Nedostupan dokument, obavezna prijava
Input:

GDPR Online razgovor

16.5.2018, , Izvor: Verlag Dashöfer

Pitanje 1: Koje sve radnje treba obaviti knjigovodstveni servis da bi svoje poslovanje uskladio s GDPR? Molim navedite sve od prve do zadnje, nemojte samo napisati općenito u skladu s GDPR. Za svoje klijente obrađuje prijave radnika, obračun plaća i vodi analitičke kartice kupaca građana i obrtnika

Odgovor 1: Treba napisati pravilnik o načinu obrade podataka, navesti sve evidencije koje vodi, koje te evidencije sadrže osobne podatke, ustrojiti registar evidencija i o tom registru obavijestiti Agenciju za zaštitu osobnih podataka (sadrži popis svih evidencija s njihovim sadržajem), možete a i ne morate imati službenika za zaštitu osobnih podataka, u ugovore o radu sa svojim radnicima regulirati obvezu čuvanja osobnih podataka koje saznaju u obavljanju poslova svoga radnog mjesta, ugovorom s klijentima regulirati način i opseg korištenja osobnih podatka koje od njih prima, u poslovnim odnosima s vanjskim suradnicima koji imaju pristup osobnih podacima (ugovor o djelu) - također regulirati način korištenja i obrade tih podataka, eventualne kazne itd.

Pitanje 2: Bavimo se izradom vlastite poslovne aplikacije i pružanjem usluge podrške u njenom korištenju i imamo ugovore sa svim svojim korisnicima, gdje je navedeno da se sve informacije moraju smatrati poslovnom tajnom. S obzirom da mi prilikom pružanja usluga podrške našim korisnicima (npr.knjigovodstvenom servisu koji koristi naš program) imamo uvid u baze podataka njihovih korisnika (npr.baza za obračun plaća radnika), koje su tu obveze svih 3 strana uključenih da budemo u skladu s GDPR-om? I tko je tu voditelj obrade, tko izvršitelj? Jer mi njima ne radimo nikakvu obradu podataka, nego im pružamo uslugu podrške u korištenju same aplikacije. A prilikom toga imamo uvid u privatne podatke zaposlenika nekih njihovih korisnika...

Odgovor 2: I sam uvid u osobne podatke se smatra obradom, tako da ste i Vi izvršitelj obrade, voditelj je knjigovodstvo, trebali biste s klijentom ugovorno razriješiti način korištenja, odnosno obrade osobnih podataka, regulirati opseg tog korištenja, zabranu izrade i čuvanja kopija, a samo knjigovodstvo bi trebalo ugovorom sa svojim klijentima pribaviti dopuštenje da se osobni podaci u tom određenom opsegu daju i trećima kod ovakve obrade koju vi vršite.

Pitanje 3: Ako je knjigovodstveni servis izvršitelj obrade treba li svaki klijent imati voditelja obrade neovisno o broju radnika ili je to direktor društva i što se prijavljuje u Agenciju za zaštitu osobnih podataka?

Odgovor 3: Voditelj obrade je fizička ili pravna osoba koja obrađuje podatke, a je to iz Vašeg pitanja poslodavac, a direktor je samo zakonski zastupnik voditelja obrade. Ako ste mislili na službenika za zaštitu osobnih podataka, njega ne moraju nužno imenovati svi poslodavci (traži se samo kod sustavnog praćenja i obrade osobnih podataka, većeg opsega itd.), ali je preporuka da se to učini i o tom imenovanju obavijesti Agencija. Prema tome, svaki klijent je voditelj obrade i s njim trebate ugovorom regulirati koji vam se podaci dostavljaju, na koji način ih koristite, koliko dugo čuvate itd.

Pitanje 4: Što smo mi kao, proizvođači softwarea za vođenje poslovanja i pružatelji usluga podrške u korištenju našeg programa, dužni napraviti i osigurati prema krajnjem korisniku da budemo usklađeni s GDPR-om?

Odgovor 4: Trebali biste s kupcem odnosno korisnikom softvera ugovoriti način i opseg korištenja osobnih podataka koji će Vam zbog tog njihovog korištenja softvera biti dostupni, regulirati razdoblje u kojemu ćete moći obrađivati te podatke, koliko ćete ih dugo moći čuvati itd., možete se ugovorom ograditi od potraživanja kupca s naslova naknade štete za nezakonitu obradu (npr. kupac odgovara za zakonitost prikupljenih podataka koji su vam putem aplikacije dostupni) itd.

