zakon o zaštiti · •knjigovodstvena agencija ćemorati biti opreznija pri uvidu u podatke o...
TRANSCRIPT
Zakon o zaštiti podataka o
ličnosti – na štatreba obratiti
pažnju
Novi Zakon o zaštiti podataka ličnosti
utiče na poslovanje knjigovodstvenih
agencija i njihovih klijenata. Kako?
U ovome priručniku smo to objasnili na
jednostavan način.
ZANIMLJIVOSTI
Zakon o zaštiti podataka o ličnosti
("Sl. glasnik RS", br. 87/2018), (eng. GDPR)
stupio je na snagu od 21.11.2018. sa odloženim
početkom primene od 21.08.2019.
Puno pitanja, puno nejasnoća
Zakon o zaštiti podataka o ličnosti (eng.
General Data Protection Regulation – GDPR) će
se primenjivati u svim državama članicama EU
kao i u Srbiji.
Zakon postavlja jedinstvena pravila za zaštitu
podataka o ličnosti u EU i Srbiji, a neka
sadržajna i proceduralna pitanja mogu urediti
države članice.
Firme i organizacije se aktivno pripremaju za
Zakon i nadolazeći obaveze. Zato se u praksi
postavljaju neka zanimljiva pitanja.
Pozdrav, moje ime je
Marko i ja sam
stručnjak za zaštitu
ličnih podataka.
Zašto svipričaju o tome?
Zakon reguliše područje sigurnosti
podataka o LIČNOSTI.
Ne računamo podatke, koji se
odnose na firme.
Svrha Zakona je zaštitita pojedinca.
Pomoću modernih tehnologija
možemo prikupiti velike količine
podataka i njihovom obradom
možemo prouzrokovati rizik za prava
i slobode pojedinca.
• Kreditna kartica
• Kartice lojalnosti
• IP-adresa mog
računara
• Privatni i poslovni e-
• Društvene mreže
Ana, razmisli. Pomoću kojih
podataka se može saznati
ko si?
Tačno. I svrha Zakona je
upravo to: Podignuti svest
i zaštititi pojedinca, da
bude svestan, kome i
zašto daje svoje lične
podatke.
Šta su zapravopodaci o ličnosti?
Ime i prezime
Adresa
Lokacija
Internet identifikator
(IP adresa, cookies)
Podaci o zdravlju
Profil na društvenim mrežama
I drugo
Obrađujete li
podatke o ličnosti za
druge firme?
Pravila se primjenjuju
i na Vas.
Pravila se odnose na prikupljanje, čuvanje i
korišćenje ličnih podataka.
Za prikupljanje i obradu
podataka o ličnosti gde nema
zakonske osnove, potreban Vam je
pristanak pojedinca.
Zakon kaže:(čl 15.) Pristanak bi se
trebao davati jasnom
potvrdom radnjom kojom se
izražava dobrovoljan,
poseban, informisan i
nedvosmislen pristanak
ispitanika na obradu ličnih
podataka.
Većini osoba kojie se bave
obradom podataka najveći
izazov predstavlja
dobijanje pristanka za
obradu ličnih podataka.
Što je pristanak?
Svaki pojedinac mora biti
spreman pročitati opšte
uslove, u kojima mora biti
navedena svrha za čega
će se ti podaci koristiti.
Svrha prikupljanja podataka
• Kada se obrada sprovodi u skladu sa
zakonskom obavezom koja važi za
rukovaoca
• kada je obrada potrebna za obavljanje
zadataka u javnom interesu ili u radu
javne vlasti
• ili kada je potrebno zaštititi interese,
koji su važni za život pojedinca.
• za marketinške svrhe
• za potrebe obavljanja delatnosti
• za potrebe analize
• pri korištenju kartice lojalnosti
• za druge svrhe, koje nemaju
zakonsku osnovu.
Zakonska osnova
U ovim slučajevima nije potrebna
dodatna dozvola pojedinca.
Sa posebnim pristankomU tim slučajevima pojedinac mora dati
saglasnost i pristati na obradu ličnih
podataka.
Bez obzira na svrhu i
način prikupljanja
podataka, obratite
pažnju na to da ih
pravilno zaštitite i
arhivirate ili na to da ih
pravovremeno
uništite.
Što je novo za
računovodstvo i
knjigovodstvene agencije?
