Danes je 22.11.2024

Input:

GDPR v računovodstvu

16.5.2018, , Vir: Verlag DashöferČas branja: 31 minut

Vsebino celotne on-line klepetalnice v pdf obliki si lahko naložite tukaj.

Zanima me, kdo bo v praksi kontroliral izvajanje tega zakona? 

Kontrola ustreznosti izvajanja obveznosti s področja varstva osebnih podatkov bo v domeni Informacijskega pooblaščenca.

Zanima nas, kako je z izstavitvijo računa za opravljeno storitev fizičnim osebam, ki se glasi na ime in priimek fizične osebe (podlaga ni pogodba) in arhiviranjem teh računov (10 let). Ali je potrebno soglasje, ali obstaja podlaga v zakonu?

Splošna uredba o varstvu osebnih podatkov v 6. členu določa dopustne pravne podlage za obdelavo osebnih podatkov. Dopustni pravni podlagi sta obdelava osebnih podatkov, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca in obdelava, ki je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.

Podjetja in fizične osebe nam preko e-pošte pošiljajo povpraševanja. Zraven navedejo kontaktne podatke (e-pošto, tel.št.). Ta sporočila se generirajo avtomatsko iz naše spletne strani. Ali jim moramo nazaj poslati podatek, kako dolgo bomo hranili njihove podatke in po kolikšnem času jih bomo izbrisali? Podatki namreč prihajajo na e-pošto in so pri nas shranjeni 1 leto, nato se e-pošta avtomatsko izbriše. 

Obrazec, na podlagi katerega osebe oddajo povpraševanje, ima naravo privolitve z namenom, da podatek hranite za odgovor s ponudbo (ali neposredno trženje, če je to tudi vaš namen, glede na hrambo podatka 1 leto). Iz tega razloga vam priporočamo:

  1. PREVERITE VELJAVNOST OBSTOJEČIH PRIVOLITEV. Privolitev mora biti jasna in razumljiva izjava, dana z nedvoumnim pritrdilnim dejanjem in dokazljiva. Glej člene 6 in 7, uvodne določbe: 32, 42, 43, 171.
  2. PREVERITE NAČIN PRIDOBIVANJA PRIVOLITEV V BODOČE. Je posameznik ustrezno obveščen, komu daje podatke, katere in zakaj ter kakšne pravice ima? Glej člene 12, 13 in 14. Vsa pravila glede generiranja, hrambe, izbrisa pa strnite v Splošne pogoje poslovanja, ki bodo dostopni vsem, ki oddajo povpraševanje.

Zahteve GDPR se razlikujejo od določil Zakona o preprečevanju financiranja terorizma in pranju denarja. Katere podatke mora računovodski servis zbirati, da zadosti obema zakonoma in kako naj hrani te podatke, da ni v prekršku?

Splošna uredba o varstvu osebnih podatkov v 6. členu določa dopustne pravne podlage za obdelavo osebnih podatkov. Dopustna pravna podlaga je tudi obdelava osebnih podatkov, ki je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

V video seminarju je bilo rečeno, da podjetje ne sme shranjevati npr. potnega list zaposlenega. V primeru pridobitve delovnega dovoljenja je nujno potrebno pridobiti od delavca ta dokument. Ali potnega lista res ne smemo shraniti v personalni mapi zaposlenega? 

V kolikor je hramba potnega lista nujna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem (pridobivanje delovnega dovoljenja), imate zakonito podlago za hrambo v zakonu. 48. člen ZDR-1 določa: Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Če prav razumem, morajo računovodski servisi podpisati s svojimi strankami izjavo o varovanju osebnih podatkov, kljub temu, da je že v pogodbi napisano, da smo zavezani k molčečnosti. Ali lahko prosim za vzorec takšne izjave?

Upravljavci in obdelovalci morajo vprašanja, vezana na varstvo osebnih podatkov, urediti v pogodbi o obdelavi osebnih podatkov, ki mora vključevati postavke iz 28. člena Splošne uredbe o varstvu podatkov. Informacijski pooblaščenec v kratkem načrtuje objavo vzorcev pogodb o pogodbeni obdelavi, usklajenih z zahtevami Splošne uredbe o varstvu podatkov.

Ali mora zavod, ki se ukvarja s promocijo zdravja (občutljivi podatki), posredovati register osebnih podatkov v register zbirk Informacijskemu pooblaščencu?

Prijava zbirk osebnih podatkov v register Informacijskega pooblaščenca ne bo več obvezna. Ta obveznost velja le še do 25. 5. 2018. Še vedno obstaja obveznost vodenja evidence dejavnosti obdelave, kar pomeni neke vrste popis zbirk osebnih podatkov, v katerem vsako zbirko opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost bo po Splošni uredbi veljala ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanj ali hrambe podatkov, ipd.). Več: glejte 30. člen Splošne uredbe.

Obveznost Vodenja evidence dejavnosti obdelave - iz odstavkov 1 in 2 člena 30 GDPR, se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen, če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10 GDPR. Ne glede na to izjemo informacijski pooblaščenec priporoča, da te evidence vodijo vsa podjetja, ne glede na število zaposlenih.

Evidenca dejavnosti obdelave OP - kdo vse jo mora pripraviti? Tudi na primer s.p.-ji, ki ne zaposlujejo in ne poslujejo s fizičnimi osebami (ali enoosebne družbe...)? Kaj vse naj vsebuje in kako naj izgleda?

Obveznost vodenja evidence dejavnosti obdelave še vedno obstaja, kar pomeni neke vrste popis zbirk osebnih podatkov, v katerem vsako zbirko opišete (ime, vrste podatkov, pravne podlage itd.). Podatkov namreč ne moremo ustrezno varovati, če nismo nikoli preverili (in popisali), katere osebne podatke sploh zbiramo in uporabljamo. Ta obveznost bo po Splošni uredbi veljala ne le za upravljavce, ampak tudi za obdelovalce, kot npr. podjetja, ki drugim nudijo storitve obdelav osebnih podatkov (npr. računovodski servisi, IT storitve, klicni centri, storitve gostovanje ali hrambe podatkov ipd.). Več: glejte 30. člen Splošne uredbe.

Obveznost Vodenja evidence dejavnosti obdelave - iz odstavkov 1 in 2 člena 30 GDPR, se ne