GDPR i zaštita osobnih podataka

Općenito.

U nastavku vam donosimo osnovno o Uredbi poznatijoj pod imenom GDPR i nekoliko konkretnih postupaka koje trgovačko društvo mora poduzeti da u tom segmentu posluje u skladu sa zakonskim odredbama. Pregled Uredbe je objašnjen iz perspektive mikro trgovačkih društava i računovodstvenih i knjigovodstvenih servisa. Tekst u nastavku je informativan te posebno napominjemo da su ove informacije i objašnjenja dane u svrhu informiranja i upoznavanja s materijom te trgovačko društvo Centar za računovodstvo Knezić j.d.o.o. ne snosi nikakvu odgovornost za možebitnu štetu koja kod korisnika može nastati njegovom upotrebom i možebitnim pogrešnim tumačenjem.

Što je GDPR, odnosno Zaštita osobnih podataka?

Opća uredba o zaštiti osobnih podataka ili poznatija kao GDPR (General Data Protection Regulation), usvojena je 25. svibnja 2016. godine i stupa na snagu 25. svibnja 2018. godine. Uredba predstavlja jedinstvena pravila i procedure za zaštitu osobnih podataka fizičkih osoba. Dakle, Uredba se isključivo odnosi na zaštitu osobnih podataka osoba i ljudi, a ne na trgovačka društva, tj. pravne osobe. Trgovačka društva su u ulozi voditelja obrade i zaštite tih osobnih podataka. Primjenjuje se u cijeloj EU i izravno se odnosi na računovodstvene i knjigovodstvene servise te njihove klijente.

Tko se mora uskladiti s Uredbom?

S uredbom se moraju uskladiti pravne osobe na području EU koje u svojem svakodnevnom radu prikupljaju ili obrađuju osobne podatke fizičkih osoba. Trgovačka društva su voditelji obrade zbirki osobnih podataka i moraju (ako imaju više od 20-ak zaposlenih, ako imaju manje od 20 tada je opcija da mogu, ali ne moraju) imati imenovanog službenika za zaštitu osobnih podataka te identificirati i znati koje zbirke osobnih podataka koriste u svojem radu. Prvo i osnovno pravilo, tj. načelo je da se od fizičkih osoba prilikom prikupljanja, obrade i korištenja njihovih osobnih podataka mora tražiti njihova izričita suglasnost (privola), a podaci koristiti za točno određenu svrhu. Poslodavac mora svojim odlukama ili internim aktima definirati način i politike korištenje osobnih podataka te mora dokumentirati sve takve procese. Često se smatra da se pravne osobe kojima primarna djelatnost nije prikupljanje osobnih podataka ne moraju uskladiti s Uredbom i Zakonom, ali to nije točno jer i one prikupljaju osobne podatke svojih zaposlenika temeljem Zakona ili uz privolu.

Što su osobni podaci?

Svrha Uredbe je podizanje svijesti pojedinaca da razmisle o tome kome, kako, zašto i koje svoje osobne podatke daju na korištenje. Osobni podaci su oni podaci na temelju kojih se može identificirati određena osoba. To su:

  1. Ime i prezime
  2. Privatna adresa (prebivalište ili boravište)
  3. OIB
  4. Glas
  5. Broj telefona i/ili mobitela
  6. Elektronička pošta
  7. Fotografija
  8. Podaci o lokaciji
  9. IP adresa
  10. Bankovni račun
  11. Obrazovanje
  12. Kreditno zaduženje
  13. Otisak prsta
  14. Snimka šarenice oka
  15. Profil na društvenim mrežama
  16. Podaci o zdravlju
  17. Omiljena literatura, film, glazba i ostalo ako takvi podaci mogu dovesti do izravnog ili neizravnog identificiranja osobe.

Što je obrada osobnih podataka?

Obrada su radnje koje se odnose na prikupljanje, bilježenje, čuvanje, uvid, otkrivanje, prenošenja ili uništavanje podataka zaposlenika, potrošača i klijenata, građana od strane državne administracije, pacijenata, učenika, studenata, članova udruga, korisnika društvenih mreža i ostalo.

Što je privola?

Za prikupljanje i obradu osobnih podataka potrebna je izričita dozvola ili privola osobe, tj. pojedinca. Privola se mora dati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak osobe na obradu osobnih podataka (npr. pisano putem Izjave). Poslodavac je dužan čuvati dobivene privole. Savjetuje se da se čuvaju u pisanom obliku, pod određenom zaštitom, jer ćete jedino tako najjednostavnije moći nadzornom tijelu dokazati da imate valjan pravni temelj za obradu zaposlenikovih osobnih podataka.

Tko je ispitanik?

Ispitanik je fizička osoba čiji se podaci prikupljaju i obrađuju.

