Aplicarea GDPR în domeniul - CECCAR | Cluj · 2018-06-18 · dobândirea, în condițiile legii, a...

Aplicarea GDPR în domeniul

contabilității . Considerații introductive

Conf.univ. dr. Păun Ciprian Adrian

www.pcalaw.ro

Avocat Dr. Ciprian Păun, www.pcalaw.ro

Nici o ”poveste” fără

Contract

Consimțământ expres în contract și definirea exactă

a termenilor și limitelor colaborării

Sistem de gesiune electronic și fizic ale datelor

performante menite a face față provocărilor GDPR

Proceduri și fluxuri GDPR în birou

Procedurizarea colaborării cu

furnizorii de servicii


Prelucrez date cu caracter

personal ?

De ce prelucrez

date?

În baza a ce prelucrez

date? Cum stochez

datele?

Unde stochez datele?

Cât timp le Stochez?

Când le șterg?


1. Ce este GDPR- ul?

2. Care sunt datele cu caracter personal?

3. Când se prelucrează date?

Ce sunt datele cu caracter

personal?

Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.

1

GDPR protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse cerințelor de protecție formulate în RGPD.

2


Exemple de date cu caracter personal

un nume și prenume; o adresă de domiciliu; o adresă de e-mail, cum ar

fi [email protected];

un număr de act de identitate; date privind locația (de exemplu,

funcția de date privind locația disponibilă pe un telefon mobil)*;

o adresă de protocol de internet (IP);

un identificator de modul cookie*; identificatorul de publicitate al

telefonului dvs.;

date deținute de către un spital sau un medic, care ar putea fi un simbol

ce identifică în mod unic o persoană.


mailto:[email protected]

Ce este regulamentul

GDPR?

Normele nu se aplică datelor prelucrate de către o persoană fizică din motive pur personale și nici activităților desfășurate în locuință, cu condiția să nu existe nicio legătură cu o activitate profesională sau comercială. Atunci însă când o persoană fizică utilizează datele cu caracter personal în afara „sferei personale”, cum ar fi pentru activități socioculturale sau financiare,

persoana în cauză trebuie să respecte legea privind protecția datelor.

Regulamentul nu se aplică prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului1, noul Regulament general privind protecția datelor al Uniunii Europene („RGPD”) reglementează prelucrarea de

către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.


Când prelucrez date ?

• „Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminareasau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.


Exemple • managementul personalului și administrarea statelor de plată;

• accesarea/consultarea unei baze de date cu persoane de contact care conține date cu caracter personal;

• trimiterea de e-mailuri promoționale*;

• distrugerea de documente care conțin date cu caracter personal;

• postarea/plasarea fotografiei unei persoane pe un site web;

• stocarea adreselor IP sau a adreselor MAC;

• înregistrarea video (CCTV).


Modificări principale


Înlocuirea Directivei cu un Regulament;

Obligațiile de numire a unui Responsabil cu

Protecția Datelor și a unui Reprezentant privind

Protecția Datelor;

Stabilirea unui nou regim sancționatoriu.

Modificarea regimului consimțământului;

Obligația de informare privind încălcările;

Principiul legalității prevăzut în art. 6 din GDPR arată că prelucrarea datelor cu caracter personal se poate realiza:

în baza consimțământului persoanei vizate

ca urmare a necesității încheierii unui contract la care partea vizată de

prelucrare este parte sau pentru a face demersuri la cererea persoanei

vizate înainte de încheierea unui contract

în vederea îndeplinirii unei obligații legale care îi revine operatorului;

pentru a proteja interesele vitale ale persoanei vizate sau ale altei

persoane fizice

în măsura în care este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează

interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil

pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități

publice cu care este învestit operatorul


Consimțământul - o nouă viziune

• Trebuie luat printr-o declarație sau printr-o acțiune fără echivoc – Nu se mai

acceptă consimțământul tacit.

• Dacă manifestarea dată de persoana vizată a fost luată în condițiile vechii

legislații, consimțământul trebuie actualizat.


Activități conform contract

- a)organizează, conduce, ține, verifică şi supraveghează contabilitatea, întocmeşte şi semnează situațiile financiare şi execută lucrări cu caracter fiscal, respectiv calculul de impozite, taxe şi contribuții, întocmirea şi depunerea de declarații fiscale şi asigurarea reprezentării clientului în relația cu autoritățile fiscale, ca parte a unui contract de prestări de servicii în domeniul contabilității.

