GDPR vodič za knjigovodstvene urede

Samim time, zanemarujući svoju obvezu prema GDPR knjigovodstveni uredi koji ne usklade svoje poslovanje izlažu riziku od vioskih kazni sebe i svoje klijente.

Kako bi knjigovodstveni uredi imali priliku provjeriti na jednostavan način da li je poslovanje koje se odnosi na njihove komitente u potrebnoj mjeri usklađeno s Općom uredbom (GDPR), pripremili smo kratki vodič za potrebnu minimalnu dokumentiranost svakog knjigovodstvenog ureda.

Ovisno o svakom poslovanju, daljnja dokumentiranost će se razlikovati ovisno o obradama koje se provode.

MINIMALNA (GDPR) DOKUMENTIRANOST

EVIDENCIJA OBRADE
Evidencija aktivnosti obrade je obrazac koji služi kao dokaz da je obrada osobnih podataka zakonita. Naime, neovisno što knjigovodstveni uredi u većini slučajeva zapošljavaju manje od 250 zaposlenika, takva evidencija je obvezna jer prije svega obrađuju osobne podatke zaposlenika u svrhu isplate plaće od strane poslodavaca što podrazumijeva da je obrada osobnih podataka stalni proces.

Ista mora sadržavati razrađene informacije iz članka 30. Opće uredbe o zaštiti podataka (GDPR):
• ime i kontakt podaci voditelja obrade (primjerice: naziv pravne osobe i kontakt)
• svrha obrade (detaljno objašnjena)
• opis kategorije ispitanika (primjerice: podaci o radnicima, podaci o pacijentima) i kategorija osobnih podataka (primjerice: ime, prezime, adresa stanovanja itd.)
• kategorije primatelja (uključujući one u trećim zemljama ili međunarodne organizacije)
• prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama -rokovi za brisanje različitih kategorija podataka (rokovi čuvanja osobnih podataka, te naziv i odredbe zakona ako je ono određeno posebnim zakonom)
• opis tehničkih i organizacijskih mjera zaštite osobnih podataka
Evidencija obrade mora biti u pisanom i elektroničkom obliku te se daje na uvid nadzornom tijelu na njihov zahtjev.
Primjer takve evidencije može biti evidencija aktivnosti obrade zaposlenika

EVIDENCIJA OBRADE ZA DRUGE VODITELJE
Knjigovodstveni uredi, odnosno pravne i fizičke osobe koje pružaju knjigovodstvene usluge svojim komitentima u smislu zaštite osobnih podataka prema GDPR-u smatraju se izvršiteljima obrade stoga su sukladno članku 30. stavak 2 Opće uredbe dužni voditi evidenciju obrade za druge voditelje obrade, odnosno za svoje komitente.

Evidencija mora sadržavati u detaljno razrađenom obliku slijedeće informacije:
• ime i kontaktne podatke svakog voditelja obrade u čije ime izvršitelj obrade djeluje
• predstavnika voditelja obrade obrade;
• službenika za zaštitu podataka;
• kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
• informacije o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa dokumentaciju o odgovarajućim zaštitnim mjerama;
• opis tehničkih i organizacijskih sigurnosnih mjera koja sadrži informacije o :
o pseudonimizaciji i enkripciji osobnih podataka;
o sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
o proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade;

Takva evidencija također se mora voditi u pisanom i elektronskom obliku i pružiti na uvid nadzornom tijelu na njihov zahjtev.
Primjer takve evidencije može biti evidencija aktivnosti obračuna plaće koja se vrši za klijente.

POLITIKA PRIVATNOSTI
U svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja prava ispitanika, svako poduzeće (voditelj obrade osobnih podataka) koje u svome poslovanju obrađuje osobne podatke ispitanika (zaposlenika/klijenta/građanina) je obvezno izraditi politiku privatnosti koja bi trebala biti dostupna ispitanicima čiji se podaci obrađuju.

Sukladno smjernicama o transparentnosti Radne skupine za zaštitu podataka iz članka 29. bitno je istaknuti da kako se ispitanici ne bi zamarali s nepotrebnim informacijama, takve politike trebale bi biti prilagođene skupinama na koje se odnose konkretne obrade. Tako će, primjerice, politika privatnosti web stranice biti odvojena od politike privatnosti kojom se uređuje obrada osobnih podataka zaposlenika tvrtke ili obrada osobnih podataka klijenata.

Međutim, svaka od tih politika mora biti napisana jasnim i jednostavnim jezikom te razumljiva skupini kojoj se obraćamo te je potrebno da sadrži minimalno slijedeće elemente:

1. identitet i kontaktne podatke voditelja obrade
2. kontakt službenika za zaštitu podataka (e-mail adresa i telefonski broj)
3. svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu
4. legitimne interese voditelja obrade ili treće strane;
5. primatelje ili kategorije primatelja osobnih podataka
6. činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji + postojanje ili nepostojanje odluke Komisije o primjerenosti, prikladne ili odgovarajuće zaštitne mjere
7. razdoblje pohrane ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
8. prava ispitanika
9. informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže
10. postojanje automatiziranog donošenja odluka/izradu te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanik.

