Aplicarea GDPR în domeniul
contabilității . Considerații introductive
Conf.univ. dr. Păun Ciprian Adrian
www.pcalaw.ro
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Nici o ”poveste” fără
Contract
Consimțământ expres în contract și definirea exactă
a termenilor și limitelor colaborării
Sistem de gesiune electronic și fizic ale datelor
performante menite a face față provocărilor GDPR
Proceduri și fluxuri GDPR în birou
Procedurizarea colaborării cu
furnizorii de servicii
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Prelucrez date cu caracter
personal ?
De ce prelucrez
date?
În baza a ce prelucrez
date? Cum stochez
datele?
Unde stochez datele?
Cât timp le Stochez?
Când le șterg?
Avocat Dr. Ciprian Păun, www.pcalaw.ro
1. Ce este GDPR- ul?
2. Care sunt datele cu caracter personal?
3. Când se prelucrează date?
Ce sunt datele cu caracter
personal?
Datele cu caracter personal sunt orice informații care se referă la o persoană fizică identificată sau identificabilă. Informațiile diferite care, adunate, pot duce la identificarea unei anumite persoane constituie și ele date cu caracter personal.
1
GDPR protejează datele cu caracter personal indiferent de tehnologia utilizată pentru prelucrarea datelor respective – este „neutră din punct de vedere tehnologic” și se aplică atât prelucrării automate, cât și prelucrării manuale, cu condiția ca datele să fie organizate potrivit unor criterii predefinite ( de exemplu, în ordine alfabetică). De asemenea, nu contează cum sunt stocate datele – într-un sistem de TIC, prin supraveghere video sau pe hârtie; în toate aceste cazuri, datele cu caracter personal sunt supuse cerințelor de protecție formulate în RGPD.
2
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Exemple de date cu caracter personal
un nume și prenume; o adresă de domiciliu; o adresă de e-mail, cum ar
un număr de act de identitate; date privind locația (de exemplu,
funcția de date privind locația disponibilă pe un telefon mobil)*;
o adresă de protocol de internet (IP);
un identificator de modul cookie*; identificatorul de publicitate al
telefonului dvs.;
date deținute de către un spital sau un medic, care ar putea fi un simbol
ce identifică în mod unic o persoană.
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Ce este regulamentul
GDPR?
Normele nu se aplică datelor prelucrate de către o persoană fizică din motive pur personale și nici activităților desfășurate în locuință, cu condiția să nu existe nicio legătură cu o activitate profesională sau comercială. Atunci însă când o persoană fizică utilizează datele cu caracter personal în afara „sferei personale”, cum ar fi pentru activități socioculturale sau financiare,
persoana în cauză trebuie să respecte legea privind protecția datelor.
Regulamentul nu se aplică prelucrării datelor cu caracter personal ale persoanelor decedate sau ale persoanelor juridice.
Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului1, noul Regulament general privind protecția datelor al Uniunii Europene („RGPD”) reglementează prelucrarea de
către o persoană fizică, o societate sau o organizație a unor date cu caracter personal referitoare la persoane fizice în UE.
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Când prelucrez date ?
• „Prelucrarea” acoperă o varietate amplă de operații efectuate asupra datelor cu caracter personal, inclusiv prin mijloace manuale sau automate. Aceasta include colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminareasau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea datelor cu caracter personal.
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Exemple • managementul personalului și administrarea statelor de plată;
• accesarea/consultarea unei baze de date cu persoane de contact care conține date cu caracter personal;
• trimiterea de e-mailuri promoționale*;
• distrugerea de documente care conțin date cu caracter personal;
• postarea/plasarea fotografiei unei persoane pe un site web;
• stocarea adreselor IP sau a adreselor MAC;
• înregistrarea video (CCTV).
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Modificări principale
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Înlocuirea Directivei cu un Regulament;
Obligațiile de numire a unui Responsabil cu
Protecția Datelor și a unui Reprezentant privind
Protecția Datelor;
Stabilirea unui nou regim sancționatoriu.
Modificarea regimului consimțământului;
Obligația de informare privind încălcările;
Principiul legalității prevăzut în art. 6 din GDPR arată că prelucrarea datelor cu caracter personal se poate realiza:
în baza consimțământului persoanei vizate
ca urmare a necesității încheierii unui contract la care partea vizată de
prelucrare este parte sau pentru a face demersuri la cererea persoanei
vizate înainte de încheierea unui contract
în vederea îndeplinirii unei obligații legale care îi revine operatorului;
pentru a proteja interesele vitale ale persoanei vizate sau ale altei
persoane fizice
în măsura în care este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează
interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil
pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități
publice cu care este învestit operatorul
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Consimțământul - o nouă viziune
• Trebuie luat printr-o declarație sau printr-o acțiune fără echivoc – Nu se mai
acceptă consimțământul tacit.