Pitanje 5: Koje osnovne radnje mora poduzeti IT-ovac u tvrtki kojoj osnova djelatnost nije obrada osobnih podatka (srednje poduzeće u gospodarstvu)?

Odgovor 5: IT-evac sam po sebi ništa posebno, ali bi poslodavac (društvo u kojemu radi ili fizička osoba koja ga zapošljava) morali napisati pravilnik o načinu obrade podataka, navesti sve evidencije koje vodi, koje te evidencije sadrže osobne podatke, ustrojiti registar evidencija i o tom registru obavijestiti Agenciju za zaštitu osobnih podataka (sadrži popis svih evidencija s njihovim sadržajem), možete a i ne morate imati službenika za zaštitu osobnih podataka, a ugovorom o radu sa svojim radnicima regulirati obvezu čuvanja osobnih podataka koje saznaju u obavljanju poslova svoga radnog mjesta, ugovorom s klijentima regulirati način i opseg korištenja osobnih podatka koje od njih prima, u poslovnim odnosima s vanjskim suradnicima koji imaju pristup osobnih podacima (ugovor o djelu) - također regulirati način korištenja i obrade tih podataka, eventualne kazne itd.

Pitanje 6: Tko definira voditelja zbirki osobnih podataka i je li nužno u firmi imenovati osobu koja je voditelj zbirke osobnih podataka?

Odgovor 6: Od 25.5.2018. godine ne postoji voditelj zbirke, nego "voditelj obrade" , a to je fizička ili pravna osoba koje sama ili zajedno s drugim određuje svrhe i sredstva obrade osobnih podataka, definiran je čl. 4. Uredbe (GDPR), a službenik za zaštitu podataka je fizička osoba koja vodi brigu o zakonitosti obrade podataka kod voditelja obrade, može ali i ne mora biti radnik voditelja obrade, može ga se angažirati ugovorom o djelu, trebao bi imati stručne kvalifikacije iz prava i zaštite osobnih podataka itd., ali ga nije dužan imenovati svaki voditelj obrade (samo kod obrada većeg opsega - na nacionalnoj ili internacionalnoj razini, sustavne obrade većeg opsega itd).

Pitanje 7: U kojim slučajevima nije potrebno imenovati službenika za zaštitu osobnih podataka ?

Odgovor 7: U većini slučajeva nije, jer se čl. 37. Uredba (GDPR) imenovanje zahtijeva samo kada obradu provodi tijelo javne vlasti, kada se osnovne djelatnosti voditelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili se osnovne djelatnosti voditelja obrade sastoje od opsežne obrade posebnih kategorija podataka (npr. rasno porijeklo, genetski podaci, biometrijski podaci, politička mišljenja, vjerska uvjerenja itd.),

Pitanje 8: Moraju li svi zaposlenici potpisati obrazac poduzeća da se njihovi osobni podaci obrađuju u određenu svrhu?

Odgovor 8: Moraju svi, pogotovo ako poslodavac ima video nadzor, kontrolu ulaska i nazočnosti radnik putem biometrijskih podataka itd. to se može napraviti ili kroz posebne izjave ili kroz izmjene ugovora o radu.

Pitanje 9: Što znači po GDPR nošenje pločica s imenom i prezimenom u trgovini (prodavači/ice)?

Odgovor 9: Trebalo bi se pokriti privolom ili se može reducirati opseg podataka na pločici - staviti samo ime ili ime i inicijal prezimena, ali u svakom slučaju trebala bi privola radnika za takvo korištenje, možete ju pribaviti kroz posebne izjave ili izmjene ugovora o radu ili pravilnik o radu koji će se primjenjivati na sve radnike

Pitanje 10: S obzirom da imamo vanjsko knjigovodstvo koje nam radi obračun plaća, moramo li mi toj firmi dati neki pisani oblik privole da ona obrađuje naše podatke za potrebe obračuna plaće i ostale računovodstvene potrebe, ili se to podrazumijeva s obzirom da imamo sklopljen ugovor? Trebamo li raditi neki aneks ugovora ili izjavu da su zaposlenici suglasni da treća strana (računovodstvena tvrtka) ima uvid u njihove osobne podatke?

Odgovor 10: Trebali biste i s knjigovodstvenim servisom sklopiti ugovor o načinu i opsegu obrade osobnih podataka radnika (za što će ih koristiti, koliko dugo čuvati, kome eventualno otkrivati -HZMO., HZZO itd.) i s radnicima regulirati (kroz privolu u posebnoj izjavi ili izmijenjenim ugovorima o radu ili pravilnikom o radu koji će se primjenjivati na sve radnike) način obrade njihovih osobnih podataka u svrhu ispunjavanja zakonskih obveza poslodavca kao voditelja obrade.

