danas je 5.2.2023

Input:

GDPR Online razgovor

16.5.2018, , Izvor: Verlag Dashöfer

Pitanje 1: Koje sve radnje treba obaviti knjigovodstveni servis da bi svoje poslovanje uskladio s GDPR? Molim navedite sve od prve do zadnje, nemojte samo napisati općenito u skladu s GDPR. Za svoje klijente obrađuje prijave radnika, obračun plaća i vodi analitičke kartice kupaca građana i obrtnika

Odgovor 1: Treba napisati pravilnik o načinu obrade podataka, navesti sve evidencije koje vodi, koje te evidencije sadrže osobne podatke, ustrojiti registar evidencija i o tom registru obavijestiti Agenciju za zaštitu osobnih podataka (sadrži popis svih evidencija s njihovim sadržajem), možete a i ne morate imati službenika za zaštitu osobnih podataka, u ugovore o radu sa svojim radnicima regulirati obvezu čuvanja osobnih podataka koje saznaju u obavljanju poslova svoga radnog mjesta, ugovorom s klijentima regulirati način i opseg korištenja osobnih podatka koje od njih prima, u poslovnim odnosima s vanjskim suradnicima koji imaju pristup osobnih podacima (ugovor o djelu) - također regulirati način korištenja i obrade tih podataka, eventualne kazne itd.

Pitanje 2: Bavimo se izradom vlastite poslovne aplikacije i pružanjem usluge podrške u njenom korištenju i imamo ugovore sa svim svojim korisnicima, gdje je navedeno da se sve informacije moraju smatrati poslovnom tajnom. S obzirom da mi prilikom pružanja usluga podrške našim korisnicima (npr.knjigovodstvenom servisu koji koristi naš program) imamo uvid u baze podataka njihovih korisnika (npr.baza za obračun plaća radnika), koje su tu obveze svih 3 strana uključenih da budemo u skladu s GDPR-om? I tko je tu voditelj obrade, tko izvršitelj? Jer mi njima ne radimo nikakvu obradu podataka, nego im pružamo uslugu podrške u korištenju same aplikacije. A prilikom toga imamo uvid u privatne podatke zaposlenika nekih njihovih korisnika...

Odgovor 2: I sam uvid u osobne podatke se smatra obradom, tako da ste i Vi izvršitelj obrade, voditelj je knjigovodstvo, trebali biste s klijentom ugovorno razriješiti način korištenja, odnosno obrade osobnih podataka, regulirati opseg tog korištenja, zabranu izrade i čuvanja kopija, a samo knjigovodstvo bi trebalo ugovorom sa svojim klijentima pribaviti dopuštenje da se osobni podaci u tom određenom opsegu daju i trećima kod ovakve obrade koju vi vršite.

Pitanje 3: Ako je knjigovodstveni servis izvršitelj obrade treba li svaki klijent imati voditelja obrade neovisno o broju radnika ili je to direktor društva i što se prijavljuje u Agenciju za zaštitu osobnih podataka?

Odgovor 3: Voditelj obrade je fizička ili pravna osoba koja obrađuje podatke, a je to iz Vašeg pitanja poslodavac, a direktor je samo zakonski zastupnik voditelja obrade. Ako ste mislili na službenika za zaštitu osobnih podataka, njega ne moraju nužno imenovati svi poslodavci (traži se samo kod sustavnog praćenja i obrade osobnih podataka, većeg opsega itd.), ali je preporuka da se to učini i o tom imenovanju obavijesti Agencija. Prema tome, svaki klijent je voditelj obrade i s njim trebate ugovorom regulirati koji vam se podaci dostavljaju, na koji način ih koristite, koliko dugo čuvate itd.

Pitanje 4: Što smo mi kao, proizvođači softwarea za vođenje poslovanja i pružatelji usluga podrške u korištenju našeg programa, dužni napraviti i osigurati prema krajnjem korisniku da budemo usklađeni s GDPR-om?

Odgovor 4: Trebali biste s kupcem odnosno korisnikom softvera ugovoriti način i opseg korištenja osobnih podataka koji će Vam zbog tog njihovog korištenja softvera biti dostupni, regulirati razdoblje u kojemu ćete moći obrađivati te podatke, koliko ćete ih dugo moći čuvati itd., možete se ugovorom ograditi od potraživanja kupca s naslova naknade štete za nezakonitu obradu (npr. kupac odgovara za zakonitost prikupljenih podataka koji su vam putem aplikacije dostupni) itd.

