GDPR III dio  

Čuvanje podataka

Često smo kroz razgovor i redovnu podršku s našim korisnicima dobili dojam ili čak jasne poruke po kojima smo zaključili da dosta korisnika misli kako se njihovi podaci nalaze pohranjeni negdje kod nas u arhivi, na našem serveru kao svojevrsni rezervni backup. U slučaju gubitka podataka ili hakiranja njihovih podataka neki korisnici su mislili da je dovoljno da nas kontaktiraju i da ćemo im na neki čudesan način uspjeti vratiti podatke?! Potpuno pogrešno razmišljanje. Naravno da tvrtka 4th Dimension d.o.o. nema niti jedan jedini podatak bilo kojeg korisnika. Ovo je trebalo biti jasno svakom korisniku već na osnovu mnogobrojnih 4D Wand Infoa koje smo pisali o snimanju rezervnih podataka. Zbog aktualnosti oko uvođenja GDPR-a (iako se isti zapravo primjenjuje već godinama) koristimo ovu priliku da ponovno naglasimo i svim korisnicima jasno damo do znanja kako u slučaju nekih neželjenih situacija s njihovim podacima (krađa, gubitak, kriptiranje i sl.) poduzeće 4th Dimension d.o.o. nema nikakve veze s istim, niti može pomoći korisniku da iste vrati na bilo koji način.

Korisnički podaci su jedino i isključivo briga svakog pojedinog korisnika.

Naravno, korisnici koji se odnose odgovorno prema svojim podacima i svakodnevno arhiviraju svoje podatke nekim programom za kreiranje rezervnih kopija će u slučaju ovakvih neželjenih situacija uz pomoć svojih administratora vjerojatno vratiti svoje dragocjene podatke. Ali, samo oni korisnici koji snimaju rezervne podatke ne jednom tjedno, ne jednom mjesečno - nego svakodnevno! Želimo naglasiti, ako treba i stotinu puta, da su korisnici isključivi vlasnici svojih podataka i da sami odgovaraju za njih u slučaju krađe, gubitka, hakiranja i sl. Naša tvrtka nema nikakve veze s podacima korisnika bez obzira što koristite programsko rješenje 4D Wand kao alat za unos i obradu podataka. Drugim riječima, sve što unesete u 4D Wand je isključivo vaše vlasništvo i pripada samo vašoj tvrtki pa se sukladno GDPR i dobrim poslovnim manirama morate odgovorno odnositi prema vašim podacima.

Važna napomena: nemojte da vas zavedu oni koji vam daju servere ”u oblacima”, tzv. Cloud. Naravno da je njihova zadaća kreirati rezervne kopije i vaših podataka i svega onoga što se u vašem Cloudu nalazi. Toplo vam preporučujemo – radite backup svojih podataka i s Cloud-a. Mi osobno poznajemo desetine korisnika koji su ostali bez podataka i na Cloudu. Mislili su “Pa to oni arhiviraju...”. Točno! Arhiviraju. Zaista arhiviraju. Nije šala. Ali, ako davalac usluga u Cloudu ipak izgubi podatke, možete se slikati... Dešavalo se. I dešavat će se i ubuduće. Neka rade backup oni, ali radite ih i vi. Mi tako radimo...