Tko je voditelj obrade, a tko je izvršitelj obrade?

Voditelj obrade je trgovačko društvo koja je vlasnik različitih osobnih podataka fizičkih osoba (radnika zaposlenih u trgovačkom društvu). Izvršitelj obrade obrađuje podatke drugih pravnih, tj. fizičkih osoba, odnosno njihovih zaposlenika. Izvršitelj obrade je računovodstveni i knjigovodstveni servis.

Koje mjere trgovačko društvo mora poduzeti?

Najvažniji i najopsežniji zadatak je da se na pošten i zakonit način popišu zbirke, tj. evidencije osobnih podataka koji nastaju u trgovačkom društvu kako bi se osigurala njihova zaštita/povjerljivost te sklopiti Ugovore o obradi osobnih podataka između Voditelja obrade i Izvršitelja obrade te zaštititi popisane osobne podatke (npr. zaključavanjem u ladicu, šifriranjem Word dokumenata, šifriranjem korisničkih računa na računalima i uvođenje politike čistog ekrana i čistog stola te evidentirati postupke tj. korake kako se to radi). Kad trgovačko društvo unajmi računovodstveni servis dužno je zahtijevati Ugovor o obradi osobnih podataka.

Koje postupke Voditelj obrade mora poduzeti?

Voditelj obrade osobnih podataka prije prikupljanja osobnih podataka mora informirati potencijalne zaposlenike o svrsi obrade osobnih podataka, tko će biti primatelji tih podataka i tko će ih još obrađivati (knjigovodstveni servis), o pravnom temelju za obradu osobnih podataka (Uredba i Zakon i zaštiti osobnih podataka) te radi li se o dobrovoljnom ili obveznom (zakonskom) davanju osobnih podataka.

Koje podatke sadrži Ugovor o obradi?

Ugovor o obradi osobnih podataka mora sadržavati:

  1. Koje osobne podatke će razmjenjivati
  2. Koji programi će se koristiti za obradu
  3. Na koji način će se podaci zaštititi (i Voditelj i Izvršitelj obrade)
  4. Tko ima uvid u osobne podatke trgovačkog društva (kooperanti i slično)

Koji su koraci usklađenja s Uredbom?

1. Identificirati sve zbirke, tj. evidencije osobnih podataka koje se vode u trgovačkom društvu Evidencije:

  • o zaposlenim radnicima
  • o ostalim radnicima (autorski ugovori, ugovori o djelu, studentski ugovori)
  • o radnom vremenu
  • o plaćama i ostalim iznosima naknada o zaposlenim i ostalim radnicima
  • o poreznim olakšicama
  • o obrazovanju
  • o bolovanjima tj. bolestima radnika
  • o kandidatima prijavljenim na natječaj za radno mjesto
  • o kreditima i ostalim dugovanjima radnika
  • o potraživanjima radnika
  • o vlasnicima
  • o direktorima, tj. o povezanim osobama
  • o kontakt osobama i zaposlenicima poslovnih partnera
  • o potencijalnim poslovnim partnerima
  • o kupcima i klijentima
  • o dobavljačima
  • uvida i revizijskih tragova
  • i ostalo

2. Izjava o povjerljivosti ovlaštenih osoba u pravnim osobama koje se operativno bave obradom osobnih podataka i pristupaju zbirkama. Primjer možete preuzeti u nastavku – IZJAVA O POVJERLJIVOSTI – primjer.*

*Prema predloženom tekstu Agencije za zaštitu osobnih podataka.

3. Sklopiti Ugovor o obradi osobnih podataka između Voditelja obrade i Izvršitelja obrade.

4. Donijeti odluku (poslodavac, trgovačko društvo) o imenovanju službenika za zaštitu osobnih podataka (ako je manje od 20 zaposlenih MOŽE, a ako je više od 20 zaposlenih MORA imenovati Službenika).

5. Donijeti tehničke i organizacijske mjere. Voditelj obrade i/ili službenik/ca za zaštitu osobnih podataka obavlja sljedeće poslove: dužan je osigurati zakonitosti obrade, tehnički osigurati obradu, organizirati način obrade kako bi se podaci zaštitili od neovlaštenih pristupa i moguće zlouporabe. Na zahtjev građana mora omogućiti ostvarivanje prava na uvid u njihove osobne podatke, prava na ispravak netočnih (rok je 30 dana od podnošenja zahtjeva). Voditelj zbirke osobnih podataka dužan je voditi točne i potpune osobne podatke koji nedvojbeno identificiraju osobe (nepotpune ili netočne podatke dužan je dopuniti, izmijeniti ili izbrisati te o tome najkasnije izvijestiti osobu na koju se osobni podaci odnose i primatelje osobnih podataka u roku od 30 dana). Voditelj zbirke osobnih podataka ovlašten je dati na uvid osobne podatke samo na temelju pisanog zahtjeva u kojem je naveden pravni temelj i zakonita svrha. Voditelj zbirke osobnih podataka dužan je kreirati evidencije o zbirkama osobnih podataka koje vodi te dostaviti evidencije u Središnji registar koji se vodi kod Agencije za zaštitu osobnih podataka (rok je 15 dana od kreiranja zbirke).