- b) acordă asistență de specialitate privind organizarea şi ținerea contabilității;

c) efectuează analize şi evaluări economico-financiare în scop financiar-contabil, altele decât cele definite prin Ordonanța Guvernului nr. 24/2011 privind unele măsuri în domeniul evaluării bunurilor, aprobată cu modificări prin Legea nr. 99/2013, cu modificările şi completările ulterioare, şi care nu se concretizează într-un raport de evaluare întocmit potrivit standardelor de evaluare adoptate de Asociația Națională a Evaluatorilor Autorizați din România (ANEVAR). Astfel de evaluări se pot referi la estimări ale fluxurilor de trezorerie şi ale stării financiare a entității, evaluarea veniturilor şi a cheltuielilor, estimarea nivelului provizioanelor şi a ajustărilor de valoare, precum şi alte evaluări executate de experții contabili în activitatea lor curentă, fără a se limita la acestea;



- d) efectuează expertize financiar-contabile, inclusiv expertize financiar-contabile cu componentă fiscală, dispuse de organele judiciare sau solicitate de persoanele fizice ori juridice în condițiile prevăzute de lege şi de reglementările CECCAR;

e) execută alte lucrări cu caracter financiar-contabil, inclusiv activități de evidență electronică a personalului, de salarizare, de organizare administrativă şi informatică, certificare de informații, date şi documente;

- f) îndeplineşte, potrivit dispozițiilor legale, atribuțiile prevăzute în mandatul de cenzor şi de mandatar financiar;

g) acordă asistența de specialitate necesară pentru înființarea şi reorganizarea societăților;

h) asigură managementul financiar-contabil şi al performanței economice;

- i) asigură controlul intern de gestiune şi managementul riscurilor persoanelor juridice;



- j) acordă consultanță în gestiune financiară şi în contabilitate, prestează servicii specifice contabilității manageriale şi raportării integrate;

k) efectuează pentru persoanele fizice şi juridice servicii profesionale care presupun cunoştințe privind activitățile prevăzute la prezentul articol.

ART. 7*) Persoanele fizice şi juridice care au calitatea de expert contabil pot efectua şi alte activități în afara celor prevăzute la art. 6, care sunt specifice activităților de audit financiar, consultanță fiscală şi evaluare, numai după dobândirea, în condițiile legii, a calității de auditor financiar, consultant fiscal sau evaluator autorizat, după caz, şi înscrierea ca membri în organizațiile care coordonează profesiile liberale respective.


PROCESEZ DATE

ca urmare a necesității încheierii unui contract la care partea vizată de prelucrare este parte sau pentru a face demersuri la cererea persoanei

vizate înainte de încheierea unui contract

Pe bază de consimțământ

INTERES LEGITIM ȘI PUBLIC


Prelucrarea datelor cu

caracter personal ale clientului

ulterioară încheierii

contractului de contabilitate și

prelucrarea datelor cu

caracter personal ale terților

aceste activități se circumscriu unor situații de exceptare de la obținerea consimțământului

nu este necesară obținerea lui printr-o căsuță inserată în modelul contractului de asistență juridică sau prin

luarea acestuia pe un formular separat

În cursul activităților avocatul prelucrează date cu caracter personal și ale terților, cum ar fi cele ale partenerilor sau cele ale unei alte părți dintr-un

contract, căreia nu îi acordă consultanță


Persoanele împuternicite ale operatorului – contabil

Secretară, IT-iști sau experți în diverse domenii, juridic , arhivare dosare

în contractele de muncă sau de colaborare ar trebui inserate obligații care derivă din prelucrarea datelor cu caracter personal - sub sancţiune

în relația cu societățile terțe menționate mai sus trebuie verificate procedurile interne ale acestora și locul stocării datelor (UE / non-UE)

contractele încheiate cu terţii trebuie să prevadă declarații și obligații specifice ale acestora

Conlucrare cu un alt contabil

Poate fi considerat o persoană împuternicită a operatorului

necesitatea luării consimțământului clientului pentru prelucrarea de date cu caracter personal în aceeași modalitate ca și pt contabilul cu care s-a încheiat contractul principal

