Zakon o zaštiti podataka o

ličnosti – na štatreba obratiti

pažnju

Novi Zakon o zaštiti podataka ličnosti

utiče na poslovanje knjigovodstvenih

agencija i njihovih klijenata. Kako?

U ovome priručniku smo to objasnili na

jednostavan način.

ZANIMLJIVOSTI

Zakon o zaštiti podataka o ličnosti

("Sl. glasnik RS", br. 87/2018), (eng. GDPR)

stupio je na snagu od 21.11.2018. sa odloženim

početkom primene od 21.08.2019.

Puno pitanja, puno nejasnoća

Zakon o zaštiti podataka o ličnosti (eng.

General Data Protection Regulation – GDPR) će

se primenjivati u svim državama članicama EU

kao i u Srbiji.

Zakon postavlja jedinstvena pravila za zaštitu

podataka o ličnosti u EU i Srbiji, a neka

sadržajna i proceduralna pitanja mogu urediti

države članice.

Firme i organizacije se aktivno pripremaju za

Zakon i nadolazeći obaveze. Zato se u praksi

postavljaju neka zanimljiva pitanja.

Pozdrav, moje ime je

Marko i ja sam

stručnjak za zaštitu

ličnih podataka.

Zašto svipričaju o tome?

Zakon reguliše područje sigurnosti

podataka o LIČNOSTI.

Ne računamo podatke, koji se

odnose na firme.

Svrha Zakona je zaštitita pojedinca.

Pomoću modernih tehnologija

možemo prikupiti velike količine

podataka i njihovom obradom

možemo prouzrokovati rizik za prava

i slobode pojedinca.

• Kreditna kartica

• Kartice lojalnosti

• IP-adresa mog

računara

• Privatni i poslovni e-

mail

• Društvene mreže

Ana, razmisli. Pomoću kojih

podataka se može saznati

ko si?

Tačno. I svrha Zakona je

upravo to: Podignuti svest

i zaštititi pojedinca, da

bude svestan, kome i

zašto daje svoje lične

podatke.

Šta su zapravopodaci o ličnosti?

Ime i prezime

Adresa

Lokacija

Internet identifikator

(IP adresa, cookies)

Podaci o zdravlju

Profil na društvenim mrežama

I drugo

Obrađujete li

podatke o ličnosti za

druge firme?

Pravila se primjenjuju

i na Vas.

Pravila se odnose na prikupljanje, čuvanje i

korišćenje ličnih podataka.

Za prikupljanje i obradu

podataka o ličnosti gde nema

zakonske osnove, potreban Vam je

pristanak pojedinca.

Zakon kaže:(čl 15.) Pristanak bi se

trebao davati jasnom

potvrdom radnjom kojom se

izražava dobrovoljan,

poseban, informisan i

nedvosmislen pristanak

ispitanika na obradu ličnih

podataka.

Većini osoba kojie se bave

obradom podataka najveći

izazov predstavlja

dobijanje pristanka za

obradu ličnih podataka.

Što je pristanak?

Svaki pojedinac mora biti

spreman pročitati opšte

uslove, u kojima mora biti

navedena svrha za čega

će se ti podaci koristiti.

Svrha prikupljanja podataka

• Kada se obrada sprovodi u skladu sa

zakonskom obavezom koja važi za

rukovaoca

• kada je obrada potrebna za obavljanje

zadataka u javnom interesu ili u radu

javne vlasti

• ili kada je potrebno zaštititi interese,

koji su važni za život pojedinca.

• za marketinške svrhe

• za potrebe obavljanja delatnosti

• za potrebe analize

• pri korištenju kartice lojalnosti

• za druge svrhe, koje nemaju

zakonsku osnovu.

Zakonska osnova

U ovim slučajevima nije potrebna

dodatna dozvola pojedinca.

Sa posebnim pristankomU tim slučajevima pojedinac mora dati

saglasnost i pristati na obradu ličnih

podataka.

Bez obzira na svrhu i

način prikupljanja

podataka, obratite

pažnju na to da ih

pravilno zaštitite i

arhivirate ili na to da ih

pravovremeno

uništite.

Što je novo za

računovodstvo i

knjigovodstvene agencije?

