Обрада података подразумева руковање и активности у вези са личним подацима различитих категорија лица, који се могу сврстати у различите базе. Најједноставнија подела категорија лица јесте:
Пример: Приликом закључења уговора са правним лицима са којима сарађујете, компанија обрађује и личне податке законских заступника односно представника тих правних лица, као што су: име и презиме, функција и контакт подаци ради потписивања и реализације уговора или успостављања комуникације, независно од чињенице што су неки подаци јавно доступни.
У свим наведеним случајевима се сматра да твој бизнис обрађује личне податке, само је улога твог бизниса другачија. На пример, у случају 1), 2) и 3) изнад, твој бизнис се налази у улози руковаоца (јер је твој бизнис одредио сврхе обраде личних података), док је у случају 4) изнад твој бизнис у улози обрађивача (нпр. приликом усклађивања пословања, имаш приступ евиденцији запослених свог пословног партнера). Дакле, могуће је да у свом пословању обрађујеш податке које ти је поверио неко други (као у наведеном примеру). У том случају имаш положај обрађивача података – твој привредни субјект личне податке обрађује за потребе одређеног руковаоца.
Приликом закључења уговора са правним лицима са којима сарађујете, компанија обрађује и личне податке законских заступника односно представника тих правних лица, као што су: име и презиме, функција и контакт подаци ради потписивања и реализације уговора или успостављања комуникације, независно од чињенице што су неки подаци јавно доступни.
категорија физичких лица до којих је твој бизнис дошао приликом пружања услуга трећим лицима (нпр. подаци о запосленима код клијента који те је ангажовао за сврхе пружања одређених услуга).
У свим наведеним случајевима се сматра да твој бизнис обрађује личне податке, само је улога твог бизниса другачија. На пример, у случају 1), 2) и 3) изнад, твој бизнис се налази у улози руковаоца (јер је твој бизнис одредио сврхе обраде личних података), док је у случају 4) изнад твој бизнис у улози обрађивача (ангажован си од стране клијента за пружање неке услуге на основу чега обрађујеш личне податке). Дакле, могуће је да у свом пословању обрађујеш податке које ти је поверио неко други (као у наведеном примеру). У том случају имаш положај обрађивача података – твој привредни субјект личне податке обрађује за потребе одређеног руковаоца.
Приликом обраде података могуће је обрађивати и податке страних држављана, због чега је потребно водити рачуна да ли је такву обраду података неопходно ускладити и са прописима земље одакле су ти страни држављани односно са Општом Уредбом о заштити података о личности Европске уније о личности („чувени“ GDPR).
Не постоји прецизно утврђена листа података које законодавац третира као личне податке. Ипак, у сваком конкретном случају, одговор на наведено питање можеш наћи на основу следећих питања:
да ли се податак односи на физичко лице;
да ли се на основу тог податка/података који се прикупљају у вези са тим физичким лицем то лице може идентификовати, независно од тога да ли из података јасно произлази о ком физичком лицу је реч или се до тог закључка може доћи посредним путем.
Уколико су оба одговора потврдна, то значи да обрађујеш личне податке.
Лични податак не подразумева само податке о физичким или идентификационим карактеристикама одређеног лица (нпр. ЈМБГ), већ сваки податак који може указати о ком се лицу ради, као што је ИП адреса или подаци о праћењу његовог понашања (нпр. прикупљање информација о опцијама за које се одређено лице одлучује у онлине окружењу, странице које посећује, претраживач који користи и сл.).
Пол такође представља лични податак јер се посредно преко тог податка може доћи до конкретног физичког лица. Уколико послодавац има запослене све жене и једног мушкарца, обрадом податка као што је пол, јасно се може доћи до идентитета јединог запосленог мушкарца). Имајући у виду наведено, велики је број података који се сматрају личним и због којих је потребно ускладити пословање.
На податке о личности који су нарочито осетљиви (расно или етничко порекло, политичко мишљење, верско или филозофско уверење или чланство у синдикату, подаци о здравственом стању или подаци о сексуалном животу, итд.) се примењују посебна правила.
Наиме, такви подаци се могу прикупљати само у следећим случајевима:
лице на које се подаци односе је дало изричит пристанак;
обрада је неопходна у циљу извршења обавеза или примене законом прописаних овлашћења руковаоца;
обрада је неопходна у циљу заштите животно важних интереса лица на које се подаци односе или другог физичког лица, ако лице на које се подаци односе физички или правно није у могућности да даје пристанак; и
други основи из члана 17 Закона о заштити података о личности.