Luam in serios prevederile Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016, privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date si abrogarea Directivei 95/46/CE si de aceea am creat aceasta sectiune care detaliaza acest regulament.
Datele personale includ orice informații referitoare la o persoană fizică identificabilă (persoana vizată). De exemplu, adresa de domiciliu, venitul sau numărul de telefon al unei anumite persoane. Practicienii din domeniul contabilității procesează în mod regulat datele personale ale clienților sau angajaților lor.
Procesarea datelor reprezintă orice operațiune efectuată asupra datelor personale. Aceasta include colectarea, înregistrarea, structurarea, stocarea, adaptarea, consultarea, utilizarea, divulgarea, ștergerea sau distrugerea datelor.
De exemplu, contabilii colectează și stochează informații referitoare la identitatea unui nou client pentru a se conforma dispoziţiilor de verificare prealabilă a clienților din Directiva privind combaterea spălării banilor. Atunci când furnizează servicii de salarizare clienților lor (și lor înșiși), au acces, de asemenea, la date personale relevante ale angajaților. Auditorii procesează datele personale ale angajaților clienților lor. Datele pot fi procesate de operatori de date sau persoane împuternicite de operatori. Operatorii de date determină obiectivele și mijloacele de procesare a datelor personale. Operatorii de date pot apela la împuterniciți care să proceseze datele personale în numele lor. Operatorii de date trebuie să țină cont de responsabilitățile pe care le au atunci când lucrează cu un împuternicit.
Practicienii pot fi atât operatori de date, cât și împuterniciți.
De exemplu, un contabil care stochează în cloud datele personale ale clienților lor este un operator de date. Furnizorul de servicii cloud este, în acest caz, un împuternicit care procesează datele stocate de operatorul de date. Totuși, contabilul își păstrează responsabilitățile atunci când externalizează activitatea de procesare a datelor, inclusiv în ceea ce privește asigurarea unei securități corespunzătoare a datelor personale.
GDPR nu acoperă procesarea datelor personale de către o persoană fizică în decursul unei activități personale sau domestice. De asemenea, acesta nu include informațiile referitoare la corporații sau alte entități juridice, adică informații nepersonale. De exemplu, practicienii nu intră în aria de acoperire a GDPR atunci când procesează informații referitoare la locul de desfășurare a activității clientului lor (informație nepersonală).
Procesarea datelor personale este legitimă atunci când este necesară pentru:
– a îndeplini un contract la care persoana vizată este parte
– a se conforma cu o obligaţie legală
– a proteja interesele vitale ale persoanei vizate
– a realiza o sarcină în interesul public sau în exercitarea competențelor oficiale
– a urmări interesele legitime ale operatorului de date – cu excepția situației în care acestea se opun drepturilor fundamentale ale persoanei vizate
De exemplu, practicienii pot justifica procesarea informațiilor personale ale clienților, în contextul procesului de verificare prealabilă a clienților, ca având scopul de a executa o sarcină în interesul public și de a se conforma obligațiilor lor în baza legislației pentru combaterea spălării banilor.
În afară de opțiunile menționate mai sus, procesarea datelor este, de asemenea, posibilă atunci când persoana vizată își dă acordul. Totuși, condițiile în care este posibil acest lucru sunt reglementate strict, iar operatorul de date trebuie să poată demonstra că persoana vizată și-a dat acordul pentru procesare. Un aspect important, furnizarea unui serviciu nu impune exprimarea acordului în cazul în care procesarea nu este necesară pentru furnizarea acelui serviciu. Mai mult, persoana vizată își poate retrage acordul în orice moment.
De asemenea, GDPR introduce reguli pentru situațiile în care datele personale sunt procesate în scopuri ce depășesc scopul inițial. Acesta impune operatorilor de date să documenteze corespunzător această decizie și să descrie factorii avuți în vedere în luarea acestei decizii.