Калкулатор паушалног пореза

Садржај евиденције - Ко рукује/обрађује податке? Које податке прикупљате и како их обрађујете? Да ли их преносите у иностранство? Које мере предузимате за заштиту података?

Не постоји утврђен образац за вођење ове евиденције, ипак, у њу би требало да укључиш следеће информације:

  • које одељење/сектор/лице на којој функцији у твојој организационој структури врши прикупљање и обраду података о личности;

  • која категорија података о личности/подаци о којим лицима се прикупљају – нпр. име и презиме, ИП адреса, подаци о страницама које корисник неког сајта посећује;

  • уколико подаци који се прикупљају имају заједнички именитељ, можеш да одредиш заједничко име за ту збирку података – нпр. Евиденција о запосленима;

Имај у виду да:

  • је податак о личности свака информација која се односи на физичко лице, независно од тога у којој је форми представљена;

  • довољно је да податак који прикупљаш о неком физичком лицу омогућава да се то физичко лице идентификује – његов идентитет не мора бити познат у тренутку прикупљања података;

  • постоје категорије података о личности у случају чијег прикупљања је потребно испунити додатне услове јер се сматрају нарочито осетљивим, а који се односе на националну или расну припадност, вероисповест, припадност политичкој странци, синдикално чланство, здравствено стање, сексуални живот и слично.

  • на који начин обрађујеш податке о личности – прикупљање, бележење, преписивање, умножавање, копирање, преношење, претраживање, разврставање, похрањивање, раздвајање, укрштање, обједињавање, уподобљавање, мењање, обезбеђивање, коришћење, стављање на увид, откривање, објављивање, ширење, снимање, организовање, чување, прилагођавање, откривање путем преноса или на други начин чињење доступним, прикривање, измештање и на други начин чињење недоступним,…без обзира да ли се врши аутоматски, полуаутоматски или на други начин;

  • на који начин се чувају подаци који се прикупљају за сврху обраде – у штампаној форми (регистратори, складишта), електронској форми (клауд или други начин чувања електронских база података), у форми видео записа, у комбинацији више наведених облика чувања или на друг начин;

  • на који начин прикупљаш податке које обрађујеш – односно да ли си податке добио директно од лица на које се ти подаци односе или на други начин – од клијента који те је непосредно ангажовао – од одговора на ово питање зависи да ли ћеш имати улогу руковаоца или обрађивача података о личности и које мере треба да предузмеш по том основу. Помоћ и смерница приликом одређења твог положаја свакако се заснива на одговору на питање – да ли податке обрађујеш за своје потребе или за потребе и за сврхе које је одредило неко друго лице;

  • датум када је твој бизнис почео да обрађује податке о личности први пут;

  • сврси због које прикупљаш и обрађујеш податке о личности – разлог би требало да се односи на твоје пословање, услуге које пружаш својим клијентима, а често се ради и о разлозима маркетиншке природе и побољшања положаја твог бренда/производа/услуге на тржишту – савет: Одговори на питање – Зашто прикупљам конкретну категорију података о личности и из ког разлога је то потребно за моје пословање?

  • правни основ за обраду података о личности - савет: погледај услове за закониту обраду података о личности – требало би да обрађујеш податке бар на основу једног од њих. Уколико обрађујеш податке о личности на основу инструкција свог клијента и имаш улогу обрађивача података о личности, упамти да је неопходно да са лицем које ти је податке о личности учинило доступним и које има улогу руковаоца свој однос уредиш уговором. Уколико ти је податке поверио клијент или пословни партнер, пожељно је да наведеш да ли између вас постоји уговор којим су регулисана ваша права, обавезе и одговорности, која је твоја улога у обради података на основу уговора, које су твоје обавезе, као и друге релевантне податке који треба да прикажу основ по коме си добио приступ и на основу ког обрађујеш податке. Нарочито обрати пажњу уколико си уговор закључио са партнером који има седиште у иностранству или уколико на основу уговора са тим партнером обрађујеш податке о личности лица која су страни држављани – у овом случају размисли о консултовању стручњака у овој области, будући да ћеш по том основу бити обавезан да поштујеш и правила државе чији је држављанин лице чије податке обрађујеш. У том смислу, требало би да доставиш уговор са својим партнером на анализу како би установио да ли је твоја обрада у складу са свим применљивим правилима;

  • категорији лица чије податке обрађујеш (нпр. купци (представници/запослени правних лица или предузетници), добављачи (представници/запослени правних лица или физичка лица), дистрибутери (представници/запослени правних лица или физичка лица), пословни сарадници (представници/запослени правних лица или физичка лица), крајњи купци/потрошачи (физичка лица), посетиоци веб сајта, итд.;

  • лицима која имају или ће имати приступ подацима о личности који су предмет обраде – да ли су питању лица која су запослена или на други начин ангажована у твојој организационој структури или приступ имају и трећа лица и по ком основу; и

  • да ли износиш личне податке у иностранство.