Declaraţii şi obligaţii de confidenţialitate în contractele de conlucrare


Necesitatea desemnării unui DPO (Data Protection Officer)

Nu este obligatoriu , dar se recomandă la societățile mari de contabilitate

Nu este necesară desemnarea unui DPO în cadrul formei de exercitare a

profesiei, luându-se în considerare mențiunile din par. 91 al părții

introductive a GDPR

în conformitate cu art. 35 alin. (10) din GDPR, pentru prelucrările care se

circumscriu unei obligații legale sau care se circumscriu unei sarcini care servește unui interes public, se consideră că setul de operațiuni specifice au făcut obiectul

unei evaluări a impactului asupra protecției datelor astfel încât nu mai

subzistă această obligație


TO DO

GDPR îi obligă pe contabili să notifice autoritatea de supraveghere în cazul în

care are loc o încălcare a securității datelor cu caracter personal, în cel mult 72 de ore

de la data la care a luat cunoștință de aceasta.

Procedură internă de raportare și investigare a breșei de securitate

Studiu de impact - în cazul prelucrărilor de date care presupun un risc ridicat pentru viața privata a persoanelor, operatorul

trebuie sa efectueze un Studiu de Impact asupra vieții private. Rezultatul unui astfel de studiu îi va permite sa identifice riscuri

specifice şi sa adopte măsuri care sa împiedice apariția / producerea acestor

situații

Procedurarea arhivării dosarelor și distrugerea datelor

Modificarea contractelor cu angajații și cu furnizorii

Sistem Soft performant de gestiune a datelor


Ce trebuie să facă Contabilii?

Schimbarea mentalităților – data protection by design.

Realizarea unui audit intern

3. Revizuire a Procedurii de stocare a documentelor clienților şi a datelor cu caracter

personal pe servere

4. Codificare proceduri interne

Cum își pot verifica clienții propriile date?

• Modalitățile de soluționare a cererilor privind informarea, rectificarea, ștergerea etc.

• Regulile și logistica eliberării datelor pentru portabilitate;

• Planul de răspuns în caz de încălcare a securității.

5. Stabilirea necesității angajării unui DPO

Dacă nu, cine din conducere va superviza protecția datelor și care departament se va ocupa de date?

6. Pregătirea unei modalități corecte de luare a consimțământului și de arhivare.

7. Stabilirea de proceduri publice transparente care să vizeze subiecții prelucrării.

Client

CONTRACT

Consimțământ inițial în Contract

Acord de prelucrare a datelor cu caracter

personal

Prelucrarea altor date ale terților se face în baza unui document legal

Procedură internă

Flux clar definit al documentelor in Birou

Stabilirea unor obligații foarte clare pentru

colaboratori

Sistem electronic de gestiune a bazei de date



Obligație de informare Obligație de a da

acces la datele prelucrate

Obligația de resticționare a

prelucrării la cerere

Obligația de portabilitate a datelor la cerere către un alt

avocat

Obligația de rectificare a datelor

Obligația de ștergere a datelor la cerere după o

perioadă rezonabilă


Societate Contabilitate sau

PFA

EXPERT CONTABIL

- Redactare sau verificare dacă există Contract și

consimțământ al clientului - Identificarea tipului de date

personale prelucrate - Analiza obligativității unui

studiu de impact - Deschiderea dosar

electronic si dosar fizic - Nominalizarea angajatului

responsabil

Analiză contabilă

Factură

Cine factureză? Ce date primește?

Contract Modificat / Contract semnat

Arhivăm și cât timp

ținem fișierul ?

•CINE FACE SUPRAVEGHEREA RESPECTĂRII DATELOR ?

•Cine analizează procedurile?

•Trebuie să respecte standardele stabilita de GDPR

•Cine are acces la dosare electronice și fizice și de ce? Introducerea responsabilului de caz căruia îi transferăm responsabilitatea

•Atribuții și proceduri clare privind fluxul documentelor

Secretariat CONTABIL

CONTABILI

AUDITAREA INTERENĂ

FURNIZORI

Vă mulţumim! [email protected]



Aplicarea GDPR în domeniul - CECCAR | Cluj · 2018-06-18 · dobândirea, în condițiile legii, a...

Documents

Transcript of Aplicarea GDPR în domeniul - CECCAR | Cluj · 2018-06-18 · dobândirea, în condițiile legii, a...