Regulamentul GDPR, intrat in vigoare incepand cu data de 25 mai 2018, inca mai prezinta necunoscute si starneste emotii intense contribuabililor. Va reamintim ca firma poate primi amenzi administrative usturatoare pentru buget (de 20 de milioane de euro sau de pana la 4% din cifra de afaceri) pentru incalcari ale confidentialitatii informatiilor despre angajati sau clienti.
Ce trebuie sa faceti dvs., contabilul, pentru a nu incalca prevederile acestui Regulament si pentru a nu pune firma în pericol? Care ar fi pasii de urmat pentru o firma mica de contabilitate, in cazul in care (chiar daca nu este nevoie) doreste sa se conformeze regulilor GDPR?
- Oct 2239 locuri
disponibileSeminarul National de Salarizare si Contributii, editia 47
2024, Hotel Crowne Plaza****, BucurestiVezi detaliiInscriere - Oct 2299 locuri
disponibileVideo Seminarul National de Salarizare si Contributii
2024, Platforma www.webinar.rs.roVezi detaliiInscriere
GDPR pentru firma de contabilitate: raspunsul specialistului
Incepem prin a arata ca o societate de contabilitate:
1. are atat calitatea de Operator (art.4 pct 7 GDPR) in relatia privind angajatii proprii si managementul afacerii (site, contabilitate, sisteme de monitorizare, programe soft, baze de date proprii, marketing, publicitate, etc). In acest sens, societatea dvs. trebuie sa indeplineasca toate prevederile Articolului 26 si urm. GDPR;
2. cat si calitatea de Persoana Imputernicita (art.4 pct 8 GDPR) privind serviciile prestate clientilor, care implica prelucrarea datelor cu caracter personal furnizate de catre clienti conform dispozitiilor Articolului 28 GDPR. In calitate de Persoana imputernicita prelucrarea datelor primite de la clienti aveti dreptul sa o faceti doar strict in limitele si conform instructiunilor primite de la clienti, in baza:
a. Contractelor de prestari servicii contabile semnate cu acestea;
b. si a Acordurilor GDPR care se pot semna si sub forma de acte aditionale la contractele existente, cunoscute in limbajul de specialitate ca DPA (Data Protection Addendum).
In consecinta, conformarea unei societati de contabilitate trebuie realizata atat din calitatea de Operator cat si din cea de Persoana Imputernicita.
Cartea verde a contabilitatii varianta tiparita
Impozitarea veniturilor din chirii 2024
Manual de politici contabile - Stick USB
IMPORTANT (!)
Asigurati-va ca ati semnat cu toti clientii dvs. Acorduri GDPR/DPA (acte aditionale) prin care ati stabilit in clar:
a. instructiunile primite de la clienti. Daca s-ar dovedi ca ati actionat in lipsa intructiunilor sau peste limitele acetor instructiuni, se va angaja raspunderea dvs;
b. categoriile de date cu caracter personal pe care aveti dreptul sa le primiti de la client si pe care aveti obligatia sa le procesati. Acestea trebuie stabilite expres. Daca primiti alte date decat cele agreate, trebuie imediat sa trimiteti expeditorului un disclaimer si sa stergeti emailul/comunicarea (Exemplu: daca conform acordului GDPR clientul va permis sa prelucrati doar date precum nume, CNP, serie CI, nume copii, data nastere copii. Si va trimite un cazier judicar aceasta contine date speciale foarte sensibila conform art. 10 GDPR si dvs. trebuie sa ii raspundeti ca in baza actului aditional cu acesta nu aveti voie sa primiti aceste date si ca veti sterge imediat email-ul/comunicarea. In caz contrar, va poate fi angajata raspunderea pentru prelucrarea neautorizata a datelor. Pastrarea unui e-mail cu astfel de date este considerata prelucrare);
c.raspunderea dvs. si limitele raspunderii dvs.;
