U okviru ARC2 projekta, Agencija za zaštitu osobnih podataka u ponedjeljak 12. veljače 2024. godine organizirala je besplatnu online radionicu “Primjena GDPR-a u računovodstvu”, namijenjenu isključivo zaposlenicima u računovodstvenoj djelatnosti.
Službenice Agencije, tijekom radionice objasnile su kako primijeniti odredbe Opće uredbe o zaštiti podataka u računovodstvu, odnosno na konkretnim primjerima iz prakse sudionici su mogli naučiti tko je voditelj, a tko izvršitelj obrade te što bi ugovor o obradi voditelja i izvršitelja obrade trebao sadržavati. Isto tako, bilo je riječi i o provođenju odgovarajućih tehničkih i organizacijskih mjera za zaštitu osobnih podataka kako bi se mogućnost nezakonite obrade osobnih podataka i povreda osobnih podataka svela na minimum.
Također, sudionici su imali priliku i riješiti najčešće nedoumice s kojima se susreću u vezi pravnih temelja za obradu osobnih podataka, poput je li potrebna privola zaposlenika za njegovu prijavu na HZZO i HZMO te je li dopušteno kopirati bankovne kartice zaposlenika radi isplate plaće. Naime, česta je zabluda kako je kopiranje/skeniranje bankovne kartice pravna obveza poslodavca, no Zakon o radu ne navodi kao pravnu obvezu poslodavca kopiranje ili skeniranje bankovne kartice što znači da navedeni pravni propis ne predstavlja zakoniti pravni temelj. Ako poslodavac dokaže da ima legitimni interes da se bankovna kartica radnika kopira ili skenira (verifikacijski broj zbog isplate plaće), nad podacima koji nisu nužni bi se trebale provesti odgovarajuće tehničke mjere zaštite (primjerice zacrnjivanje podataka).
Osim kopiranja bankovnih kartica, jedna od čestih nedoumica je i kopiranje osobne iskaznice radnika ili potencijalnog radnika. Naime, isto kao i kod kopiranja bankovnih kartica, ne postoji pravna obveza poslodavca za kopiranjem osobne iskaznice. Ukoliko iznimno postoji legitiman interes za prikupljanjem kopije osobne iskaznice radnika od strane poslodavca, isti je potrebno objasniti te se potruditi zacrniti nevažne podatke na kopiji.
Međutim, kako je istaknuto na radionici, i uz adekvatan pravni temelj voditelj obrade mora voditi računa o načelima obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, između ostalog i „načelu smanjenja količine podataka“ koji traži da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Inače, prezentacija s predavanja bit će objavljena na: https://arc-rec-project.eu/prezentacije/, dok će snimka radionice biti objavljena do kraja travnja u okviru digitalnog alata Olivia na linku: https://olivia-gdpr-arc.eu/hr