Pristupne šifre za 4D Wand

Druga stvar koju često čujemo od korisnika je da smatraju da mi poznajemo ili imamo negdje pohranjene njihova korisnička imena i pristupne šifre (lozinke) za prijavu u 4D Wand. Isto bi bilo vrlo nekulturno od nas, a nije ni po Zakonu. Često se dogodi situacija da netko zaboravi svoju pristupnu šifru za 4D Wand pa nazove našu podršku i zamoli da provjerimo koja je njegova pristupna šifra (lozinka). Drugi česti slučaj je da nas nazove vlasnik poduzeća i zamoli da osobi, npr. Peri Periću koji je nedavno napustio njegovu tvrtku izmijenimo šifru i ugasimo sva prava pristupa. Ovim putem napominjemo da isto nije nikako moguće jer 4th Dimension d.o.o. nema, niti je ikada imala, podatak o korisničkom imenu ili pristupnoj šifri bilo kojeg korisnika 4D Wand-a! Isto je isključivo briga samih korisnika. U slučaju odlaska radnika iz tvrtke trebate izmijeniti dotadašnje šifre i ugasiti sva prava pristupa u 4D Wand-u nad tim korisnikom. Svim podacima korisnika može pristupiti ovlaštena osoba za administraciju 4D Wanda. Isto nije naša tvrtka.

Važna napomena: Naravno, bilo bi dobro da s vašim administratorima u takvim slučajevima provjerite i pristup vašem serveru, te isto zabranite bivšim zaposlenicima kako ne bi došlo da kakve zlouporabe podataka sa servera.

Obrada podataka

Treća bitna stvar koja se odnosi na GDPR, a često se krivo tumači je termin obrade podataka. Naime, Opća uredba o zaštiti osobnih podataka u čl. 4 st. 8 “I zvršitelja obrade“ osobnih podataka definira kao svaku fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Dakle, voditelj podataka je najvjerojatnije vaša tvrtka, a izvršitelj onaj tko obrađuje podatke (zaposlenici, knjigovodstveni servisi, vanjski suradnici i sl).
Iako na ispisima iz 4D Wand-a kod korisnika koji su prilikom kupoprodaje programa dobili popust za reklamu stoji napomena:

Obrada podataka 4D Wand informacijski sustav: www.4d.hr

Isto ne znači da je tvrtka 4th Dimension d.o.o. Izvršitelj obrade podataka ili nešto slično po pitanju GDPR-a jer naša tvrtka nikome ne vodi podatke, niti će ikada ikome voditi i obrađivati podatke . Mi prodajemo isključivo alat za obradu podataka, a to je programsko rješenje 4D Wand. Sami korisnici su Voditelji i Izvršitelji obrade svojih podataka prilikom čega samo koriste alat za obradu podataka, a to je programsko rješenje 4D Wand. Našim radnicima je strogo zabranjeno kliknuti jedan jedini check-box u podacima naših korisnika, a kamoli nešto više od toga (prepoznat će se mnogi u sljedećem – jako nas kudite što ne želimo kliktati umjesto vas J ).

Interno ograničenje pristupu osobnim podacima

S obzirom na to da GDPR propisuje da s osobnim podacima koji se obrađuju (npr. za obračun plaća, evidencija o radnicima, obračun putnih naloga, itd...) treba postupati s osobitom pažnjom i da iste treba obrađivati samo za namjenu za koju su prikupljeni, te da pristup istima smiju imati samo osobe koje su internim odlukama poduzeća ovlaštene za prikupljanje i obradu tih osobnih podataka, molimo sve korisnike koji se žele prilagoditi GDPR-u da u Korisnicima i pravima pristupa koji se pozivaju s glavnog izbornika 4D Wand-a zabrane pristup osjetljivim osobnim podacima osobama koje nisu Izvršitelji obrade osobnih podataka u vašem društvu i koji ne smiju imati uvid u osobne podatke koji se obrađuju i čuvaju (modul Plaća, modul Autorskih honorara, modul Putnih naloga i slično).