Pitanje 5: Koje osnovne radnje mora poduzeti IT-ovac u tvrtki kojoj osnova djelatnost nije obrada osobnih podatka (srednje poduzeće u gospodarstvu)?

Odgovor 5: IT-evac sam po sebi ništa posebno, ali bi poslodavac (društvo u kojemu radi ili fizička osoba koja ga zapošljava) morali napisati pravilnik o načinu obrade podataka, navesti sve evidencije koje vodi, koje te evidencije sadrže osobne podatke, ustrojiti registar evidencija i o tom registru obavijestiti Agenciju za zaštitu osobnih podataka (sadrži popis svih evidencija s njihovim sadržajem), možete a i ne morate imati službenika za zaštitu osobnih podataka, a ugovorom o radu sa svojim radnicima regulirati obvezu čuvanja osobnih podataka koje saznaju u obavljanju poslova svoga radnog mjesta, ugovorom s klijentima regulirati način i opseg korištenja osobnih podatka koje od njih prima, u poslovnim odnosima s vanjskim suradnicima koji imaju pristup osobnih podacima (ugovor o djelu) - također regulirati način korištenja i obrade tih podataka, eventualne kazne itd.

Pitanje 6: Tko definira voditelja zbirki osobnih podataka i je li nužno u firmi imenovati osobu koja je voditelj zbirke osobnih podataka?

Odgovor 6: Od 25.5.2018. godine ne postoji voditelj zbirke, nego "voditelj obrade" , a to je fizička ili pravna osoba koje sama ili zajedno s drugim određuje svrhe i sredstva obrade osobnih podataka, definiran je čl. 4. Uredbe (GDPR), a službenik za zaštitu podataka je fizička osoba koja vodi brigu o zakonitosti obrade podataka kod voditelja obrade, može ali i ne mora biti radnik voditelja obrade, može ga se angažirati ugovorom o djelu, trebao bi imati stručne kvalifikacije iz prava i zaštite osobnih podataka itd., ali ga nije dužan imenovati svaki voditelj obrade (samo kod obrada većeg opsega - na nacionalnoj ili internacionalnoj razini, sustavne obrade većeg opsega itd).

Pitanje 7: U kojim slučajevima nije potrebno imenovati službenika za zaštitu osobnih podataka ?

Odgovor 7: U većini slučajeva nije, jer se čl. 37. Uredba (GDPR) imenovanje zahtijeva samo kada obradu provodi tijelo javne vlasti, kada se osnovne djelatnosti voditelja obrade sastoje od postupaka obrade koji zbog svoje prirode, opsega ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili se osnovne djelatnosti voditelja obrade sastoje od opsežne obrade posebnih kategorija podataka (npr. rasno porijeklo, genetski podaci, biometrijski podaci, politička mišljenja, vjerska uvjerenja itd.),

Pitanje 8: Moraju li svi zaposlenici potpisati obrazac poduzeća da se njihovi osobni podaci obrađuju u određenu svrhu?

Odgovor 8: Moraju svi, pogotovo ako poslodavac ima video nadzor, kontrolu ulaska i nazočnosti radnik putem biometrijskih podataka itd. to se može napraviti ili kroz posebne izjave ili kroz izmjene ugovora o radu.

Pitanje 9: Što znači po GDPR nošenje pločica s imenom i prezimenom u trgovini (prodavači/ice)?

Odgovor 9: Trebalo bi se pokriti privolom ili se može reducirati opseg podataka na pločici - staviti samo ime ili ime i inicijal prezimena, ali u svakom slučaju trebala bi privola radnika za takvo korištenje, možete ju pribaviti kroz posebne izjave ili izmjene ugovora o radu ili pravilnik o radu koji će se primjenjivati na sve radnike

Pitanje 10: S obzirom da imamo vanjsko knjigovodstvo koje nam radi obračun plaća, moramo li mi toj firmi dati neki pisani oblik privole da ona obrađuje naše podatke za potrebe obračuna plaće i ostale računovodstvene potrebe, ili se to podrazumijeva s obzirom da imamo sklopljen ugovor? Trebamo li raditi neki aneks ugovora ili izjavu da su zaposlenici suglasni da treća strana (računovodstvena tvrtka) ima uvid u njihove osobne podatke?

Odgovor 10: Trebali biste i s knjigovodstvenim servisom sklopiti ugovor o načinu i opsegu obrade osobnih podataka radnika (za što će ih koristiti, koliko dugo čuvati, kome eventualno otkrivati -HZMO., HZZO itd.) i s radnicima regulirati (kroz privolu u posebnoj izjavi ili izmijenjenim ugovorima o radu ili pravilnikom o