Knjigovodstvena agencija u dvostrukoj ulozi

Kao vlasnik svojih podataka(rukovalac obrade)

Knjigovodstvena agencija je nezavisno preduzeće i za

potrebe rada obrađuje svoje podatke. Takođe se bavi

marketingom i prodajom svojih usluga. U tom slučaju je

nužno, da se vlasnik, odnosno direktor upozna sa

sadržajem Zakona, pobrine za ažuriranje pravilnika,

popisa zbirki podataka o ličnosti, uredi ugovorne

odnose sa klijentima i svojim dobavljačima te zakonski

prilagodi pristanke za slanje e-maila u marketinške

svrhe.

Knjigovodstvena agencija mora se pobrinuti za zaštitu

podataka i edukaciju zaposlenih. Pritom treba osigurati

sigurno povezivanje, zaštitu računara, uvesti pravilnike

„čistog stola“ i „čistog ekrana“.

Kao izvršitelj obrade podatakadrugih (obrađivač)

Knjigovodstvena agencija većinu svoga rada obavlja

kao obrađivač podataka svojih klijenata. U toj ulozi

mora se pobrinuti za uređivanje odnosa (ugovora i

dozvola).

Zakon povećava odgovornost za obrađivače za

pravilno rukovanje podacima, što znači da mogu biti

kažnjeni zbog eventualnih nepravilnosti u rukovanju

podacima.

U slučaju curenja podataka, moraće u najkraćem

mogućem roku obavestiti rukovaoca ili vlasnika

podataka.

Najvažniji i najopsežniji zadatak je da

popišete spiskove (evidencije) radnji

obrade podataka o ličnosti, koji nastaju

u firmi i uredite ugovorne odnose Ugovorom o obradi podataka o ličnosti.

Prema Zakonu ta obaveza će važiti za rukovaoce i obrađivače podataka (npr.knjigovodstvenaagencija, IT usluge, centri za pozivanje, uslugehostinga ili skupljanja podataka itd.) Više: pogledajte 47. član Zakona.

Primeri evidencija i podataka, koje možete prikupiti

• o zaposlenim radnicima

• o ostalim radnicima (studenti, stručno

usavršavanje bez zasnivanja radnog odnosa,

ugovori o delu, agencijski radnici itd..)

• o obrazovanju

• o uzdržavanim članovima porodice

• o radnom vremenu

• o povredama na radu

• o zdravstvenim pregledima radnika

• o platama, putnim nalozima zaposlenih

• o kupcima i klijentima

• o kandidatima prijavljenih na konkurs za radno

mesto

• o korišćenju mobilnog, automobila i drugih

sredstva datih na korišćenje

• o potraživanjima i plaćanjima fizičkih lica

• o nositeljima digitalnih certifikata

• o članovima nadzornog odbora

• o članovima uprave

• o deoničarima odnosno vlasnicima

• o povezanim osobama

• o povezanim osobama

• o kontakt osobama i zaposlenicima

poslovnih partnera

• o potencijalnim poslovnim partnerima

• o pozivima i sadržaju poziva u pozivnim

centrima

• o internet poslovanju

Uskladite evidencije podataka o ličnosti

Zašto je važno tačno popisati evidencije:

• U zavisnosti o osetljivosti podataka u evidencijama definišite

sigurnosne metode.

• Proverite zakonsku osnovu za period čuvanja podataka.

• Knjigovodstvena agencija će morati biti opreznija pri uvidu u

podatke o ličnosti. Zakon nalaže, da treba voditi evidenciju

uvida ili revizijskih tragova.

• Pažnju obratite i na prekomerno čuvanje podataka (tokom

vremena), jer je sada to kršenje zakona.

Usklađivanje evidencija sa klijentima i pružaocima

softvera, novost je za knjigovodstvene agencije Tačno popisane

evidencije

omogućavaju pravilno

i dosljedno arhiviranje

sa odgovarajućim

rokovima čuvanja.

Pripremite ugovore

Dakle, ako kao firma angažujete Knjigovodstvenu

agenciju, dužni ste zahtevati Ugovor o obradi

podataka o ličnosti, koji definiše:

• Koje podatke o ličnosti ćete razmeniti,

• Koje programe ćete upotrebljavati za obradu,

• Na koji način ćete zaštititi podatke (kao rukovalac i

obrađivač podataka),

• Ko ima uvid u podatke o ličnosti preduzetnika

(spoljašnji izvođači..)

