Knjigovodstveni uredi, odnosno pravne i fizičke osobe koje pružaju knjigovodstvene usluge svojim komitentima u smislu zaštite osobnih podataka prema GDPR-u smatraju se izvršiteljima obrade.
Samim time imaju obvezu:
-
Voditi evidenciju aktivnosti obrade u svojstvu voditelja obrade za vlastitu kategoriju osobnih podataka;
Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. AZOP ističe da podaci sadržani u evidenciji obrade trebaju biti na odgovarajući način zaštićeni kao primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa.
Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:
- ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt)
- svrha obrade (detaljno objašnjena)
- opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.)
- kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije)
- prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama -rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom)
- opis tehničkih i organizacijskih mjera zaštite osobnih podataka
Evidencija se mora voditi u pisanom i elektronskom obliku i na zahtjev dati na uvid nadzorno tijelu.
-
Voditi evidenciju aktivnosti obrade za kategorije osobnih podataka svojih komitenata koje obrađuju;
Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:ime i kontaktne podatke svakog voditelja obrade u čije ime izvršitelj obrade djeluje
- predstavnika voditelja obrade obrade;
- službenika za zaštitu podataka;
- kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
- informacije o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa dokumentaciju o odgovarajućim zaštitnim mjerama;
- opis tehničkih i organizacijskih sigurnosnih mjera koja sadrži informacije o :
- pseudonimizaciji i enkripciji osobnih podataka;
- sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
- proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
-
Urediti jasnu politiku postupanja s osobnim podacima;
U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka potrebno je detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju. Primjer elemenata Jasne politike: politika/pravila privatnosti, politika/pravila postupanja i sljedivosti osobnih podatak, procjena rizika obrade osobnih podataka, izjave o povjerljivosti i drugo.
-
Provoditi odgovarajuće tehničke i organizacijske mjere zaštite.
Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Time se osigurava da osobni podaci nisu dostupni osobama koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.) ističe AZOP u svojim uputama.
Primjer tehničkih mjera: korištenje lozinki, antivirusna zaštita, enkripcija, osigurati osobne podatke kako ne bi mogli biti pročitani, kopirani, mijenjani ili brisani npr. slanje šifriranih isplatnih listi e-mailom i drugo.
Povezane teme:
Elektronički potpis, OiB & GDPR
Prijenos potraživanja i GDPR
Povezane usluge:
DPO - Podrška službeniku za zaštitu podataka
Ines I Marko Krečak, dpo