6. Prikupiti Izjave o privolama / suglasnostima. Radnici, korisnici i ostale osobe povezane s organizacijom morat će dati posebnu suglasnost i dozvolu u obliku izjave da se dani osobni podaci mogu koristiti za pojedine svrhe (npr. za prijavu na mirovinsko i zdravstveno i obračun plaće) koje im moraju biti jasno prezentirane i objašnjene prije potpisivanja izjave. Može se ugraditi u ugovor o radu (dodaje se klauzula o privolama) ili posebnim izjavama.

7. Način postupanja s posebnim kategorijama osobnih podataka. To su podaci koji se odnose na:

  • rasno ili etničko podrijetlo,
  • politička stajališta,
  • vjerska ili druga uvjerenja,
  • sindikalno članstvo,
  • zdravlje ili spolni život,
  • osobne podatake o kaznenom i prekršajnom postupku.

8. Napraviti procjenu informacijske sigurnosti osobnih podataka (firewall, antivirusni program, sigurnosne zakrpe operatiwnog sustava, ažuriranje programa i aplikacija, itd.)

Tko mora uskladiti evidencije?

Vrlo važna točka kod usklađivanja u Uredbom je potreba usklađivanja evidencija računovodstvenih i knjigovodstvenih servisa s klijentima i pružateljima programskih rješenja.

Koja prava ima građanin, tj. ispitanik?

  • Pravo da povuče ranije danu privolu. Ovo pravo znači da u slučajevima kada se podaci prikupljaju na temelju slobodno dane privole, građanin ima pravo povući danu privolu za prikupljanje i obradu svojih osobnih podataka.
  • Pravo pristupa informacijama o osobnim podacima. Ovo pravo uključuje pravo znati tko raspolaže podacima, pravo na podnošenje zahtjeva, odnosno pravo zatražiti od bilo koje organizacije, pravne ili fizičke osobe koja raspolaže osobnim podacima (npr. banka, policija, poslodavac, liječnik) pristup osobnim podacima, pravo dobiti na uvid konkretne podatke koji se čuvaju u nekoj zbirci osobnih podataka. Zahtjev se daje u pisanom obliku, a rok za dobivanje informacije je 30 dana.
  • Pravo na ispravak netočnih ili nepotpunih podataka i pravo brisanja, sprečavanja prenošenja takvih podataka. Ovo pravo uključuje zatražiti brisanje podataka iz određene zbirke (ako se zbirka ne vodi prema posebnim propisima). Građani već mogu s nekih društvenih mreža zatražiti brisanje podataka.
  • Pravo uklanjanja imena s marketinške liste. Ispitanik ima pravo usprotiviti se obradi osobnih podataka u svrhe marketinga i u tom se slučaju osobni podaci koji se na njega odnose ne smiju obrađivati u tu svrhu. Ako organizacija ili trgovačko društvo raspolaže osobnim podacima za svrhe izravnog marketinga (kao što je mailing, ili marketing putem telefona) ispitanik ima pravo zatražiti uklanjanje osobnih podataka iz takve evidencije. Ovo pravo je osobito korisno u slučajevima primanja tzv.”junk mail-ova” ili uznemirujućih telefonskih poziva od strane prodavatelja.
  • Pravo pritužbe. Svaki građanin može se obratiti Agenciji za zaštitu osobnih podataka ako smatra da su povrijeđena njegova prava i ako su podaci o njemu korišteni suprotno propisima. Agencija za zaštitu osobnih podataka može, na traženje osobe koja je podnijela zahtjev za utvrđivanje povrede prava, privremeno rješenjem zabraniti obradu podataka na koje se zahtjev odnosi do pravomoćnog okončanja postupka.
  • Pravo na naknadu štete. Svatko ima pravo pred sudom opće nadležnosti tražiti naknadu štete od voditelja zbirke osobnih podataka u slučajevima povrede njegovih prava. Osim toga, Voditelj zbirke osobnih podataka u slučaju kršenja prava građanina na zaštitu osobnih podataka može odgovarati prekršajno i kazneno pred nadležnim tijelom (sudom), a pokretanje postupka prekršajne i kaznene odgovornosti može predložiti i Agencija za zaštitu osobnih podataka.

Autor: Danijel Knezić, mag.oec.

Odgovori

Zatvori izbornik