GDPR: Obligatii firma de contabilitate

GDPR: Obligatii firma de contabilitate

Regulamentul GDPR a intrat in vigoare din data de 25 mai anul curent. Setul de reguli stabilit la nivelul Uniunii Europene are rolul de a proteja membrii civili de procesul de prelucrare a datelor personale fara acordul initial. Acest regulament pentru protectia datelor personale se aplica si contabililor, asa ca trebuie luate in vedere cateva aspecte importante. Vom afla in randurile de mai jos ce trebuie sa faca un contabil de acum incolo pentru a evita amenzile uriase aplicate in caz de nerespectare a regulilor GDPR.

Cu privire la calitatea detinuta de catre societatea de contabilitate, in conformitate cu prevederile Regulamentului 679/2016 acesta poate avea calitatea de operator de date cu caracter personal conform pct. 7 al art. 4 care stabileste ca „operator” inseamna persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Notiunea de „date cu caracter personal” reprezinta orice informatii privind o persoana fizica identificata sau identificabila („persoana vizata”); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale. In acelasi timp, notiunea de prelucrare a datelor, reprezinta orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea.

Asadar, societatea de contabilitate poate dobandi calitatea de operator pentru proprii salariati sau pentru clientii persoane fizice sau poate avea doar calitatea de persoana imputernicita de operator, definita de art. 4 pct. 8 din Regulament, exercitata in conditiile art. 28 din aceeasi reglementare in situatia in care prelucreaza date pentru operator.

Potrivit Regulamentului, prelucrarea datelor de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic care are caracter obligatoriu pentru persoana imputernicita de operator in raport cu operatorul si care stabileste:

– obiectul si durata prelucrarii;
– natura si scopul prelucrarii,
– tipul de date cu caracter personal;
– categoriile de persoane vizate si obligatiile si drepturile operatorului.

Sintetic, contractul prevede in special ca persoana imputernicita de operator:
a) prelucreaza datele cu caracter personal numai pe baza unor instructiuni documentate din partea operatorului;
b) se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate;
c) adopta toate masurile necesare pentru asigurarea securitatii prelucrarii datelor in conformitate cu articolul 32;
d) respecta conditiile mentionate la alineatele (2) si (4) ale art. 28 privind conditiile recrutatii unei alte persoane imputernicite de operator;
e) tinand seama de natura prelucrarii, ofera asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III din Regulament privind drepturile persoanei vizate cum sunt cele privind informarea si accesul la datele personale, dreptul la rectificarea si la stergerea datelor, dreptul la restrictionarea prelucrarii ori cel privind portabilitatea datelor;
f) ajuta operatorul sa asigure respectarea obligatiilor prevazute la articolele 32-36, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator; g) la alegerea operatorului, sterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
h) pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor prevazute la prezentul articol, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea. Informeaza imediat operatorul in cazul in care, in opinia sa, o instructiune incalca prezentul regulament sau alte dispozitii din dreptul intern sau din dreptul Uniunii referitoare la protectia datelor.

Avand in vedere cele de mai sus, pentru a asigura punerea in aplicare a Regulamentului 679/2016, in sinteza, urmeaza a avea in vedere incheierea unui contract privind exercitarea calitatii de persoana imputernicita de operator, adoptarea unor proceduri privind accesul la datele cu caracter personal colectate si implementarea unor solutii tehnice, in cazul in care acestea nu exista privind siguranta datelor si modalitatea de exercitarea de catre persoanele vizate a drepturilor conferite de Regulament.

Asadar, pentru operatori trebuie sa analizeze modul in care se pun in aplicare principiile mentionate la art. 5 din Regulament referitoare la colectarea legala, scopul colectarii sa fie unul determinat si legitim, datele sa fie corecte, ca se asigura identificarea persoanelor pe o perioada strict necesara asigurarii scopului pentru care au fost colectate si nu in ultimul rand ca sunt prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare.

Odata ce modul de respectare a acestor principii este asigurat, societatea nu va putea fi expusa unor sanctiuni contraventionale. Este deosebit de important sa poate fi probata respectarea acestor principii deoarece alin. (2) al art. 5 subliniaza nu numai responsabilitatea operatorului pentru respectarea acestoraci si capacitatea de a demonstra aceasta respectare

O alta obligatie decurgand din operatiunea de prelucrare a datelor este obligatia de informare a persoanei in conformitate cu art. 13 si 14 din Regulament. Trebuie subliniat faptul ca  informarea trebuie se se realizeze intr-un termen rezonabil dupa obtinerea datelor cu caracter personal, dar nu mai mare de o luna, tinandu-se seama de circumstantele specifice in care sunt prelucrate datele cu caracter personal. De asemenea, trebuie asigurat persoanei dreptul de acces, rectificare si stergere a informatiilor cu caracter personal in conditiile prevazute de art. 15, 16 si 17 din Regulament.

In acelasi timp este necesara urmarirea adoptarii unor coduri de conduita, in temeiul art. 40 din Regulament, de catre organismele profesionale care reglementeaza exercitarea profesiei liberale pentru a se putea asigura o aplicare unitara a actului normativ in sfera operatiunilor efectuate de catre membrii acestora.

Cu privire la conditiile care impun desemnarea unui responsabil cu protectia datelor (DPO) prevazute in cadrul art. 37 alin. (1) lit. b) din Regulamentul nr. 679/2016 acestea sunt determinate de existenta in activitatile principale ale operatorului sau ale persoanei imputernicite de operator a operatiunilor de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga.

In vederea stabilirii obligatiei desemnarii DPO sunt analizate mai intai activitatile principale ale operatorului si daca acestea sunt plasate in sfera activitatilor referitoare la colectarea si prelucrarea datelor cu caracter personal. Cea de a doua conditie priveste existenta unei activitati de monitorizare realizata in cadrul unui interval de timp stabilit de societate si pe baza unor criterii sistematice. Cea de a treia si ultima conditie vizeaza notiunea de scara larga a monitorizarii. Aceasta analiza se realizeaza plecand de la numarul persoanelor vizate respective daca analiza se realizeaza asupra unui numar exact ori un procent din populatia relevanta, volumul datelor si/sau gama de elemente diferite de date in curs de prelucrare, durata sau permanenta activitatii de prelucrare a datelor, suprafata geografica a activitatii de prelucrare.

Avand in vedere ca la aceasta data nu sunt adoptate reglementari interne secundare care sa detalieze conditiile prevazute la art. 37 alin. (1) lit. b) din Regulament consideram ca fiecare operator urmeaza sa raporteze activitatea desfasurata la criteriile cumulative descrise mai sus.

Societatea de contabilitate nu poate avea calitatea de DPO, ci este doar persoana imputernicita de operator cu prelucrarea datelor, insa poate furniza operatorului informatii pentru ca acesta sa isi asigure de o maniera independenta obligatiile care ii revin in temeiul Regulamentului 679/2016 fara a mai apela la responsabilului cu protectia datelor. Cu toate acestea, in functie de obiectul de activitate care determina un volum important de informatii cu caracter personal (inclusiv de natura celor reprezentand categorii speciale prevazute la art. 9 alin. (1)) este de recomandat ca o evaluare de detaliu asupra masurilor concrete care se impun pentru asigurarea conformarii la obligatiile prevazute de Regulament sa fie efectuata de catre o persoana de specialitate.

Cu privire la salariati, trebuie subliniat faptul ca pentru prelucrarea datelor cu caracter personal decurgand din aplicarea contractelor de munca, conform art. 6 alin. (1) lit.c) din Regulament, nu este necesar obtinerea consimtamantului acestora in conditiile in care prelucrarile privesc exclusiv indeplinirea unor obligatii legale stabilite in sarcina angajatorilor. Desigur, asa cum aminteam mai sus cu privire la datele prelucrate, operatorul sau persoana imputernicita trebuie sa intreprinda celelalte masuri de asigurarere a acestora dar si de acordare a salariatilor a drepturilor privind prevazute de Regulament precum instiintarea cu privire la prelucrare dar si accesul la date.

In final, subliniem si prevederile art. 30 din Regulamentul 679/2016 care reglementeaza obligatia fiecarui operator si, dupa caz, a reprezentantului acestuia de a pastra o evidenta a activitatilor de prelucrare a datelor desfasurate sub responsabilitatea lor care contine identitatea persoanei care le prelucreaza, descrierea persoanelor vizate, transferuri de date catre terte persoane, state ori organizatii internationale, termenele-limita preconizate pentru stergerea diferitelor categorii de date, acolo unde este posibil, o descriere generala a masurilor tehnice si organizatorice de securitate. Aceasta evidenta este obligatorie pentru operatorii care au mai putin de 250 de angajati, cu exceptia cazului in care prelucrarea pe care o efectueaza este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate, prelucrarea nu este ocazionala sau prelucrarea include categorii speciale de date cum sunt cele prevazute la art. 9 alin. (1), respectiv: care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate, dar si prelucrari de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

Sursa: contabilul.ro

Data aparitiei: 29 iunie 2018

Leave a Reply