d.agreati tarifele/onorariile pentru asistenta cu Cererile de acces la informatii, SAR Subject Acces Request (art.15 si urm GDPR) sau altfel de asistenta privind Datele. Le puteti intocmi dumneavoastra, la cererea clientului. Conform GDPR Clientul (operatorul) este obligat sa raspunda in 30 de zile de la primire la orice solicitari formulate de persoanele vizate, inclusiv cele pe care le primiti dvs. cu privire la Datele Clientului, fara a avea dreptul sa solicite plata vreunui onorariu pentru raspunsul formulat. ATENTIE (!) In schimb, dumneavoastra, in calitate de Contabil al Clientului, nu aveti obligatia sa asistati Clientul (ca sa formuleze raspunsul) gratis, ci aveti dreptul pentru munca in plus, respectiv serviciul suplimentar prestat catre Client, la un comision aferent acestui serviciu. Acest comision trebuie negociat si stabilit, acum, cu ocazia semnarii contractului, printr-o anexa. Recomandarea noastra este sa insistati asupra caracterului remunerabil al acestor servicii, intrucat GDPR prevede ca raspunsurile se vor furniza gratuit de catre Client catre Persoana vizata (salariatii lui, ceilalti solicitanti), nu si ca Persoana imputernicita (dvs., ca si Contabil) fata de Client. Acelasi lucru se intampla cu si celelalte servicii precum Adeverintele de salariu, de exemplu: Clientul este obligat sa le emita gratuit salariatului care le cere. Dar, daca Clientul va cere dvs. sa le intocmiti, serviciul este remunerabil si dvs. ii puteti cere un comision Clientului, fiind prestata o activitate de catre dvs. pentru Client. Negociati!
e. Subcontractantii pe care aveti voie sa ii folositi;
f. Transferurile si in special transferurile in afara EEA.
Pentru a indentifica in concret ce masuri se impun a fi implementate in societatea dumneavoastra, primul pas este:
• identificarea activitatilor care implica prelucrarea datelor cu caracter personal,
• identificarea a personalului implicat in prelucrarea datelor;
• Identificarea riscurilor (pentru persoanele vizate, cele carora le apartin datele);
• fluxul acestor date in societate. Foarte important este sa stabiliti si identificati fluxul datelor care vin de la clienti/catre clienti.
Potrivit dispozitiilor GDPR comunicarea de la clienti si trimiterea catre clienti a datelor cu caracter personal prin e-mail, folosind adrese nesecurizate este considerata o practica cu risc ridicat. Se recomanda dezvoltarea unui portal cu baza de date pe serverele societatii dvs., in care clientii sa incarce si de pe care sa descarce acte. Datele continand date cu caracter personal trimise prin e-mail (ex: state de plata, fluturasi, etc.) se recomanda criptarea.
Pasii pe care trebuie sa ii ia societatea dvs. sunt:
a) Sa desemneze echipa responsabila cu definirea strategiei de implimentare a GDPR la nivelul companiei. Un rol esential in implementare si organizarea sistemului de protectie la nivelul companiei il are departamentul IT.
b) Compania trebuie sa stabileasca un sistem foarte clar si strict de reguli de urmat si sa asigure formulare scrise pentru situatiile unde este necesara obtinerea consimtamantului scris, care va trebui sa fie utilizat de catre angajatii dumneavoastra de fiecare data cand se colecteaza date astfel decat in baza legii, a unui interes legitim sau in baza contractului (departamentul HR, secretariat, toti cei care in orice mod colecteaza date cu caracter personal, etc.). Fiecare angajat trebuie sa se responsabilizeze cu toata seriozitatea cu privire la GDPR. Angajatii trebuie sa fie informati corect de catre compania angajatoare sa nu solicite de la clienti si sa nu primeasca sau sa foloseasca decat date cu caracter personal strict necesare pentru realizarea scopului de activitate, colectandu-le si utilizandu-le sau procesandu-le in mod licit. Acolo unde relatia nu este una contractuala (si nici nu aveti baza legala sa prelucrati datele) angajati trebuie sa fie instruiti sa nu solicite si sa nu prelucreze astfel de date decat pe baza unui Acord prealabil explicit, dat expres de catre persoana vizata si semnata de catre aceasta. Acordul se va colecta de catre angajat doar dupa ce in prealalbil s-a asigurat ca persoana vizata a fost informata in mod corespunzator asupra scopului colectarii datelor sale si asupra modului in care acestea vor fi folosite.
