Termenul de 25 mai, data de la va incepe sa se aplice GDPR-ul (Regulamentul General privind Protectia Datelor Personale), se apropie cu pasi rapizi si riscati sa fiti prinsi pe picior gresit daca nu va informati din timp.
Va reamintim ca regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 referitor la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatiei a acestor date si de abrogare a Directivei 95/46/CE, denumit pe scurt GDPR, va incepe sa produca efecte in toate statele Uniunii Europene incepand cu data mentionata mai sus.
Pe scurt, noul regulament ofera cetatenilor mai multe drepturi: dreptul la informare, dreptul de acces la datele personale, dreptul la rectificare si stergere (dreptul de a fi uitat), dreptul la restrictionarea prelucrarii, dreptul la portabilitatea datelor, dreptul la opozitie.
GDPR-ul se va dovedi o adevarata provocare si pentru contabili, care trebuie sa fie constienti de impactul noilor reglementari asupra activitatii lor.
Accountancy Europe a publicat un document informativ in aprilie 2017, tradus recent de catre specialistii CECCAR, care vine in intampinarea contabililor. Mai jos va oferim cateva date importante extrase din acest material.
Sunteti constienti de impactul pe care il va avea GDPR asupra activitatii voastre?
Profesionistii care activeaza in domeniul contabilitatii sunt direct afectati de reglementarile GDPR fiindca acestia colecteaza, stocheaza si proceseaza date cu caracter personal legate de clienti, de angajati si de subcontractori. Nu tratati cu indiferenta aceste dispozitii referitoare la protectia datelor deoarece amenzile ar putea ajunge la zeci de milioane de Euro.
Potrivit raportului, “toate organizatiile care lucreaza cu informatii cu caracter personal trebuie sa-si revizuiasca procedurile in cel mai scurt timp posibil pentru a se asigura ca se conformeaza noilor prevederi. Un studiu finantat de Google estimeaza un cost mediu anual de pana la 7.200 de euro3 pentru implementarea GDPR de catre o IMM obisnuita.”
Cartea Verde a Contabilitatii
SAF-T pentru Contribuabili Mici
Marea Carte Verde a Monografiilor Contabile
Procesarea datelor personale este legitima atunci cand este necesara pentru:
- a indeplini un contract la care persoana vizata este parte;
- a se conforma cu o obligatie legala;
- a proteja interesele vitale ale persoanei vizate;
- a realiza o sarcina in interesul public sau in exercitarea competentelor oficiale;
- a urmari interesele legitime ale operatorului de date;
- cu exceptia situatiei in care acestea se opun drepturilor fundamentale ale persoanei vizate.
De asemenea, procesarea datelor mai este posibila in cazul in care persoana vizata isi da acordul. Dar luati in cacul ca conditiile in care este posibil acest lucru sunt reglementate strict, iar operatorul de date trebuie sa poata demonstra ca persoana vizata si-a dat acordul pentru procesare. Un aspect important, furnizarea unui serviciu nu impune exprimarea acordului in cazul in care procesarea nu este necesara pentru furnizarea acelui serviciu. Mai mult, persoana vizata isi poate retrage acordul in orice moment. De asemenea, GDPR introduce reguli pentru situatiile in care datele personale sunt procesate in scopuri ce depasesc scopul initial. Acesta impune operatorilor de date sa documenteze corespunzator aceasta decizie si sa descrie factorii avuti in vedere in luarea acestei decizii.
Alt aspect important ce nu trebuie omis il reprezinta protectia datelor in cazul angajatilor. Statele membre sau acordurile colective intre angajati si angajatori pot adopta mai multe reguli pentru procesarea datelor personale ale angajatilor in contextul activitatii lor ca angajati. Prin urmare, ar putea exista diferente in dispozitii de la un stat membru la altul.
GDPR: colectarea datelor personale
In document se mai mentioneaza ca, atunci cand datele sunt colectate direct de la persoana vizata, operatorul de date trebuie sa ofere informatii precum datele sale de contact, durata pastrarii datelor, scopul procesarii acestora si baza legala.
Spre exemplu, daca:
1. Trimiteti o notificare de plata unui client?
2. Arhivati facturile fiscale pe luna precedenta?
3. Expediati fisierul cu statele de salarii la banca?
4. Intocmiti documentele pentru achitarea unei diurne?
Toate aceste operatiuni vor trebui gestionate altfel dupa data de 25 mai 2018.
Asadar, operatorii de date trebuie sa furnizeze persoanei vizate (fie caeste client ori angajat) raspunsuri clare la intrebarile de mai jos:
- cine esti?;
- cine (altcineva) mai primeste datele mele?;
- de ce imi procesezi datele?;
- cat timp imi vei pastra datele?;
- care sunt drepturile mele in ceea ce priveste protectia datelor?
GDPR: dreptul la stergerea datelor personale
Potrivit documentului, “dreptul la stergerea datelor sau „dreptul de a fi uitat” impune operatorilor de date sa stearga datele personale la solicitarea persoanei vizate, in anumite circumstante. Dreptul la stergerea datelor nu se aplica in cazul in care procesarea este necesara pentru a permite operatorului de date sa se conformeze unor dispozitii legale sau in cazul in care procesarea este realizata in interesul public. De exemplu, clientii nu pot solicita stergerea informatiilor personale colectate in contextul procesului de verificare prealabila a clientilor.”
DE RETINUT!
Principalele reguli in cazul GDPR-ului sunt: informarea clientilor cu privire la drepturile lor, asigurarea unei securitati cibernetice adecvate si o reactie mai buna si mai prompta la incalcarea securitatii datelor.
Sursa: CECCAR