Knjigovodstveni uredi & GDPR

14.09.2020. 09:10:00

GDPR u praksi

Knjigovodstveni uredi, odnosno pravne i fizičke osobe koje pružaju knjigovodstvene usluge svojim komitentima u smislu zaštite osobnih podataka prema GDPR-u smatraju se izvršiteljima obrade.

Samim time imaju obvezu:

Voditi evidenciju aktivnosti obrade u svojstvu voditelja obrade za vlastitu kategoriju osobnih podataka;

Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. AZOP ističe da podaci sadržani u evidenciji obrade trebaju biti na odgovarajući način zaštićeni kao primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa.

Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:

ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt)
svrha obrade (detaljno objašnjena)
opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.)
kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije)
prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama -rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom)
opis tehničkih i organizacijskih mjera zaštite osobnih podataka

Evidencija se mora voditi u pisanom i elektronskom obliku i na zahtjev dati na uvid nadzorno tijelu.

Voditi evidenciju aktivnosti obrade za kategorije osobnih podataka svojih komitenata koje obrađuju;

Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:
ime i kontaktne podatke svakog voditelja obrade u čije ime izvršitelj obrade djeluje

predstavnika voditelja obrade obrade;
službenika za zaštitu podataka;
kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
informacije o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa dokumentaciju o odgovarajućim zaštitnim mjerama;
opis tehničkih i organizacijskih sigurnosnih mjera koja sadrži informacije o :
- pseudonimizaciji i enkripciji osobnih podataka;
- sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
- proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;

Urediti jasnu politiku postupanja s osobnim podacima;

U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka potrebno je detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju.

Primjer elemenata Jasne politike: politika/pravila privatnosti, politika/pravila postupanja i sljedivosti osobnih podatak, procjena rizika obrade osobnih podataka, izjave o povjerljivosti i drugo.

Provoditi odgovarajuće tehničke i organizacijske mjere zaštite.

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Time se osigurava da osobni podaci nisu dostupni osobama koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.) ističe AZOP u svojim uputama.

Primjer tehničkih mjera: korištenje lozinki, antivirusna zaštita, enkripcija, osigurati osobne podatke kako ne bi mogli biti pročitani, kopirani, mijenjani ili brisani npr. slanje šifriranih isplatnih listi e-mailom i drugo.

Povezane teme:
Elektronički potpis, OiB & GDPR
Prijenos potraživanja i GDPR

Povezane usluge:
DPO - Podrška službeniku za zaštitu podataka