• Dacă manifestarea dată de persoana vizată a fost luată în condițiile vechii
legislații, consimțământul trebuie actualizat.
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Activități conform contract
- a)organizează, conduce, ține, verifică şi supraveghează contabilitatea, întocmeşte şi semnează situațiile financiare şi execută lucrări cu caracter fiscal, respectiv calculul de impozite, taxe şi contribuții, întocmirea şi depunerea de declarații fiscale şi asigurarea reprezentării clientului în relația cu autoritățile fiscale, ca parte a unui contract de prestări de servicii în domeniul contabilității.
- b) acordă asistență de specialitate privind organizarea şi ținerea contabilității;
c) efectuează analize şi evaluări economico-financiare în scop financiar-contabil, altele decât cele definite prin Ordonanța Guvernului nr. 24/2011 privind unele măsuri în domeniul evaluării bunurilor, aprobată cu modificări prin Legea nr. 99/2013, cu modificările şi completările ulterioare, şi care nu se concretizează într-un raport de evaluare întocmit potrivit standardelor de evaluare adoptate de Asociația Națională a Evaluatorilor Autorizați din România (ANEVAR). Astfel de evaluări se pot referi la estimări ale fluxurilor de trezorerie şi ale stării financiare a entității, evaluarea veniturilor şi a cheltuielilor, estimarea nivelului provizioanelor şi a ajustărilor de valoare, precum şi alte evaluări executate de experții contabili în activitatea lor curentă, fără a se limita la acestea;
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Activități conform contract
- d) efectuează expertize financiar-contabile, inclusiv expertize financiar-contabile cu componentă fiscală, dispuse de organele judiciare sau solicitate de persoanele fizice ori juridice în condițiile prevăzute de lege şi de reglementările CECCAR;
e) execută alte lucrări cu caracter financiar-contabil, inclusiv activități de evidență electronică a personalului, de salarizare, de organizare administrativă şi informatică, certificare de informații, date şi documente;
- f) îndeplineşte, potrivit dispozițiilor legale, atribuțiile prevăzute în mandatul de cenzor şi de mandatar financiar;
g) acordă asistența de specialitate necesară pentru înființarea şi reorganizarea societăților;
h) asigură managementul financiar-contabil şi al performanței economice;
- i) asigură controlul intern de gestiune şi managementul riscurilor persoanelor juridice;
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Activități conform contract
- j) acordă consultanță în gestiune financiară şi în contabilitate, prestează servicii specifice contabilității manageriale şi raportării integrate;
k) efectuează pentru persoanele fizice şi juridice servicii profesionale care presupun cunoştințe privind activitățile prevăzute la prezentul articol.
ART. 7*) Persoanele fizice şi juridice care au calitatea de expert contabil pot efectua şi alte activități în afara celor prevăzute la art. 6, care sunt specifice activităților de audit financiar, consultanță fiscală şi evaluare, numai după dobândirea, în condițiile legii, a calității de auditor financiar, consultant fiscal sau evaluator autorizat, după caz, şi înscrierea ca membri în organizațiile care coordonează profesiile liberale respective.