U politici privatnosti potrebno je istaknuti i druge informacije koje mogu biti od važnosti za ispitanika.

IZJAVE O POVJERLJIVOSTI
Povjerljivost kao i odgovornost onih koji imaju pristup osobnim podacima je definirana u članku 32. stavak 4. Opće uredbe o zaštiti podataka.

Njome se regulira da svaki zaposlenik poslovnog subjekta ili vanjski suradnik daje pismenu izjavu da će osobne podatke obrađivati u skladu sa zakonskim odredbama o zaštiti osobnih podataka kao i da će nad istima provoditi odgovarajuće mjere zaštite i neće ih zlorabiti i davati neovlaštenim trećim stranama.

Iako Opća uredba taksativno ne propisuje obvezu na potpisivanje Izjave o povjerljivosti, ista je preporuka nadzornog tijela Agencije za zaštitu osobnih podataka (AZOP) da se ista koristi kao jedna od organizacijskih mjera zaštite voditelja/izvršitelja obrade uzimajući u obzir odredbe Opće uredbe o zaštiti podataka o sigurnosti obrade (članak 25. i 32.).

UGOVORI IZMEĐU IZVRŠITELJA I VODITELJA OBRADE (tzv. GDPR UGOVOR)
Voditelj i Izvršitelj obrade dužni su sukladno članku 28. Opće uredbe sklopiti ugovor ili sporazum o obradi osobni podataka kojim se izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade.

Takav ugovor mora biti u pisanom i elektronskom obliku.

Sukladno stavku 7. članka 28. donijeta je Provedbena odluka Komisije (EU) 2021/915 оd 4. lipnja 2021. o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade koja se koristi za sklapanje takvih ugovora.

DOKUMENTACIJA ODNOSNA NA MJERE ZAŠTITE (ORGANIZACIJSKE I TEHNIČKE)

Poduzimanje i provođenje odgovarajućih tehničkih i organizacijskih mjera zaštite ima za cilj osigurati sigurnost i povjerljivost obrade osobnih podataka odnosno sprječavanje neovlaštenog pristupa ili neovlaštenog raspolaganja osobnim podacima kao i tehničkoj opremi kojom se koriste voditelji i izvršitelji obrade. Time se osigurava da osobni podaci nisu dostupni osobama koje nisu ovlaštene za njihovu obradu.

U vrijeme određivanja sredstava obrade i u vrijeme same obrade obveza je svakog voditelja obrade da ovisno o prirodi/naravi, opsegu i svrsi obrade osobnih podataka odredi mjere zaštite koje jamče sigurnu, poštenu i zakonitu obradu osobnih podataka te učinkovitu primjenu načela zaštite podataka (osobito uzimajući u obzir nužnost obrade podataka za svaku posebnu svrhu, smanjenje količine prikupljanih podataka kao i opsega podataka prilikom obrade, određivanje rokova čuvanja podataka, njihovu dostupnost i dr.) ističe AZOP u svojim uputama.

Primjer tehničkih mjera: korištenje lozinki, antivirusna zaštita, enkripcija, osigurati osobne podatke kako ne bi mogli biti pročitani, kopirani, mijenjani ili brisani npr. slanje šifriranih isplatnih listi e-mailom i drugo.

Primjer organizacijskih mjera: politika zaporki, politika sljedivosti i postupanja s osobnim podacima, politika videonadzora, izjave o povjerljivosti obrade i drugo.

Ovisno o obradama koje se provode, svaki voditelj obrade utvrditi će samostalno koje od mjera su istome potrebne te uskladiti interne akte.
Dodatno je važno spomenuti da svaki element poslovanja, poput web stranice, videonadzora, kontrolu radnog vremena sustavima za otisak prsta i sl. je potrebno imati prilagođeno sa zahtjevima Opće uredbe (GDPR). To prije svega podrazumijeva da će takve obrade zahtjevati dodatno uređenje i dodatni spektar dokumentacije kao npr. test razmjernosti, primjerice, u slučaju videonadzora ili primjerice, privolu u slučaju prikupljanja biometrijskih podataka i drugo.

Na kraju je potrebno naglasiti da se sva navedena dokumentiranost treba periodički preispitivati i provjeravati sa stvarnim stanjem u poslovanju te ažurirati i o tome voditi evidenciju, jer jedino na spomenut način moguće održavanje poslovanja u skladu sa zahtjevima Opće uredbe.