Prema novom Zakonu moraće se jasno definisati

odnosi između RUKOVAOCA (organizacije koja je

vlasnik različitih podataka fizičkih osoba) i

ugovorenih OBRAĐIVAČA (računovodstvenih

servisa, IT kuća, ERP sustavi)

Važna novost je i ta da

Knjigovodstvena agencija

mora svoje klijente

obavestiti o tome obavljaju

li usluge obrade podataka

podizvođači (tzv. ugovoreni

podizvođači) ili npr. IT

kompanije. Klijent sa tim

mora biti saglasan

Koja zanimljiva pitanja su mi

postavili u:

• računovodstvu,

• kadrovskoj službi?

ć

RačunovodstvoKoje saglasnosti/ugovore

moram pripremiti?

Šta mi mora dostaviti

ponuđač programske

opreme?

Do kojih ličnih podataka

mogu pristupati tokom

poslovanja?

Računovodstvo sada ima obavezu da sigurno skladišti podatke i da osigura poštovanje prava pojedinaca.

Zakonodavstvo stavlja većuodgovornost na pravilno rukovanjeinformacijama.

Računovodstvo takođe snosi direktnu odgovornost ako je rukovalac obrade podataka ili obrađuje podatke u ime neke druge organizacije kao obrađivač.

Kompanija ili Knjigovodstvena agencija, koji koriste programsku opremu ponuđača, moraju imati

ugovor o obradi ličnih podataka (član 45. Zakona). Pri tome, ponuđač i knjigovodstvena agencija

moraju imati uspostavljene „kataloge“ (odnosno evidencije zbirki podataka o ličnosti)

Računovođe i knjigovodstvena agencija moraće biti oprezniji prilikom prikupljanja podataka koje

nesvesno prikupljaju, kao što su IP adrese, RFID oznake i kolačići na web stranici. Knjigovođa

takođe dolazi u kontakt sa fizičkim osobama, na primer, kada se e-račun izdaje fizičkoj osobi,

Zakon je u potpunosti primenjiv.

Pružalac usluga mora osigurati odgovarajuću sigurnost svoje opreme i postupaka obrade

podataka (član 50. Zakona)

Koje saglasnosti/ugovore moram

pripremiti?

Šta mi mora dostaviti ponuđač

programske opreme?

Do kojih ličnih podataka mogu

pristupati tokom poslovanja?

Odgovori na pitanja računovodstva

Kadrovska služba Mogu li prikupljati telefonske

brojeve

zaposlenih?

U našoj firmi kupujemo cipele za

naše zaposlenike i treba nam broj

cipela.

Kako je sa tim podacima?

Mogu li kopirati lične dokumente?

Daleko najviše podataka o ličnosti pojedinaca nalazi se u kadrovskoj evidenciji.

Uopšte govoreći, poslodavci mogu prikupljati samo one informacije potrebne za usklađivanje sa zakonskim odredbama ili za potrebe nesmetanog poslovanja.

Pogledajmo neke zanimljive dileme:

Mogu li prikupljati telefonske

brojeve zaposlenih?

U našoj firmi kupujemo cipele za

naše zaposlene i treba nam broj

cipela. Kako je sa tim podacima?

Po pravilu, privatan broj telefona i e-mail nisu informacije koje su poslodavcu neophodne za

nesmetano obavljanje poslovanja. Zaposleni se može složiti i dati saglasnost da poslodavac

može koristiti njegove privatne podatke za potrebe bolje komunikacije. Ali to mora biti u interesu

za obe strane. Takođe, poslodavac može komunicirati sa zaposlenim redovnom poštom.

Poslodavci mogu proveriti tačnost podataka pregledanjem dokumenta pre unosa ličnih podataka.

Na taj način poslodavac će prepisati podatke koji su mu potrebni za obradu, što je u skladu sa

pravnom osnovom. Takođe je važno da, ako zaposleni donese kopije dokumenata, poslodavac ih

mora uništiti, u skladu sa zakonom o očuvanju dokumenata. Kopiranje ličnih karti strogo je

zabranjeno!

