MENU Zapri

Na kaj bodo morali biti računovodje in rač. servisi pozorni pri uveljavljanju uredbe GDPR

  • 4. jan. 2019

Dejstvo je, da novi zakon in njegove spremembe vplivajo na pravice posameznikov, vendar, kot so se strinjali udeleženci konference GDPR za računovodje, ki smo jo organizirali 16. februarja, ne prinaša revolucije. Vsaj tistim organizacijam ne, ki so do zdaj delovale skladno z ZVOP-1.

Nova uredba predstavlja dobro izhodišče, da pregledamo in prevetrimo svoj odnos do osebnih podatkov; s stališča podjetja (kaj vse zbiramo, obdelujemo, komu te podatke posredujemo, ipd.) in s stališča uporabnika (kaj vse zbirajo o nas).  

V nadaljevanju podajamo nekaj korakov, ki so jih poudarili tudi na Konferenci za računovodje.

 

POPIŠITE EVIDENCE OSEBNIH PODATKOV

Pomembna novost za računovodske servise bo predvsem popis evidenc osebnih podatkov, ki obstajajo v podjetju, in dosledno hranjenje oz. brisanje le-teh.

Popisane evidence dajejo vpogled v podatke, s katerimi razpolagamo. Na podlagi popisanih evidenc lahko:

  • Ugotovimo, ali imamo vsa potrebna soglasja za zbiranje podatkov.
  • Opredelimo načine varovanja (ali gre za kritične podatke).
  • Preverimo zakonsko podlago za dobo arhiviranja podatkov.

 

Katere evidence lahko nastanejo, smo pisali tudi v brezplačnem priročniku.

 

ARHIVIRANJE OSEBNIH PODATKOV

Dr. Boštjan Berčič je na konferenci med drugim poudaril tudi arhiviranje osebnih podatkov, kjer je treba slediti zakonskim določilom. Če zakon predvideva »najmanj X« let, to pomeni tudi največ toliko let, kar pomeni, da morajo biti po tem obdobju dokumenti, ki vsebujejo osebne podatke, obravnavani skladno z zakonsko zahtevo (izbrisani, uničeni …). 


NAMEN ZBIRANJA (OSEBNIH) PODATKOV

Vsaka evidenca, ki nastane, je posledica zbiranja podatkov. Zbiranje teh podatkov pa ima lahko zakonsko osnovo ali so podatki pridobljeni na podlagi soglasja posameznika. Primer: za izplačilo osebnega dohodka delavcev potrebuje računovodja točne podatke in za te ne potrebuje posebnega dovoljenja zaposlenca. Enako velja tudi pri obdelovanju drugih osebnih podatkov (kot na primer podatki na računu fizične osebe) – v teh primerih soglasje ni potrebno, saj zbiranje določa zakon.


PRAVILNIK O OBDELOVANJU IN VAROVANJU OSEBNIH PODATKOV

Po pregledu evidenc je smiselno pripraviti pravilnik o varovanju osebnih podatkov (prilagamo vzorec, ki so ga pripravili v uradu informacijskega pooblaščenca), na podlagi katerega definirate, kako in na kakšen način boste pristopili k varovanju osebnih podatkov v podjetju. Čeprav pravilnik ni nujen, v uradu pooblaščenca svetujejo, da ga pripravite.

»Varovanje in varnost osebnih podatkov sta dva različna pojma. Podatki so lahko dobro varovani - zaklenjeni ali kriptirani. Bolj kot to se moramo vprašati ali imamo pravno podlago za njihovo zbiranje in ali jih uporabljamo za namene, zaradi katerih so bili zbrani. Dejstvo je, da je človek pogosto največje tveganje za zlorabo podatkov.«

 

PRENESI brezplačni priročnik: 4 koraki - kako zagotoviti varnost osebnih podatkov v organizaciji?

 

POGODBE

Po novi zakonodaji bodo morali biti jasno definirani odnosi med upravljavci (organizacije, ki so lastniki različnih podatkov fizičnih oseb) in pogodbenimi obdelovalci (računovodski servisi, IT hiše, ERP sistemi.) Pogodbo mora zahtevati upravljavec, tj. lastnik zbirke podatkov. Torej, če kot podjetje najamete računovodski servis, ste dolžni zahtevati pogodbo, ki opredeljuje:

  • katere osebne podatke boste izmenjevali,
  • kateri programi bodo uporabljeni za obdelavo in
  • na kakšen način se boste podatke varovali (upravljavec kot obdelovalec).

Če ste v vlogi upravljavca podatkov, morate sami zahtevati pogodbo od obdelovalca. (Torej računovodski servis mora zahtevati pogodbo z razvijalci programske opreme).

Pomembna novost je tudi ta, da morajo računovodski servisi svoje naročnike obvestiti o tem ali storitve obdelave izvajajo podizvajalci (t. i. pogodbeni podobdelovalci) in naročnik se mora s tem tudi strinjati. 

