Obračun plaća

Obračun plaća za tvrtke
Neka Vaše plaće budu naša briga!
22.11.2017

GDPR i računovodstveni servisi – Opća uredba o zaštiti podataka i računovodstveni servisi

Vjerojatno ste već upoznati sa činjenicom da su poslovni subjekti do 25.05.2018. dužni uskladiti svoje poslovne procese sa “Općom uredbom o zaštiti podataka”. U javnosti ćete se najčešće susresti s pojmom GDPR koji je kratica od General Data Protection Regulation. Ukoliko niste upoznati sa ovom odredbom više o istoj možete pročitati ovdje LINK. Svaki pravni subjekt koji posluje u EU mora svoje poslovne procese u kojima se pojavljuju osobni podaci uskladiti da odredbama GDPR uredbe. Čitajući izvore po internetu vrlo brzo ćete postati očajni i doći do zaključka kako je za usklađivanje poslovnih procesa i upravljanje osobnim podacima koje će biti u skladu sa GDPR (GDPR compliance)  potrebno uložiti puno rada/novaca. I to je istina 🙁 Na tržištu se pojavljuje veliki broj konzultanata koji su “specijalizirani za GDPR” i nude punu uskladu sa GDPR smjernicama i siguran spas od kazni. Veliki broj pretplatnika na naše usluge su računovodstveni servisi. Iz toga razloga objavljujemo ovaj članak u kojem pokušavamo demistificirati GDPR i kreirati smjernice za aktivnosti koji bi računovodstveni servis morao provesti kako bi procese vezane uz osobne podatke uskladio sa GDPR udredbom.

Činjenica koju je potrebno osvijestiti:

NE POSTOJI PROPISANI, CERTIFICIRANI,  PUT KOJIM PODUZEĆE MOŽE POSTIĆI SLUŽBENU POTVRDU DA JE USKLAĐENO SA GDPR UREDBOM! Bez obzira koga angažirali, koliko god to platili, nećete na ruke dobiti papir/potvrdu/certifikat koji je službeno jamstvo da su Vaši procesi upravljanja i zaštite osobnih podataka usklađeni s GDPR.

Što bi mali računovodstveni servis trebao odraditi po pitanju usklađenja sa GDPR?

Računovodstveni servis, kada su u pitanju osobni podaci, uglavnom barata osobnim podacima koji su vezani uz radnike korisnika usluga servisa (OIB, adresa, IBAN broj računa, iznos plaće, e-mail, …). Podaci se obrađuju i čuvaju na osnovu zakonskih odredbi koje su vezane uz obračun plaća. S te strane je priča vezana iz privolu ispitanika za korištenje osobnih podataka (radnika) i zahtjevima za brisanje vrlo jednostavna. Definitivno je tu manje otvorenih pitanja nego u slučaju banaka, osiguravatelja, pružatelja zdravstvenih usluga koji barataju puno osjetljivijim setovima osobnih podataka a koji ih uz to dodatno obrađuju za različite svrhe.   

Računovodstveni servis mora provoditi poslovnu politiku i mjere kojima osobnim podacima upravlja u skladu s odredbama GDPR uredbe. U slučaju nadzora, nadzornom tijelu (AZOP) servis mora moći dokazati kako provodi mjere i postupke zaštite osobnih podataka koje su u skladu s GDPR uredbom.

Kako to postići? Prema našem mišljenju nekoliko je puteva do cilja: 

  • Angažirati vanjskog konzultanta/konzultantsku kuću koja će implementirati odredbe GDPR uredbe u procese obrade/pristupa/razmjene osobnih podataka te kreirati odgovarajuću dokumentaciju.
  • Samostalno se angažirati i prema nekoj od metodologija izraditi neophodnu dokumentaciju i implementirati odredbe GDPR direktive u procese obrade/pristupa/razmjene osobnih podataka.
  • Prikloniti se “Kodeksu ponašanja” koji je za GDPR potrebe donešen na razini grane poslovnih subjekata koje se bave određenom poslovnom djelatnošću. Koliko znamo trenutno niti za jednu granu nije raspoloživ odgovarajući kodeks ponašanja za GDPR! 

U nastavku navodimo osnovni set dokumentacije za koju smatramo da bi je trebalo generirati kao podlogu za usklađenje procesa pristupa/obrade/razmjene osobnih podataka sa GDPR. Naravno, nije dovoljno samo kreirati dokumentaciju već je potrebno propisane poslovne procese i mjere provoditi u svakodnevnom radu.  Što dokumentirati?

  • Identificirati osobne podatke u poslovnim procesima   
  • Procesi u kojima se pristupa osobnim podacima / obrađuju osobni podaci / razmjenjuju osobni podaci
  • Procjene rizika za neovlašteni pristup osobnim podacima 
  • Mjere fizičke i tehničke zaštite osobnih podataka
  • Postupci u slučaju detekcije neovlaštenog pristupanja osobnim podacima (data bridge)
  • Prilagodbe ugovora o poslovnoj suradnju (uključivanje dodatnih novih odredbi i definicija)