Knjigovodstvena agencija u dvostrukoj ulozi
Kao vlasnik svojih podataka(rukovalac obrade)
Knjigovodstvena agencija je nezavisno preduzeće i za
potrebe rada obrađuje svoje podatke. Takođe se bavi
marketingom i prodajom svojih usluga. U tom slučaju je
nužno, da se vlasnik, odnosno direktor upozna sa
sadržajem Zakona, pobrine za ažuriranje pravilnika,
popisa zbirki podataka o ličnosti, uredi ugovorne
odnose sa klijentima i svojim dobavljačima te zakonski
prilagodi pristanke za slanje e-maila u marketinške
svrhe.
Knjigovodstvena agencija mora se pobrinuti za zaštitu
podataka i edukaciju zaposlenih. Pritom treba osigurati
sigurno povezivanje, zaštitu računara, uvesti pravilnike
„čistog stola“ i „čistog ekrana“.
Kao izvršitelj obrade podatakadrugih (obrađivač)
Knjigovodstvena agencija većinu svoga rada obavlja
kao obrađivač podataka svojih klijenata. U toj ulozi
mora se pobrinuti za uređivanje odnosa (ugovora i
dozvola).
Zakon povećava odgovornost za obrađivače za
pravilno rukovanje podacima, što znači da mogu biti
kažnjeni zbog eventualnih nepravilnosti u rukovanju
podacima.
U slučaju curenja podataka, moraće u najkraćem
mogućem roku obavestiti rukovaoca ili vlasnika
podataka.
Najvažniji i najopsežniji zadatak je da
popišete spiskove (evidencije) radnji
obrade podataka o ličnosti, koji nastaju
u firmi i uredite ugovorne odnose Ugovorom o obradi podataka o ličnosti.
Prema Zakonu ta obaveza će važiti za rukovaoce i obrađivače podataka (npr.knjigovodstvenaagencija, IT usluge, centri za pozivanje, uslugehostinga ili skupljanja podataka itd.) Više: pogledajte 47. član Zakona.
Primeri evidencija i podataka, koje možete prikupiti
• o zaposlenim radnicima
• o ostalim radnicima (studenti, stručno
usavršavanje bez zasnivanja radnog odnosa,
ugovori o delu, agencijski radnici itd..)
• o obrazovanju
• o uzdržavanim članovima porodice
• o radnom vremenu
• o povredama na radu
• o zdravstvenim pregledima radnika
• o platama, putnim nalozima zaposlenih
• o kupcima i klijentima
• o kandidatima prijavljenih na konkurs za radno
mesto
• o korišćenju mobilnog, automobila i drugih
sredstva datih na korišćenje
• o potraživanjima i plaćanjima fizičkih lica
• o nositeljima digitalnih certifikata
• o članovima nadzornog odbora
• o članovima uprave
• o deoničarima odnosno vlasnicima
• o povezanim osobama
• o povezanim osobama
• o kontakt osobama i zaposlenicima
poslovnih partnera
• o potencijalnim poslovnim partnerima
• o pozivima i sadržaju poziva u pozivnim
centrima
• o internet poslovanju
Uskladite evidencije podataka o ličnosti
Zašto je važno tačno popisati evidencije:
• U zavisnosti o osetljivosti podataka u evidencijama definišite
sigurnosne metode.
• Proverite zakonsku osnovu za period čuvanja podataka.
• Knjigovodstvena agencija će morati biti opreznija pri uvidu u
podatke o ličnosti. Zakon nalaže, da treba voditi evidenciju
uvida ili revizijskih tragova.
• Pažnju obratite i na prekomerno čuvanje podataka (tokom
vremena), jer je sada to kršenje zakona.
Usklađivanje evidencija sa klijentima i pružaocima
softvera, novost je za knjigovodstvene agencije Tačno popisane
evidencije
omogućavaju pravilno
i dosljedno arhiviranje
sa odgovarajućim
rokovima čuvanja.
Pripremite ugovore
Dakle, ako kao firma angažujete Knjigovodstvenu
agenciju, dužni ste zahtevati Ugovor o obradi
podataka o ličnosti, koji definiše:
• Koje podatke o ličnosti ćete razmeniti,
• Koje programe ćete upotrebljavati za obradu,
• Na koji način ćete zaštititi podatke (kao rukovalac i
obrađivač podataka),
• Ko ima uvid u podatke o ličnosti preduzetnika
(spoljašnji izvođači..)