c) Pregatirea angajatilor: Toti trebuie sa fie implicati in respectarea GDPR Toti trebuie sa responsabilizati cu privire la GDPR. Tuturor angajatilor, atat celor existenti cat celor noi sositi in companiei trebuie sa li se asigure de catre companie pregatirea profesionala cu privire la GDPR Compania este obligata sa asigure in mod activ si efectiv tot suportul si ghidarea in vederea asigurarii corectei aplicari a GDPR. Trainingul trebuie reluat periodic (6 luni/12 luni). Asigurati-va ca toti angajatii dvs. inteleg procedurile de prelucrare a datelor clientilor din perspectiva masurile speciale GDPR.
d) Societatea trebuie sa se asigure ca a amendat si completat in mod corespunzator. Fisele postului la toti angajatii implicati in procesul de colectare, procesare, stocare sau utilizare in orice mod a datelor cu caracter personal. De asemenea, societatea va instrui expres toti angajatii cu privire la implicatiile GDPR. Compania trebuie sa asigure Pregatirea tuturor angajatilor sai si sa se asigure ca toti angajatii au inteles modul de aplicare al GDPR si regulele interne. Toti angajatii implicati trebuie sa semneze cate o declaratie prin care sa arate ca ei au participat la Cursul de pregatire, ca au inteles intocmai intreaga procedura si se angajeaza sa aplice toate masurile si sa respecte toate regulele GDPR precum si procedura interna a companiei privind msurile de protectie a datele cu caracter personal. De asemenea, fiecare salariat implicat trebuie sa isi asume prin declaratie ca se angajeaza in mod personal sa nu divulge si sa nu utilizeze in niciun fel si in nicio circumstanta datele cu caracter personal de care a luat cunostinta.
Numai strict in scopul exercitarii atributiilor de serviciu si doar in scop licit, cu respectarea stricta a limitelor indicate persoanei vizate asupra carora aceasta si-a dat acordul;
e) Intocmirea Procedurilor interne GDPR
f) Sa analizati daca se impune desemnarea Responsibilul pentru Protectia Datelor (Data Protection Officer - DPO). Din punctual nostru de vedere societatile prestatoare a serviciilor de contabilitate sunt invitate sa desemneze un DPO, date fiind datele cu caracter special pe care le prelucreaza (Articolul 9, articolul 10 GDPR). Operatorul de date trebuie sa isi desemneze un responsabil pentru protectia datelor in cazul in care activitatea principala a operatorului de date consta in operatiuni de prelucrare care necesita o monitorizare regulata si sistematica a persoanelor vizate pe scara larga sau in cazul in care activitatea principala a operatorului de date (sau a imputernicitului acestuia) consta in prelucrarea pe scara larga de categorii speciale de date cu caracter personal si de date privind condamnarile penale si infractiunile. Este recomandata numirea unui responsabil pentru protectia datelor la nivelul operatorului de date si in afara cazurilor de mai sus, intrucat in acest fel poate fi asigurata respectarea prevederilor Regulamentului. Iar activitatea d eprestare a serviciilro contabile, este una regulata si sistematica, risurile sunt mari, datele pot fi sensibile - va invitam sa desemnati DPO (Responsbail cu Protectia Datelor).
g) SISTEME DE SECURITATE. Societatea trebuie sa se asigure de implimentarea unor sisteme de securitate adecvate, in special programe de prelucrare, stocare, portal de date pentru clienti, in care acestea sa se autentifice cu parole si ID, de asemenea contabiii angajati cu acces la portal in vederea prelucrarii trebuie sa aiba acces limitat si sa se identifice cu ID si parole, limitarea drepturilor de stocare, exportare a datelor. Masuri de protectie si securitate acces fizic: alarme, seifuri, programe de securitate IT, sisteme de protectie tehnica, etc. Pe piata sunt lansate astfel de sisteme de securitate de catre furnizori de servicii de securitate IT.
h) Desemnati o persoana responabila cu solutionarea Cererilor de acces. Pregatiti-va sa actionati in cazul unei cereri de acces la date persoanele au dreptul sa solicite si sa primeasca accesul la toate datele lor personale si sa fie informate cu privire la ce date in concret detii cu privire la ele, cum le folosesti si daca le transferi sau nu si altor terti. Ei au dreptul sa le fie furnizate aceste informatii pe un suport material dur . Aceasta masura este cunoscuta sub denumirea de dreptul la cererea de acces .
