GDPR și contabilii.

Din 25 mai 2018, orice afacere care nu respectă prevederile stabilite prin Regulamentul general privind protecția datelor (GDPR) va putea fi sancționată cu amenzi, astfel că și rolul profesioniștilor din domeniul financiar-contabil este unul care cântărește în bunul mers al activității unei societăți.

Și cum multe dintre documentele fiscale conțin și date personale, iar unele dintre firmele de contabilitate se ocupă și de Registrul General de Evidență a Salariaților (Revisal), unde au acces la toate datele angajaților, vă spunem care sunt recomandările specialiștilor în această direcție.

Astfel, deducem că profesioniștii din domeniul financiar-contabil au acces și la alte date, pe lângă datele personale cunoscute, inclusiv date despre minori sau persoane în întreținere, considerate "date sensibile" și care beneficiază de protecție suplimentară, conform GDPR.

Astfel, pentru a se conforma, firmele de contabilitate trebuie să urmeze anumiți pași, iar primul dintre aceștia ar fi să stabilească, precis, ce date personale colectează. Potrivit Cristianei Deca, specialist în protecția datelor la Decalex, firmele de contabilitate pot colecta următoarele date personale:

• datele angajaților;
• datele clienților persoane fizice sau persoane fizice autorizate;
• datele persoanelor înscrise la newsletter;
• datele din campaniile de recrutare de personal;
• datele vizitatorilor site-ului;
• datele clienților dintr-un sistem CRM (Customer Relationship Managament, adică un Sistem de gestiune a relației cu clienții).

În ceea ce privește modalitățile de colectare a datelor, acestea sunt, în principiu, trei la număr, după cum urmează:

• direct de la utilizator;
• prin intermediul unor identificatori on-line (cookie, ip);
• de la un terț.

Politica de confidențialitate trebuie să conțină, în primul rând, datele de indentificare ale companiei ce prelucrează datele personale, iar informațiile din politicile de confidențialitate trebuie să fie:

• concise, transparente, inteligibile, ușor accesibile;
• clare și simple, mai ales dacă sunt adresate copiilor;
• puse gratuit la dispoziția persoanelor fizice.

Atunci când se întocmește o politică de confidențialitate, trebuie ținut cont, înainte de toate, de activitatea specifică a companiei și de felul în care sunt folosite datele personale colectate prin intermediul site-urilor. Concret, există o formă-schelet pe care companiile o pot respecta la întocmirea politicilor de confidențialitate, însă aceasta trebuie adaptată de la caz la caz.

Printre altele, GDPR impune companiilor să ia măsuri tehnice obligatorii care să demonstreze că datele personale au fost securizate. Astfel, firmele de contabilitate vor fi obligate să introducă, din punct de vedere legal, proceduri documentateprivind breșele de date și să răspundă la următoarele întrebări, cel puțin:

• Cum trebuie să acționeze personalul în cazul în care este o breșă de date;
• Cine trebuie să notifice Autoritatea de Supraveghere;
• Care sunt primele măsuri ce trebuie luate.

Potrivit Cristianei Deca, specialist în protecția datelor la Decalex, măsurile minime pe care trebuie să le ia companiile pentru a asigura securitatea datelor personale prelucrate sunt:

• folosirea unui antivirus cu licență;
• folosirea unui sistem de operare cu licență;
• activarea unui firewall;
• pseudonimizarea și criptarea datelor;
• acces restricționat sau pe nivele la documentele fizice.

Din continuarea articolului, abonații serviciului premium pot afla ce este o breșă de date și ce consecințe atrage apariția acesteia.

Sursa: Avocatnet.ro