In studiul de caz de astazi vom dezbate problema legata de desemnarea unui responsabil cu protectia datelor. Dilema este daca societatile de contabilitate si cu departament de resurse uman, departament care actioneaza conform HG 500 sunt obligate sa angajeze cu contract de munca o persoana pentru protectia datelor cu caracter personal.
...Click AICI si consulta ghidul practic pentru Contabili referitor la Protectia Datelor.>>>
Iata raspunsul specialistului!
H.G. nr. 905/2017 privind registrul general de evidenta a salariatilor (prin care se abroga H.G. nr. 500/2011) contine cateva prevederi care fac trimitere la respectarea reglementarilor referitoare la protectia datelor cu caracter personal la art. 2 si la art. 7, insa nu prevede necesitatea angajarii unei persoane responsabila cu protectia datelor personale.
Nici in Legea nr. 667/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date nu exista o asemenea prevedere.
Insa, incepand cu data de 25 mai 2018 devine aplicabil Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a directivei 95/46/CE (regulamentul general privind protectia datelor) stabileste noile reguli aplicabile in privinta protectiei datelor personale la nivel european.
Regulamentul trebuie aplicat de toate entitatile care prelucreaza date cu caracter personal.
Cartea verde a Contabilitatii varianta online
Ce NU vrea ANAF sa stii Piruete LEGALE in aspecte fiscale
Registrul de Evidenta Fiscala PFA
Bugete cash flow rentabilitate risc - ghid practic
Din cele mentionate de dumneavoastra, intelegem ca prestati servicii de contabilitate si resurse umane pentru clientii societatii dumneavoastra.
Referitor la desemnarea unui responsabil cu protectia datelor, acest Regulament contine o serie de prevederi la art. 37 - 39.
Astfel, la art. 37 se prevede ca operatorul (spre ex.: angajatorul) si persoana imputernicita de operator (spre ex.: tertul prestator – societate de contabilitate/de resurse umane) desemneaza un responsabil cu protectia datelor ori de cate ori:
(a) prelucrarea este efectuata de o autoritate sau un organism public, cu exceptia instantelor care actioneaza in exercitiul functiei lor jurisdictionale;
(b) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga;
sau
(c) activitatile principale ale operatorului sau ale persoanei imputernicite de operator constau in prelucrarea pe scara larga a unor categorii speciale de date, mentionata la articolul 9 (date privind originea rasiala sau etnica, opiniile politice, confesiunea religioasa sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date genetice, de date biometrice pentru identificarea unica a unei persoane fizice, de date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale unei persoane fizice), sau a unor date cu caracter personal privind condamnari penale si infractiuni, mentionata la articolul 10 (date cu caracter personal referitoare la condamnari penale si infractiuni sau la masuri de securitate conexe).
Persoana responsabila cu protectia datelor poate fi un salariat al societatii sau poate fi contractata pe baza unui contract de servicii conform art. 37 alin. (6).
Apreciem ca societatile de contabilitate care prelucreaza date personale furnizate de clienti nu se incadreaza la lit. (a) si (c), insa exista posibilitatea sa se incadreze la lit. (b).
Conform Regulamentului (considerentul 97 din preambul) in sectorul privat, activitatile principale ale unui operator se refera la activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare. Or, avand in vedere faptul ca in cazul prezentat este vorba de societati de contabilitate care gestioneaza datele personale ale angajatilor clientilor lor, consideram ca aceasta activitate este o activitate de baza.
...Click AICI si consulta ghidul practic pentru Contabili referitor la Protectia Datelor.>>>
Un alt element prevazut la lit.b) care trebuie analizat este cel referitor la efectuarea de operatiuni de prelucrare care, prin natura, domeniul de aplicare si/sau scopurile lor, necesita o monitorizare periodica si sistematica a persoanelor vizate pe scara larga.
Din aceasta perspectiva trebuie sa analizati frecventa/periodicitatea prelucrarilor de date personale efectuate precum si amploarea lor.
Regulamentul nu defineste ce anume constituie prelucrarea pe scara larga, insa la considerentul 91 din preambulul Regulamentului se arata ca operatiunile de prelucrare la scara larga sunt cele care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate si care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitatii lor, in cazul in care, in conformitate cu nivelul atins al cunostintelor tehnologice, se foloseste la scara larga o tehnologie noua, precum si altor operatiuni de prelucrare care genereaza un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile.
Prin urmare trebuie sa analizati daca societatea de contabilitate prelucreaza un volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate; o asemenea analiza apreciem ca poate fi facuta luandu-se in considerare numarul de clienti ai societatii de contabilitate precum si numarul de persoane ale caror date personale le gestioneaza.
De principiu, consideram ca pentru activitatile legate de evidenta muncii nu se pune totusi problema de monitorizare periodica si sistematica a persoanelor vizate pe scara larga, deoarece datele din Registrul electronic de evidenta a salariatilor nu sunt supuse unor actualizari/prelucrari periodice, ci doar atunci cand intervine o modificare in ceea ce priveste raporturile de munca.
Astfel, apreciem ca eventual ar putea fi incadrate la art. 37 lit. (b), cel mult societatile mari de contabilitate care gestioneaza un numar mare de clienti si de date personale.
In orice caz, regulamentul mentioneaza necesitatea efectuarii de catre operatori a unor evaluari de riscuri in ceea ce priveste prelucrarea de date cu caracter personal si in functie de aceste evaluari sa decida ce masuri de protectie trebuie sa adopte.
Avand in vedere cele mentionate mai sus, apreciem ca o societate de contabilitate nu este obligata sa angajeze o persoana responsabila cu protectia datelor personale, insa poate opta in mod voluntar pentru desemnarea unei asemenea persoane, cu conditia ca acea persoana sa aiba pregatire profesionala in domeniul protectiei datelor personale.
...Click AICI si consulta ghidul practic pentru Contabili referitor la Protectia Datelor.>>>
Mai mentionam si faptul ca la art. 37 alin. (7) din Regulament se prevede ca Operatorul sau persoana imputernicita de operator publica datele de contact ale responsabilului cu protectia datelor si le comunica autoritatii de supraveghere.
In Romania, institutia responsabila in acest domeniu este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Avand in vedere aceasta prevedere a Regulamentului apreciem ca puteti sa va adresati acestei institutii pentru un punct de vedere oficial asupra problemei ridicate.
Raspunsul a fost oferit pe portalcodulmuncii.ro de Adina Popescu – consilier juridic.