Pitanje 11: Naše društvo povremeno zapošljava studente. Koji su zahtjevi što se tiče povjerljivosti podataka, odnosno je li dovoljno potpisati Izjavu o povjerljivosti?

Odgovor 11: Izjava o povjerljivosti bi se primarno odnosila na poslovnu tajnu koju saznaju u obavljanju poslova kod poslodavca, a ovdje se radi o osobnim podacima; u tom kontekstu, i studente se može izjavom ili ugovorom obvezati na čuvanje kao tajne svih osobnih podataka ili drugih informacija koje su im na bilo koji način postale dostupne za razdoblja rada kod poslodavca, ako su npr. radili u knjigovodstvu, ljudskim resursima itd. Isto tako, oni bi trebali potpisati izjavu kojom daju suglasnost da se njihovi osobni podaci obrađuju na način kako je propisan radi ispunjavanja obveza poslodavca (prijave, upisi u evidenciju o osobama čiji rad poslodavac koristi itd.).

Pitanje 12: Predstavlja li raspored godišnjih odmora izvješen na oglasnoj ploči radne jedinice s imenima i prezimenima radnika te datumima godišnjeg odmora povredu GDPR?

Odgovor 12: Smatramo da nije, jer je takva obrada propisana odredbom čl. 85 Zakona o radu, a u čl. 6. st. 1. toč. c) piše da je obrada zakonita ako je nužna radi poštovanja pravnih obveza voditelja obrade. Od poslodavca se traži da objavi raspored korištenja godišnjeg odmora do 30.6.

Pitanje 13: S obzirom na to da se Zbirke osobnih podataka više ne moraju prijavljivati AZOP-u, moraju li ih poduzeća i dalje osnivati ili je dovoljno napraviti analizu osobnih podataka?

Odgovor 13: Voditelji obrade umjesto "zbirki osobnih podataka" moraju ustrojiti "registar evidencija" (sadrži popis svih evidencija s njihovim sadržajem), pa je to zapravo ista stvar, samo što se ne prijavljuje AZOP-u, a analiza se radi kroz pisani dokument procjene opasnosti za osobne podatke, kojim se onda dokazuje Agenciji da se postupilo sukladno procijenjenom stupnja rizika s obzirom na sve okolnosti kod voditelja.

Pitanje 14: Je li za fotografiranje radnika na zajedničkim događajima unutar firme, za interni časopis, objave na internom portal i sl., potrebna privola radnika ili je to pokriveno ugovorom o radu?

Odgovor 14: Nije pokriveno ugovorom o radu, ali se radi o javnom događaju, pa je radnik na to pristao pojavljivanjem.

Pitanje 15: Radnici naše tvrtke sami raznose račune za isporuku plina fizičkim i pravnim kupcima i stavljaju ih u poštanski sandučić bez kuvertiranja. Trebaju li radnici potpisati Izjavu o povjerljivosti? Napominjem da se i na kuverti vide osobni podaci. Što je potrebno napraviti po Uredbi za dostavu računa putem emaila?

Odgovor 15: U svakom slučaju trebali biste s radnicima regulirati način korištenja njihovih osobnih podatka, ali i njihovu obvezu da čuvaju kao tajnu sve osobne podatke bilo koje treće osobe koje saznaju u obavljanju poslova svoga radnog mjesta. Za dostavu putem emaila treba pribaviti pristanak (privolu) ispitanika da se njegova adresa elektroničke pošte koristi za tu svrhu.

Pitanje 16: Za teleoperatera sklapamo ugovore za internet i mobilnu telefoniju. Ugovore i podatke od kupaca/fizičke i pravne osobe/ ne pohranjujemo u naša računala niti u naše baze, već kroz program operatera. Moramo li mi nešto odraditi za zaštitu podataka ili je to na teleoperateru, jer su podaci kod njih i njima na raspolaganju?

Odgovor 16: Trebali biste ugovorom s teleoperaterom regulirati način i opseg obrade osobnih podataka, s obzirom da se i uvid u njih smatra obradom. Privola ispitanika za takvu obradu trebala bi biti sastavni dio ugovora koji sklapaju.

Pitanje 17: Je li nužna registracija naše tvrtke u Središnji registar evidencija zbirki osobnih podataka?