i) Intocmiti si pastratii Registrul de evidenta a activitatilor de prelucrare a datelor Articolului 30 (5) GDPR. Trebuie sa retineti ca avand in vedere caracterul datelor si riscurile pe care le implica aveti, apeciem ca obligatia sa pastrati Registrul activitatilor de prelucrare a datelor (art 30.5 GDPR);
j) INCALCAREA SECURITATII DATELOR/DATA BREACHES. Obligatia de a notifica autoritatea de supraveghere in termen maxim de 72 ore dupa ce a luat la cunostinta de existenta situatiei de incalcare a datelor (se iau in calcul zilele libere, vacantele, sarbatorile legale, inclusiv sambata si duminica), de asemenea trebuie notificata si persoana vizata.
k) Monitorizarea activitatii salariatilor necesita o atentie speciala si deosebita din partea dumneavoastra.
Fiind service auto este posibil sa folositi sisteme de monitorizate video sau/si GPS auto (tracking auto). Atentie au fost introduse noi obligatii GDPR prin dispozitiile art.5 dinLegea 190/2018.
Lista scurta a celor 10 actiuni de luat in calcul in implementarea GDPR
1.Desemnati persoana si echipa responsabila cu urmarirea aplicarii GDPR;
2.Identifica toate sistemele in care se colecteaza sau/si stocheaza;
3.Stabiliti daca sunteti colector sau/si processor de date. Identificati care sunt procesorii dvs. de date. Retinesi ca Operatorul trebuie sa se asigure ca la momentul colectarii prezinta Polita de Confidentialitate si obtine de la persoana vizata Acordul Scris.
4.Pastrati evidenta si stocati corect toate operatiunile de colectare a datelor in fiecare sistem de colectare. Intelegeti corect mecanismul fiecarui sistem de colectare a datelor si faceti proceduri angajatilor, pregatitii prin organizarea trainingului obligator la nivelul unitatii si verificati-le cunostintele;
5.Implimentati mecanismul si procedurile care sa asigure stergerea datelor/stabilete termene precise de stergere periodica si revizuire a datelor ;
6.Asigurati-va ca aveti capacitatea tehnica si operationala de a asigura portarea datelor ;
7.Consimtamantul scris. Acolo unde este necesar cosimtamantul scris. Verificati-va daca: Puteti prezenta dovezi ca ati cerut persoanelor vizate acordul corespunzator la colectarea datelor? Poti dovedi ca in cadrul campaniilor de marketing fiecare participant a optat si si-a dat acordul expres cu privire la participarea sa si la folosirea datelor sale? Puteti realmente asigura in mod eficent si imediat stergerea si portarea datelor daca azi o persoana va cere acest lucru? Cum dovediti?
8.Implementati politici si termene clare de actualizare si revizuire a tuturor sistemelor de securitate (IT, programe de securizarea ti firewall, seifuri, parole acces limitat al persoanelor autorizate, etc.), Identificati si determinati unde aveti scapari sau punctele dvs slabe. Luati masuri.
9.Actualizati si revizuiti Planul de Actiune in caz de incalcare a datelor. Trebuie sa va asigurati ca aveti parghii serioase si suficiente sa depistati si sa notificati o incalcare/scurgere/acces neautorizata in maxim 72h. Creati sisteme si proceduri clare si asigurati-va ca cei implicati le cunosc si le aplica. Simulati si verificati angajatii si persoanele imputernicite;
10.Revizuiti si actualizati contractele cu furnizorii actuali de servicii (persoane imputernicite, operatori asociati), asigurati-va ca ei au implementat proceduri adecvate si au luat masurile necesare conform GDPR.
Acestea sunt informatiile de baza. Masurile concrete care sunt necesare la nivelul unei societati de contabilitate se pot identifia doar dupa efectuarea evaluarii efective. Evaluarea cu obiectivele indicate la inceputul raspunsului o puteti face intern prin responsabili desemnati cu pregatire in domeniu, fie serviciul de evaluare poate fi contractat unor specialisti GDPR externi.
Raspuns oferit pe portalprotectiadatelor.ro de specialistul Oxana Chironda.