GDPR ne znači ”Moramo prestati voditi, prikupljati i obrađivati bilo kakve podatke”

U posljednje vrijeme, od kada je priča oko uvođenja GDPR-a postala aktualna i što se više primiče rok početka primjene Uredbe o zaštiti osobnih podataka (Uredba EU 2016/679) kroz redovnu podršku i razgovore s korisnicima također smo dobili dojam da se kod određenog broja naših korisnika stvorila kriva slika da GDPR zabranjuje bilo kakvu vrstu vođenja, prikupljanja i obrađivanja bilo kakve vrste podataka. Međutim, isto nije točno. Podatke i dalje možete prikupljati i obrađivati, ali u skladu s propisima Uredbe o zaštiti osobnih podatka. Naime, s misao GDPR-a nije da zabranjuje prikupljanje i obradu osobnih podataka već je njegov smisao da se osobni podaci moraju prikupljati za određenu svrhu, a osoba čiji podaci se prikupljaju i obrađuju mora biti upoznata sa svrhom prikupljanja i obrade njenih podataka i trebala bi svjesno i dobrovoljno dati svoju suglasnost za takvu vrstu obrade (privola). Također, s prikupljenim osobnim podacima osoba mora se postupati odgovorno i savjesno, u skladu s manirama dobrog gospodara, prikupljeni podaci ne smiju se zloupotrebljavati i dijeliti dalje za svrhe za koje nisu prikupljeni, moraju se štiti u skladu s dostupnim tehnologijama kako bi se smanjili rizici od krađe i ne smiju se obrađivati u svrhe za koje nisu prikupljeni (npr. za marketinšku i komercijalnu obradu, za spamanje e-mailovima i sl.).
Zakonitost obrade i prikupljanja osobnih podataka definira članak 6 st. 1 Uredbe. Također, da bi obrada bila zakonita, prema točki 40 uvodne izjave Uredbe, osobne podatke trebalo bi obrađivati na temelju privole ispitanika. Međutim, u slučaju obrađivanja osobnih podataka vaših zaposlenika, legitimna je zakonska osnova poslodavca. Drugim riječima, nacionalni Zakon (u ovom slučaju Zakon o porezu na dohodak, Pravilnik o vođenju evidencije o radnom vremenu itd.) nalaze se „iznad“ Uredbe što znači da radnik ne mora davati svoju suglasnost (privolu) poslodavcu za obrađivanje njegovih osobnih podataka u navedene svrhe, jer poslodavac ima legitimnu (zakonsku) osnovu za obradu osobnih podataka zaposlenika radi obračuna plaća, predaje JOPPD obrazaca, statistika Državnom zavodu za statistiku itd. (naravno ti podaci ne smiju se zloupotrebljavati i koristiti za neke druge svrhe).
Ono što poslodavci na svojoj strani moraju učiniti da se prilagode GDPR-u i osiguraju u slučaju kakve kontrole je da donesu niz procedura, zaštitnih mjera, internih pravila i ostalih akata kojima će u slučaju kontrole nadzorne agencije dokazati da kontinuirano provode sve odredbe GDPR-a. Zapravo GDPR ne predstavlja nikakvu revolucionarnu novinu u našem zakonodavstvu jer je Zakon o zaštiti osobnih podataka u RH aktualan više od 20 godina tako da ako ste i do sada provodili mjere zaštite osobnih podataka prilagodba ovoj Uredbi ne bi trebala biti preveliki problem. Naravno, novina koju donosi GDPR i Uredba o zaštiti osobnih podataka (Uredba EU 2016/679) je da se ipak propisuju jasnija pravila i kontrole vezana za prikupljanje osobnih podataka, a obveza dokazivanja da se podaci štite i obrađuju sukladno Uredbi u potpunosti je prebačena onog tko prikuplja podatke (poduzeća, udruge, ustanove itd...). Naravno, propisane su i veće kazne u odnosu na dosadašnji Zakon za sve prekršitelje, ali u to nećemo ulaziti u našim Info-ima.

*** Napomena - upute se mogu razlikovati u slikama i tekstu od sadržaja koji se nalazi na vašem računalu, ovisno o inačici 4D Wanda koju trenutno koristite. Posljedica je to stalnog razvoja i nadogradnje 4D Wanda, a koji iz objektivnih razloga dinamikom ne prati i nadogradnja modula Upute. Posebno se to odnosi na zamjenu službene valute RH kuna (kn) u euro (€) i njen prikaz u uputama.