Budući da je to posebna svrha koja je uslovljena obavljanjem redovnog rada (npr. radno mesto u

kojima se predviđaju službene / zaštitne uniforme), a bez takvih informacija poslodavac ne može

obezbediti siguran rad radnika, naravno, prikupljanje tih podataka je neophodno.

Mogu li kopirati lične dokumente?

Odgovori na pitanja kadrovske službe

Koji su to osetljivi podaci?

Neke osetljive informacije mogu biti iskazane na platnim listama. One moraju biti posebno označene u ERP sisitemima ili računovodstvenom programu za obračun zarada. Posebno osetljive informacije uključuju podatke o:

• zdravlju/ zdravstvenom stanju,

• polnoj orijentaciji,

• članstvu u sindikatu, političkim strankama

• invalidnosti.

Predlažemo da zarade,

odnosno platne liste šaljete

preko kriptovanih linkova.

Takođe je moguće da platnu

listu pošaljete kao .zip

datoteku zaštićenu sa

lozinkom.

Kako početi?

1. RAZUMEVANJE NOVIH OBAVEZA - potrebno je upoznati se sa

promenama koje vasa čekaju i fokusirati se na one koje će uticati na

vaše poslovanje. Ako je obrada podataka jedna od glavnih

aktivnosti vaše firme, biće vam potreban i DPO, koji vam može

pomoći u rešavanju svakodnevnih poteškoća i problema sa zaštitom

podataka.

2. ANALIZA RIZIKA - pristup zaštiti podataka se po Zakonu zasniva

na proceni rizika. Tehničke i organizacione metode zaštite podataka

trebaju biti srazmerne riziku koji obrada podataka predstavlja po

prava i slobode pojedinaca. Ključno je sprovesti analizu poslovnih

aktivnosti kojom ćete utvrditi postojanje eventualnih problema koje

treba rešiti. To uključuje analizu protoka podataka, prava pristupa,

ugovora, procedura o privatnosti, sigurnosnih protokola i sl. Analiza

bi trebala dati konkretan skup smernica za buduće delovanje.

Nekoliko saveta, kako početi

Računovođe, za Vas je

vrlo važno da se

pobrinite za ugovore sa

programskim kućama i

da uredite ugovore sa

Vašim korisnicima!

Klauzule su obavezne!

3. IMPLEMENTIRAJTE PROMENE - započnite sa kategorizacijom

podataka tako što ćete odrediti na koje se podatke uopšte

primenjuje Zakon. Nakon toga, odredite podatke koji pripadaju

posebnim kategorijama i analizirajte ko im sve ima pristup. Potom je

potrebno primeniti tehničke i organizacione mere za njihovu zaštitu.

Podatke treba enkriptovati kad god je moguće, a uređaje sa

posebnim kategorijama podataka najsigurnije je ne spajati na

Internet. Sigurnosne propuste „zakrpite“ na vreme i konstantno

imajte na oku eventualne promene na polju računarske sigurnosti.

4. DOKUMENTUJTE SVE PROCEDURE - morate uspostaviti

potpunu zbirku podataka o ličnosti i voditi evidenciju o načinu

korištenja podataka kako biste u svakom trenutku mogli odgovoriti

na upite i zahteve nadzornih tela. To će vam takođe olakšati

brisanje, prenos i pristup podacima jer ćete u svakom trenutku znati

gde su tačno smešteni. Takođe, povremeno pregledajte postojeće

izjave i politike te ih prema potrebi dopunite.

Ne zavaravajte se!

Obrada je već sam

uvid u podatke.

Priručnik smo pripremili u saradnji

sa avokatskom kancelarijom Filipović

i avokatskom kancelarijom Vojvodić

Za više besplatnih priručnika i snimaka webinara posetite stranicu

www.minimax.rs/poslovna-inspiracija

Saop d.o.o. Novi Sad

Slobodana Bajića 10

21000 Novi Sad

021 63 100 64

info@saop.rs

www@minimax.rs

www.saop.rs

Izjava o odricanju odgovornosti

Saop d.o.o. je ovaj dokument pripremio za lakše razumevanje sadržaja, ali ne kao i glavni izvor informacija namenjenih stvaranju konačnih poslovnih odluka ili tumačenju postojećeg sadržaja. Za ostale smernice i detaljniji uvid u obrađenu temu, savetujemo da se obratite stručnjacima.