Glede na porast ponudbe v oblaku je nujno, da je naročnik seznanjen s tem, kje je strežnik z njegovimi podatki – znotraj ali izven EU območja. Za podatke, ki se shranjujejo izven EU, veljajo namreč drugačna pravila in zakoni.

Pomembno je, da veste, kdo vse so vaši partnerji. Če za vas podjetje pelje na uničenje dokumente, morate z njimi imeti pogodbo, ki ga zavezuje k temu, da bo s podatki ravnal odgovorno.

 
PRIPRAVITE POSTOPEK POROČANJA IN UPRAVLJANJA KRŠITEV VARNOSTI

Po novi zakonodaji ima organizacija čas le 72 ur, da kršitev prijavi informacijskemu pooblaščencu (samoprijava). Kot svetuje mag. Tomšič, je smiselno popisati postopek poročanja vnaprej, saj je to obdobje zelo kratko, sploh pa, če nimamo jasnega protokola, kako k temu pristopiti.

Strokovnjaki na konferenci so predlagali, da določite načrt, po katerem boste ravnali v takem primeru:

  • Komu v podjetju se poroča o kršitvi?  
  • Kje se kršitev zabeleži?
  • Kdo o tem poroča informacijskemu pooblaščencu?

Pripravite se vnaprej, da ne boste v paniki zamudili rok za samoprijavo.  


POMEN POOBLAŠČENE OSEBE ZA VARSTVO OSEBNIH PODATKOV

Smiselno je, da vsako podjetje, ne glede na velikost, določi osebo, ki je odgovorna za ravnanje z osebnimi podatki. (Tu ne govorimo o pooblaščencu, ki ga določa zakon in je nujen za nekatere organizacije). Ta oseba naj bo v vlogi svetovalca, ki opozarja na morebitne napake pri izvajanju zakona, pomaga pregledovati in popisovati procese, nikakor pa ni odgovorna za pravilno izvajanje oz. ravnanje z osebnimi podatki, saj je za skladnost z zakonom vedno odgovorno vodstvo.
   

SESTAVITE DOBRO EKIPO

Dobra, multidisciplinarna ekipa, ki jo sestavite iz predstavnikov ključnih področij v podjetju, bistveno prispeva k pravilni in učinkoviti identifikaciji vseh področij in obstoječih evidenc. Čeprav ste majhno podjetje, imate lahko različne informacije o svojih kupcih in zaposlenih.  

»Zakon nam daje priložnost, da prevetrimo svoje procese in jih obvladujemo bolje (npr. morda nekaj zdaj delamo po nepotrebnem peš namesto skozi ERP, ipd.) in tem celo povečamo konkurenčno prednost. Nova zakonodaja krepi tudi zavedanje, da varstvo osebnih podatkov ni samo delo interne informatike, ampak smo za njihovo varovanje odgovorni vsi«, je svoje predavanje zaključila Jana Štolfa, ki pri nas skrbi za varstvo osebnih podatkov in prehod na GDPR.
  

RAČUNOVODSKI SERVISI – NE POZABITE NA TRŽENJSKO-PRODAJNI VIDIK

Veliko računovodskih servisov svoje stranke obvešča o zakonodajnih novosti, preko e-maila ponuja ali prodaja dodatne storitve. Tudi za ta namen si morate zagotoviti soglasja strank, saj boste morali v nasprotem primeru, baze strank, ki ne bodo pridobljene na podlagi pravih soglasij, brisati. (Četudi gre za bazo vaših obstoječih strank, ki se niso izrecno strinjale z namenom prejemanje vaših e-novic.) 

Od 25. 5. 2018 dalje ne boste smeli več pošiljati prodajnih ponudb po e-pošti, če ne boste imeli veljavnega soglasja. Stara privoljenja ne veljajo več! Baz, ki ne bodo imeli privoljenj, boste morali brisati.  

 

Za konec

Za zbiranje in obdelovanje osebnih podatkov, ki niso zakonsko predpisani, je potrebno soglasje. In na vprašanje, kaj vse je osebni podatek, je odgovor dokaj preprost – vse, po čemur lahko osebo določimo oziroma jo lahko prepoznamo, glede na podatke. Postaviti si moramo vprašanje »Ali imam podatke, po katerih je mogoče določiti osebo?«, nikakor pa „ Ali mi znamo na podlagi teh podatkov osebo določiti,« je poudaril mag. Andrej Tomšič.

Če imate kakršna koli vprašanja, vam priporočamo, da se obrnete na urad informacijskega pooblaščenca ali prebrskate njihovo spletno stran, kjer so na voljo tudi vprašanja in odgovori na konkretna vprašanja.

 

Kaj pa iCenter? iCenter bomo nadgrajevali tako, da bo pomagal podjetjem pri zagotavljanju skladnosti z uredbo. V zadnjem obdobju smo se posvečali sledenju spremembam in revzijiski sledi. Sledenje vsem spremembam se sedaj (po nastavitvi verzije) samodejno vključi, izključiti pa je mogoče le nekatere entitete. Več sledenju spremembam v iCentru si lahko preberete tukaj. 

Podobne
vsebine

Saop je rešitev podjetja Seyfor