Prema novom Zakonu moraće se jasno definisati
odnosi između RUKOVAOCA (organizacije koja je
vlasnik različitih podataka fizičkih osoba) i
ugovorenih OBRAĐIVAČA (računovodstvenih
servisa, IT kuća, ERP sustavi)
Važna novost je i ta da
Knjigovodstvena agencija
mora svoje klijente
obavestiti o tome obavljaju
li usluge obrade podataka
podizvođači (tzv. ugovoreni
podizvođači) ili npr. IT
kompanije. Klijent sa tim
mora biti saglasan
Koja zanimljiva pitanja su mi
postavili u:
• računovodstvu,
• kadrovskoj službi?
ć
RačunovodstvoKoje saglasnosti/ugovore
moram pripremiti?
Šta mi mora dostaviti
ponuđač programske
opreme?
Do kojih ličnih podataka
mogu pristupati tokom
poslovanja?
Računovodstvo sada ima obavezu da sigurno skladišti podatke i da osigura poštovanje prava pojedinaca.
Zakonodavstvo stavlja većuodgovornost na pravilno rukovanjeinformacijama.
Računovodstvo takođe snosi direktnu odgovornost ako je rukovalac obrade podataka ili obrađuje podatke u ime neke druge organizacije kao obrađivač.
Kompanija ili Knjigovodstvena agencija, koji koriste programsku opremu ponuđača, moraju imati
ugovor o obradi ličnih podataka (član 45. Zakona). Pri tome, ponuđač i knjigovodstvena agencija
moraju imati uspostavljene „kataloge“ (odnosno evidencije zbirki podataka o ličnosti)
Računovođe i knjigovodstvena agencija moraće biti oprezniji prilikom prikupljanja podataka koje
nesvesno prikupljaju, kao što su IP adrese, RFID oznake i kolačići na web stranici. Knjigovođa
takođe dolazi u kontakt sa fizičkim osobama, na primer, kada se e-račun izdaje fizičkoj osobi,
Zakon je u potpunosti primenjiv.
Pružalac usluga mora osigurati odgovarajuću sigurnost svoje opreme i postupaka obrade
podataka (član 50. Zakona)
Koje saglasnosti/ugovore moram
pripremiti?
Šta mi mora dostaviti ponuđač
programske opreme?
Do kojih ličnih podataka mogu
pristupati tokom poslovanja?
Odgovori na pitanja računovodstva
Kadrovska služba Mogu li prikupljati telefonske
brojeve
zaposlenih?
U našoj firmi kupujemo cipele za
naše zaposlenike i treba nam broj
cipela.
Kako je sa tim podacima?
Mogu li kopirati lične dokumente?
Daleko najviše podataka o ličnosti pojedinaca nalazi se u kadrovskoj evidenciji.
Uopšte govoreći, poslodavci mogu prikupljati samo one informacije potrebne za usklađivanje sa zakonskim odredbama ili za potrebe nesmetanog poslovanja.
Pogledajmo neke zanimljive dileme:
Mogu li prikupljati telefonske
brojeve zaposlenih?
U našoj firmi kupujemo cipele za
naše zaposlene i treba nam broj
cipela. Kako je sa tim podacima?
Po pravilu, privatan broj telefona i e-mail nisu informacije koje su poslodavcu neophodne za
nesmetano obavljanje poslovanja. Zaposleni se može složiti i dati saglasnost da poslodavac
može koristiti njegove privatne podatke za potrebe bolje komunikacije. Ali to mora biti u interesu
za obe strane. Takođe, poslodavac može komunicirati sa zaposlenim redovnom poštom.
Poslodavci mogu proveriti tačnost podataka pregledanjem dokumenta pre unosa ličnih podataka.
Na taj način poslodavac će prepisati podatke koji su mu potrebni za obradu, što je u skladu sa
pravnom osnovom. Takođe je važno da, ako zaposleni donese kopije dokumenata, poslodavac ih
mora uništiti, u skladu sa zakonom o očuvanju dokumenata. Kopiranje ličnih karti strogo je
zabranjeno!