Odgovor 17: Od 25.5.2018. nema više obveze registracije poslodavaca u središnji registar.

Pitanje 18: Jesmo li agenciji AZOP obvezni dostavljati katalog zbirke osobnih podataka i što sve treba prijaviti agenciji vezano za GDPR?

Odgovor 18: Treba prijaviti službenika za zaštitu osobnih podataka ako ćete ga imenovati (a to u većini slučajeva nije obvezno, jer se čl. 37. Uredba (GDPR) imenovanje zahtijeva samo kada obradu provodi tijelo javne vlasti, kada se osnovne djelatnosti voditelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili se osnovne djelatnosti voditelja obrade sastoje od opsežne obrade posebnih kategorija podataka (npr. rasno porijeklo, genetski podaci, biometrijski podaci, politička mišljenja, vjerska uvjerenja itd.), sve ostale dokumente morate imati kod sebe (registar evidencija, pravilnik o zaštiti osobnih podataka u kojemu ćete propisati koje sve evidencije vodite, koji je njihov sadržaj, za koje svrhe obrađujete te osobne podatke, koja je pravna osnova te obrade, koliko dugo ih čuvate itd., te eventualne privole radnika odnosno kupaca fizičkih osoba za obradu njihovih osobnih podataka).

Pitanje 19: Koje sve podatke obrtnici trebaju poslati u Agenciju za zaštitu osobnih podataka?

Odgovor 19: Ne postoji više od 25.5.2018. obveza prijavljivanja u registar kod AZOP-a, ali morate imati razrađena pitanja zaštite osobnih podataka (kroz pravilnik, ugovore s radnicima, eventualne privole ispitanika (kupaca) itd.).

Pitanje 20: Postoji li posebna procedura za obavještavanje kupaca u trgovinama da se u prostoru nalazi videonadzor ili je naljepnica za elementima koje propisuje Uredba dovoljna?

Odgovor 20: Naljepnica bi za kupce trebala biti dovoljna:

Zakon o provedbi Opće uredbe o zaštiti podataka Narodne novine 42/2018

Članak 27.

(1) Voditelj obrade ili izvršitelj obrade dužan je označiti da je objekt odnosno pojedina prostorija u njemu te vanjska površina objekta pod videonadzorom, a oznaka treba biti vidljiva najkasnije prilikom ulaska u perimetar snimanja.

(2) Obavijest iz stavka 1. ovoga članka treba sadržavati sve relevantne informacije sukladno odredbi članka 13. Opće uredbe o zaštiti podataka, a posebno jednostavnu i lako razumljivu sliku uz tekst kojim se ispitanicima pružaju sljedeće informacije:

  • da je prostor pod videonadzorom
  • podatke o voditelju obrade
  • podatke za kontakt putem kojih ispitanik može ostvariti svoja prava.

Članak 28.

(1) Pravo pristupa osobnim podacima prikupljenim putem videonadzora ima odgovorna osoba voditelja obrade odnosno izvršitelja obrade i/ili osoba koju on ovlasti.

(2) Osobe iz stavka 1. ovoga članka ne smiju koristiti snimke iz sustava videonadzora suprotno svrsi utvrđenoj u članku 26. stavku 1. ovoga Zakona.

(3) Sustav videonadzora mora biti zaštićen od pristupa neovlaštenih osoba.

(4) Voditelj obrade i izvršitelj obrade dužni su uspostaviti automatizirani sustav zapisa za evidentiranje pristupa snimkama videonadzora koji će sadržavati vrijeme i mjesto pristupa, kao i oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora.

(5) Pristup podacima iz stavka 1. ovoga članka imaju nadležna državna tijela u okviru obavljanja poslova iz svojeg zakonom utvrđenog djelokruga.

Članak 29.

Snimke dobivene putem videonadzora mogu se čuvati najviše šest mjeseci, osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom istovrijednom postupku.

Videonadzor radnih prostorija

Članak 30.

(1) Obrada osobnih podataka zaposlenika putem sustava videonadzora može se provoditi samo ako su uz uvjete utvrđene ovim Zakonom ispunjeni i uvjeti utvrđeni propisima kojima se regulira zaštita na radu i ako su zaposlenici bili na primjeren način unaprijed obaviješteni o takvoj mjeri te ako je poslodavac informirao zaposlenike prije donošenja odluke o postavljanju sustava videonadzora.

(2) Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i

 
 Pošaljite nam povratnu informaciju
Što mislite o našem portalu?
Vaša poruka je uspješno poslana.
Input: