Politica GDPR

Luam in serios prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016, privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date si abrogarea Directivei 95/46/CE si de aceea am creat aceasta sectiune care detaliaza acest regulament.

Datele personale includ orice informații referitoare la o persoană fizică identificabilă (persoana vizată). De exemplu, adresa de domiciliu, venitul sau numărul de telefon al unei anumite persoane. Practicienii din domeniul contabilității procesează în mod regulat datele personale ale clienților sau angajaților lor.

Procesarea datelor reprezintă orice operațiune efectuată asupra datelor personale. Aceasta include colectarea, înregistrarea, structurarea, stocarea, adaptarea, consultarea, utilizarea, divulgarea, ștergerea sau distrugerea datelor.

De exemplu, contabilii colectează și stochează informații referitoare la identitatea unui nou client pentru a se conforma dispoziţiilor de verificare prealabilă a clienților din Directiva privind combaterea spălării banilor. Atunci când furnizează servicii de salarizare clienților lor (și lor înșiși), au acces, de asemenea, la date personale relevante ale angajaților. Auditorii procesează datele personale ale angajaților clienților lor. Datele pot fi procesate de operatori de date sau persoane împuternicite de operatori. Operatorii de date determină obiectivele și mijloacele de procesare a datelor personale. Operatorii de date pot apela la împuterniciți care să proceseze datele personale în numele lor. Operatorii de date trebuie să țină cont de responsabilitățile pe care le au atunci când lucrează cu un împuternicit.
Practicienii pot fi atât operatori de date, cât și împuterniciți.

De exemplu, un contabil care stochează în cloud datele personale ale clienților lor este un operator de date. Furnizorul de servicii cloud este, în acest caz, un împuternicit care procesează datele stocate de operatorul de date. Totuși, contabilul își păstrează responsabilitățile atunci când externalizează activitatea de procesare a datelor, inclusiv în ceea ce privește asigurarea unei securități corespunzătoare a datelor personale.

GDPR nu acoperă procesarea datelor personale de către o persoană fizică în decursul unei activități personale sau domestice. De asemenea, acesta nu include informațiile referitoare la corporații sau alte entități juridice, adică informații nepersonale. De exemplu, practicienii nu intră în aria de acoperire a GDPR atunci când procesează informații referitoare la locul de desfășurare a activității clientului lor (informație nepersonală).

Procesarea datelor personale este legitimă atunci când este necesară pentru:
– a îndeplini un contract la care persoana vizată este parte
– a se conforma cu o obligaţie legală
– a proteja interesele vitale ale persoanei vizate
– a realiza o sarcină în interesul public sau în exercitarea competențelor oficiale
– a urmări interesele legitime ale operatorului de date – cu excepția situației în care acestea se opun drepturilor fundamentale ale persoanei vizate

De exemplu, practicienii pot justifica procesarea informațiilor personale ale clienților, în contextul procesului de verificare prealabilă a clienților, ca având scopul de a executa o sarcină în interesul public și de a se conforma obligațiilor lor în baza legislației pentru combaterea spălării banilor.

În afară de opțiunile menționate mai sus, procesarea datelor este, de asemenea, posibilă atunci când persoana vizată își dă acordul. Totuși, condițiile în care este posibil acest lucru sunt reglementate strict, iar operatorul de date trebuie să poată demonstra că persoana vizată și-a dat acordul pentru procesare. Un aspect important, furnizarea unui serviciu nu impune exprimarea acordului în cazul în care procesarea nu este necesară pentru furnizarea acelui serviciu. Mai mult, persoana vizată își poate retrage acordul în orice moment.

De asemenea, GDPR introduce reguli pentru situațiile în care datele personale sunt procesate în scopuri ce depășesc scopul inițial. Acesta impune operatorilor de date să documenteze corespunzător această decizie și să descrie factorii avuți în vedere în luarea acestei decizii.

DREPTURI DE PROTECȚIE A DATELOR

Contabilii vor trebui să informeze persoanele vizate de la care colectează informații personale, cum ar fi clienții si angajatii acestora, cu privire la drepturilelor de protecție a datelor și să ia măsuri în vederea facilitării acestor drepturi. Acest lucru ar putea necesita revizuirea informațiilor furnizate persoanelor vizate cu privire la modul în care sunt procesate datele lor personale. O astfel de revizuire trebuie să includă o analiză a măsurii în care limbajul folosit este clar și inteligibil pentru persoanele vizate.

Drepturile de protecție a datelor includ dreptul la rectificare, opunere, ștergere, acces, portabilitate, restricționarea procesării și anumite drepturi legate de crearea profilelor –o parte din aceste drepturi sunt descrise mai jos. Se recomandă contabililor implicați în analizarea unor volume mari de date să studieze noile prevederi referitoare la realizarea de profiluri, aceasta fiind considerată o activitate cu grad ridicat de risc.

De asemenea, contabilii trebuie să acționeze și să răspundă la orice solicitare a unei persoane vizate, cum ar fi clienții, de a-și exercita drepturile. Aceasta ar putea implica elaborarea unor proceduri noi pentru tratarea unor astfel de solicitări. În plus, cu excepția cazului în care solicitările persoanei vizate sunt vădit nefondate sau excesive, contabilii trebuie să realizeze gratuit orice acțiuni legate de drepturile acesteia în domeniul protecției datelor. Dacă nu se ia nicio măsură ca răspuns la o solicitare, practicianul trebuie să informeze persoana vizată cu privire la drepturile acesteia de a depune o plângere.

Obligațiile în domeniul protecției datelor descrise mai sus se aplică, de asemenea, în ceea ce privește informațiile referitoare la angajați. Statele membre sau acordurile colective între angajați și angajatori pot adopta mai multe reguli pentru procesarea datelor personale ale angajaților în contextul activității lor ca angajați. Acest lucru înseamnă că ar putea exista diferențe în dispoziţii de la un stat membru la altul.

DREPTUL LA INFORMARE

Atunci când datele sunt colectate direct de la persoana vizată, operatorul de date trebuie să ofere informații precum datele sale de contact, durata păstrării datelor, scopul procesării acestora și baza legală. Astfel, operatorii de date trebuie să furnizeze persoanei vizate (de exemplu, client, angajat etc.) răspunsuri clare la următoarele întrebări:
– cine ești?
– cine (altcineva) mai primește datele mele?
– de ce îmi procesezi datele?
– cât timp îmi vei păstra datele?
– care sunt drepturile mele în ceea ce privește protecția datelor?

Operatorul de date trebuie, de asemenea, să informeze persoanele vizate atunci când intenționează să proceseze suplimentar datele în alt scop decât cel pentru care au fost colectate inițial. Atunci când datele personale nu au fost colectate direct de la persoana vizată, operatorii de date trebuie să furnizeze persoanei vizate informații similare cazului în care datele sunt colectate direct. De exemplu, pe parcursul procesului de verificare prealabilă a clienților, contabilii trebuie să le furnizeze clienților datele lor de contact și să le explice că informațiile lor sunt colectate în vederea realizării unei sarcini în interesul public. Atunci când un contabil folosește un furnizor de servicii cloud ale cărui servere sunt în afara UE, acesta trebuie să informeze, în plus, clientul despre acest aspect și despre orice măsuri de protecție implementate în vederea protejării drepturilor acestuia.

DREPTUL LA ȘTERGEREA DATELOR

Dreptul la ștergerea datelor sau „dreptul de a fi uitat” impune operatorilor de date să șteargă datele personale la solicitarea persoanei vizate, în anumite circumstanțe. Dreptul la ștergerea datelor nu se aplică în cazul în care procesarea este necesară pentru a permite operatorului de date să se conformeze unor dispoziții legale sau în cazul în care procesarea este realizată în interesul public. De exemplu, clienții nu pot solicita ștergerea informațiilor personale colectate în contextul procesului de verificare prealabilă a clienților.

RĂSPUNDERE

Operatorii de date trebuie să implementeze măsurile necesare pentru a se asigura și pentru a putea demonstra că procesarea datelor este în întregime conformă cu dispozițiile GDPR. Obligațiile ar putea fi îndeplinite prin aderarea la o procedură corespunzătoare de certificare sau la un cod de conduită. Teoretic, acest lucru implică, de asemenea, ca organizația să aibă proceduri documentate și evidențe referitoare la deciziile specifice. În plus, operatorii de date trebuie să realizeze o analiză de impact în domeniul protecției datelor înainte de a se angaja într-o activitate de procesare care este probabil să implice un grad ridicat de risc față de drepturile și libertățile persoanelor vizate. Pentru a se asigura conformarea la GDPR, este important să se meargă mai departe de un exercițiu de tip „bifați căsuța” și să se construiască o cultură corespunzătoare de protecție a datelor.

O nouă dispoziție a GDPR este faptul că operatorul are obligația de a lua măsuri care conduc la „protecția datelor din fața de concepție și protecția implicită a datelor” și de a se asigura că sunt procesate doar datele personale strict necesare. De exemplu, în contextul verificării prealabile a clienților, practicienii nu trebuie să proceseze date personale, cum ar fi preferințele politice ale clientului.

Operatorii de date au obligația de a ține evidența activităților de procesare, inclusiv detalii ale măsurilor de securitate tehnice și organizaționale care vizează datele și protecția acestora. Totuși, există o derogare pentru organizații cu mai puțin de 250 de angajați.

Atât operatorii de date, cât și persoanele împuternicite de operatori trebuie să desemneze un responsabil cu protecția datelor în anumite situații. De exemplu, este necesar un responsabil cu protecția datelor atunci când activitățile principale ale organizației necesită o monitorizare permanentă și sistematică a persoanelor vizate la scară mare sau când acestea constau în procesarea la scară mare a unor date speciale sau a unor date legate de condamnări penale. Responsabilul cu protecția datelor trebuie să fie un specialist în domeniul protecției datelor și să monitorizeze conformitatea cu GDPR. Responsabilul poate fi un angajat al organizației, dat trebuie să fie independent în executarea activităților sale.

Principiul răspunderii asupra datelor se extinde, de asemenea, la interacțiunea cu persoanele împuternicite de operatorii de date. GDPR impune operatorilor să utilizeze doar împuterniciți care ofere suficiente garanții pentru a implementa măsuri corespunzătoare pentru a îndeplini cerințele GDPR. Acest lucru înseamnă că operatorii trebuie să își cunoască atât propriile obligații, cât și pe cele ale persoanelor împuternicite.

În afară de prevederile care afectează în egală măsură operatorii și persoanele împuternicite de aceștia, există dispoziții speciale care vizează persoanele împuternicite. De exemplu, se interzice unui împuternicit să implice un alt împuternicit fără acordul prealabil explicit al operatorului.

Contractul cu persoana împuternicită trebuie să stabilească limitele activității de procesare a datelor. Acesta trebuie să stipuleze că împuternicitul va asista operatorul în vederea conformării cu o serie de obligații ale acestuia din urmă, cum ar fi îndeplinirea solicitărilor persoanelor vizate, notificarea cazurilor de încălcare a securității datelor sau notificarea operatorului în cazul în care împuternicitul consideră că o anumită instrucțiune de procesare va încălca GDPR.

Noile obligații aplicabile operatorilor de date și persoanele împuternicite de operatori vor afecta relațiile contractuale viitoare dintre operatori și persoanele împuternicite. Prin urmare, contractele vor deveni, probabil, mai detaliate. Noile obligații ar putea impune, de asemenea, o revizuire a contractelor existente.

Contabilii trebuie să fie deci atenți atunci când utilizează furnizori, cum ar fi furnizorii de servicii cloud. Acest aspect poate fi avut în vedere încă de la selectarea furnizorului. De exemplu, atunci când lansează o invitație la licitație pentru un serviciu cloud, practicienii pot include în invitație criterii legate de modul în care împuternicitul tratează securitatea cibernetică sau de existența unui raport de certificare privind conformitatea cu standardele internaționale relevante.

Derulează în sus