnu obradu osobnih podataka, dužan je voditi evidenciju aktivnosti obrade iako ima manje od 250 radnika. Većina obveznika ipak provodi stalne obrade (npr. radnici, kupci, dobavljači, korisnici usluga, članovi i dr.) pa je to propisani uvjet zbog kojeg trebaju voditi evidenciju aktivnosti obrade.