Knjigovodstveni uredi i GDPR-1-feralis-rijeka

Knjigovodstveni uredi i GDPR

KNJIGOVODSTVENI UREDI I GDPR – OSNOVNE OBVEZE

Pravne i fizičke osobe koje pružaju knjigovodstvene usluge svojim komitentima u smislu zaštite osobnih podataka prema GDPR-u smatraju se izvršiteljima obrade.

Samim time imaju obvezu:

1. Voditi evidenciju aktivnosti obrade u svojstvu voditelja obrade za vlastitu kategoriju osobnih podataka;

Evidencija aktivnosti obrade je formular (obrazac) koja služi kao dokaz da je obrada osobnih podataka zakonita. AZOP ističe da podaci sadržani u evidenciji obrade trebaju biti na odgovarajući način zaštićeni kao primjerice: centralizirana baza zapisa, uvođenje mjera autorizacije i kontrole pristupa.

Evidencija mora sadržavati u detaljno razrađenom obliku (više u GDPR Vodiču) slijedeće informacije:

– ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt)

– svrha obrade (detaljno objašnjena)

– opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.)

– kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije)

– prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama -rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom)

– opis tehničkih i organizacijskih mjera zaštite osobnih podataka

Evidencija se mora voditi u pisanom i elektronskom obliku i na zahtjev dati na uvid nadzorno tijelu.

2. Voditi evidenciju aktivnosti obrade za kategorije osobnih podataka svojih komitenata koje obrađuju;

Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:

– ime i kontaktne podatke svakog voditelja obrade u čije ime izvršitelj obrade djeluje

– predstavnika voditelja obrade obrade;

– službenika za zaštitu podataka;

– kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

– informacije o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa dokumentaciju o odgovarajućim zaštitnim mjerama;

opis tehničkih i organizacijskih sigurnosnih mjera koja sadrži informacije o :

  • pseudonimizaciji i enkripciji osobnih podataka;
  • sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
  • proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;
    (više u GDPR Vodiču)

Evidencija se mora voditi u pisanom i elektronskom obliku i na zahtjev dati na uvid nadzornom tijelu.

3. Urediti jasnu politiku postupanja s osobnim podacima;

U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka a time i ostvarivanja prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka potrebno je detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju.

Primjer elemenata Jasne politike: politika/pravila privatnosti, politika/pravila postupanja i sljedivosti osobnih podatak, procjena rizika obrade osobnih podataka, izjave o povjerljivosti i drugo.
(više u GDPR Vodiču)

4. Provoditi odgovarajuće tehničke i organizacijske mjere zaštite.

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Time se osigurava da osobni podaci nisu dostupni osobama koje nisu ovlaštene za njihovu obradu. U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.) ističe AZOP u svojim uputama.

Primjer tehničkih mjera: korištenje lozinki, antivirusna zaštita, enkripcija, osigurati osobne podatke kako ne bi mogli biti pročitani, kopirani, mijenjani ili brisani npr. slanje šifriranih isplatnih listi e-mailom i drugo. (više u GDPR Vodiču)

Izvor: Opća uredba o zaštiti osobnih podataka, Zakon o provedi opće uredbe o zaštiti podataka, Smjernice radne skupine članka 29., objave AZOP-a