Уколико износиш податке о личности у иностранство, наведи:

  • у коју земљу или међународну организацију су изнети подаци и на који начин – да ли физички, у штампаној форми, или електронским путем;

  • по ком правном основу су изнети подаци ван граница РС (примера ради, то може да буде уговор);

  • да ли је било захтева било које врсте од стране лица на које се подаци које прикупљаш и обрађујеш односе – обично се ради о захтевима који су повезани са остваривањем права ових лица – нпр. да ли је неко од ових лица опозвало свој пристанак за даљу обраду његових података, тражило њихово брисање, пренос другом руковаоцу или обрађивачу и сл. Уколико је одговор потврдан, потребно је навести податке о захтеву, као и начин на који си по њему поступио; и

  • мерама које су предузете у циљу чувања и заштите података о личности – обезбеђивање просторија где се налазе документи који садрже податке о личности, ограничавање приступа подацима о личности само оним лицима која имају посебна овлашћења, енкрипција.

Извоз података – обрати посебну пажњу!

Сваки облик преноса података о личности у иностранство, независно у ком облику је извршен, представља извоз података. У тим случајевима, осим услова за закониту обраду података о личности, морају да буду испуњени додатни услови за законит пренос података.

Испуњење додатних улова није потребно једино уколико се ради о држави за коју се сматра да обезбеђује примерени ниво заштите података о личности, односно у којој важе прописи о заштити података о личности који се ефективно примењују на њеној територији. Ове државе се одређују на основу објективних критеријума, а чине их:

  1. државе потписнице Конвенције Савета Европе о заштити лица у односу на аутоматску обраду личних података - доступна на  ;

  2. државе за које је Европска Комисија утврдила да обезбеђују примерени ниво заштите – доступно на следећем  .

Дакле, пренос података је слободан под условом да се држава у коју се извозе подаци налази на једној од ове две листе или је наведена у одлуци Владе Републике Србије којом се одређују државе чији регулаторни оквир обезбеђује довољну заштиту података о личности. У другим случајевима, уколико држава у коју се извозе подаци не пружа довољан ниво заштите, извоз података је дозвољен уколико обезбедите одговарајуће мере заштите ових података.

Пренос је могућ и без предузимања мера за обезбеђивање одговарајуће заштите под условом:

-да је лице на које се подаци односе изричито пристало на пренос,

-пренос је неопходан за закључење и извршење уговора између лица чији се подаци преносе и руковаоца, или

-пренос је неопходан за остваривање важног јавног интереса или је прописан законом.

Овде можеш погледати више о мерама за обезбеђивање одговарајуће заштите без одобрења повереника за информације од јавног значаја и заштиту података о личности, као и о коришћењу стандардних уговорних клаузула –

Слично као што Закон о заштити података о личности прописује правила за пренос података ван Србије, Општа уредба о заштити података о личности Европске Уније („чувени“ ГДПР) прописује услове за извоз података са територије Европске Уније. Довољно је да се твој сервер преко кога пружаш хостинг услуге налази у иностранству да би се сматрало да долази до извоза података. Штавише, сматраће се да до извоза података долази и у случају када партнеру или сараднику из иностранства доставиш шифру или му на други начин омогућиш да приступи подацима који се налазе у Србији. Зависно од тога у колико држава се врши извоз података, мораћеш да ускладиш пословање са прописима тих држава о заштити података о личности. Стога је пожељно да у случајевима када долази до извоза података или у случају када у Србији обрађујеш податке о личности страних држављана консултујеш стручно лице у овој области како би био сигуран да је твоје пословање усклађено са важећим прописима.

У случају да податке чиниш доступним лицима у иностранству, размисли о саветовању са стручњацима у овој области, будући да се у тим случајевима мора извршити додатна анализа у погледу степена заштите података о личности који се на тај начин чине доступним трећим лицима.