Avocat Dr. Ciprian Păun, www.pcalaw.ro
PROCESEZ DATE
ca urmare a necesității încheierii unui contract la care partea vizată de prelucrare este parte sau pentru a face demersuri la cererea persoanei
vizate înainte de încheierea unui contract
Pe bază de consimțământ
INTERES LEGITIM ȘI PUBLIC
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Prelucrarea datelor cu
caracter personal ale clientului
ulterioară încheierii
contractului de contabilitate și
prelucrarea datelor cu
caracter personal ale terților
aceste activități se circumscriu unor situații de exceptare de la obținerea consimțământului
nu este necesară obținerea lui printr-o căsuță inserată în modelul contractului de asistență juridică sau prin
luarea acestuia pe un formular separat
În cursul activităților avocatul prelucrează date cu caracter personal și ale terților, cum ar fi cele ale partenerilor sau cele ale unei alte părți dintr-un
contract, căreia nu îi acordă consultanță
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Persoanele împuternicite ale operatorului – contabil
Secretară, IT-iști sau experți în diverse domenii, juridic , arhivare dosare
în contractele de muncă sau de colaborare ar trebui inserate obligații care derivă din prelucrarea datelor cu caracter personal - sub sancţiune
în relația cu societățile terțe menționate mai sus trebuie verificate procedurile interne ale acestora și locul stocării datelor (UE / non-UE)
contractele încheiate cu terţii trebuie să prevadă declarații și obligații specifice ale acestora
Conlucrare cu un alt contabil
Poate fi considerat o persoană împuternicită a operatorului
necesitatea luării consimțământului clientului pentru prelucrarea de date cu caracter personal în aceeași modalitate ca și pt contabilul cu care s-a încheiat contractul principal
Declaraţii şi obligaţii de confidenţialitate în contractele de conlucrare
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Necesitatea desemnării unui DPO (Data Protection Officer)
Nu este obligatoriu , dar se recomandă la societățile mari de contabilitate
Nu este necesară desemnarea unui DPO în cadrul formei de exercitare a
profesiei, luându-se în considerare mențiunile din par. 91 al părții
introductive a GDPR
în conformitate cu art. 35 alin. (10) din GDPR, pentru prelucrările care se
circumscriu unei obligații legale sau care se circumscriu unei sarcini care servește unui interes public, se consideră că setul de operațiuni specifice au făcut obiectul
unei evaluări a impactului asupra protecției datelor astfel încât nu mai
subzistă această obligație
Avocat Dr. Ciprian Păun, www.pcalaw.ro
TO DO
GDPR îi obligă pe contabili să notifice autoritatea de supraveghere în cazul în
care are loc o încălcare a securității datelor cu caracter personal, în cel mult 72 de ore
de la data la care a luat cunoștință de aceasta.
Procedură internă de raportare și investigare a breșei de securitate
Studiu de impact - în cazul prelucrărilor de date care presupun un risc ridicat pentru viața privata a persoanelor, operatorul
trebuie sa efectueze un Studiu de Impact asupra vieții private. Rezultatul unui astfel de studiu îi va permite sa identifice riscuri
specifice şi sa adopte măsuri care sa împiedice apariția / producerea acestor
situații
Procedurarea arhivării dosarelor și distrugerea datelor
Modificarea contractelor cu angajații și cu furnizorii
Sistem Soft performant de gestiune a datelor
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Ce trebuie să facă Contabilii?
Schimbarea mentalităților – data protection by design.
Realizarea unui audit intern
3. Revizuire a Procedurii de stocare a documentelor clienților şi a datelor cu caracter
personal pe servere
4. Codificare proceduri interne
Cum își pot verifica clienții propriile date?
• Modalitățile de soluționare a cererilor privind informarea, rectificarea, ștergerea etc.
• Regulile și logistica eliberării datelor pentru portabilitate;
• Planul de răspuns în caz de încălcare a securității.
5. Stabilirea necesității angajării unui DPO
Dacă nu, cine din conducere va superviza protecția datelor și care departament se va ocupa de date?
6. Pregătirea unei modalități corecte de luare a consimțământului și de arhivare.
7. Stabilirea de proceduri publice transparente care să vizeze subiecții prelucrării.
Client
CONTRACT
Consimțământ inițial în Contract
Acord de prelucrare a datelor cu caracter
personal
Prelucrarea altor date ale terților se face în baza unui document legal
Procedură internă
Flux clar definit al documentelor in Birou
Stabilirea unor obligații foarte clare pentru
colaboratori
Sistem electronic de gestiune a bazei de date
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Obligație de informare Obligație de a da
acces la datele prelucrate
Obligația de resticționare a
prelucrării la cerere
Obligația de portabilitate a datelor la cerere către un alt
avocat
Obligația de rectificare a datelor
Obligația de ștergere a datelor la cerere după o
perioadă rezonabilă
Avocat Dr. Ciprian Păun, www.pcalaw.ro
Societate Contabilitate sau
PFA
EXPERT CONTABIL
- Redactare sau verificare dacă există Contract și
consimțământ al clientului - Identificarea tipului de date
personale prelucrate - Analiza obligativității unui
studiu de impact - Deschiderea dosar
electronic si dosar fizic - Nominalizarea angajatului
responsabil
Analiză contabilă
Factură
Cine factureză? Ce date primește?
Contract Modificat / Contract semnat
Arhivăm și cât timp
ținem fișierul ?
•CINE FACE SUPRAVEGHEREA RESPECTĂRII DATELOR ?
•Cine analizează procedurile?
•Trebuie să respecte standardele stabilita de GDPR
•Cine are acces la dosare electronice și fizice și de ce? Introducerea responsabilului de caz căruia îi transferăm responsabilitatea
•Atribuții și proceduri clare privind fluxul documentelor
Secretariat CONTABIL
CONTABILI
AUDITAREA INTERENĂ
FURNIZORI