Budući da je to posebna svrha koja je uslovljena obavljanjem redovnog rada (npr. radno mesto u
kojima se predviđaju službene / zaštitne uniforme), a bez takvih informacija poslodavac ne može
obezbediti siguran rad radnika, naravno, prikupljanje tih podataka je neophodno.
Mogu li kopirati lične dokumente?
Odgovori na pitanja kadrovske službe
Koji su to osetljivi podaci?
Neke osetljive informacije mogu biti iskazane na platnim listama. One moraju biti posebno označene u ERP sisitemima ili računovodstvenom programu za obračun zarada. Posebno osetljive informacije uključuju podatke o:
• zdravlju/ zdravstvenom stanju,
• polnoj orijentaciji,
• članstvu u sindikatu, političkim strankama
• invalidnosti.
Predlažemo da zarade,
odnosno platne liste šaljete
preko kriptovanih linkova.
Takođe je moguće da platnu
listu pošaljete kao .zip
datoteku zaštićenu sa
lozinkom.
Kako početi?
1. RAZUMEVANJE NOVIH OBAVEZA - potrebno je upoznati se sa
promenama koje vasa čekaju i fokusirati se na one koje će uticati na
vaše poslovanje. Ako je obrada podataka jedna od glavnih
aktivnosti vaše firme, biće vam potreban i DPO, koji vam može
pomoći u rešavanju svakodnevnih poteškoća i problema sa zaštitom
podataka.
2. ANALIZA RIZIKA - pristup zaštiti podataka se po Zakonu zasniva
na proceni rizika. Tehničke i organizacione metode zaštite podataka
trebaju biti srazmerne riziku koji obrada podataka predstavlja po
prava i slobode pojedinaca. Ključno je sprovesti analizu poslovnih
aktivnosti kojom ćete utvrditi postojanje eventualnih problema koje
treba rešiti. To uključuje analizu protoka podataka, prava pristupa,
ugovora, procedura o privatnosti, sigurnosnih protokola i sl. Analiza
bi trebala dati konkretan skup smernica za buduće delovanje.
Nekoliko saveta, kako početi
Računovođe, za Vas je
vrlo važno da se
pobrinite za ugovore sa
programskim kućama i
da uredite ugovore sa
Vašim korisnicima!
Klauzule su obavezne!
3. IMPLEMENTIRAJTE PROMENE - započnite sa kategorizacijom
podataka tako što ćete odrediti na koje se podatke uopšte
primenjuje Zakon. Nakon toga, odredite podatke koji pripadaju
posebnim kategorijama i analizirajte ko im sve ima pristup. Potom je
potrebno primeniti tehničke i organizacione mere za njihovu zaštitu.
Podatke treba enkriptovati kad god je moguće, a uređaje sa
posebnim kategorijama podataka najsigurnije je ne spajati na
Internet. Sigurnosne propuste „zakrpite“ na vreme i konstantno
imajte na oku eventualne promene na polju računarske sigurnosti.
4. DOKUMENTUJTE SVE PROCEDURE - morate uspostaviti
potpunu zbirku podataka o ličnosti i voditi evidenciju o načinu
korištenja podataka kako biste u svakom trenutku mogli odgovoriti
na upite i zahteve nadzornih tela. To će vam takođe olakšati
brisanje, prenos i pristup podacima jer ćete u svakom trenutku znati
gde su tačno smešteni. Takođe, povremeno pregledajte postojeće
izjave i politike te ih prema potrebi dopunite.
Ne zavaravajte se!
Obrada je već sam
uvid u podatke.
Priručnik smo pripremili u saradnji
sa avokatskom kancelarijom Filipović
i avokatskom kancelarijom Vojvodić
Za više besplatnih priručnika i snimaka webinara posetite stranicu
www.minimax.rs/poslovna-inspiracija
Saop d.o.o. Novi Sad
Slobodana Bajića 10
21000 Novi Sad
021 63 100 64
www.saop.rs
Izjava o odricanju odgovornosti
Saop d.o.o. je ovaj dokument pripremio za lakše razumevanje sadržaja, ali ne kao i glavni izvor informacija namenjenih stvaranju konačnih poslovnih odluka ili tumačenju postojećeg sadržaja. Za ostale smernice i detaljniji uvid u obrađenu temu, savetujemo da se obratite stručnjacima.