GDPR Arad

GDPR pentru cabinete de contabilitate in Arad

Cabinetele de contabilitate, prin natura activitatii lor, prelucreaza datele persoanelor fizice si sunt operatori de date. 

Se aplica GDPR unui cabinet de contabilitate din Arad?

Activitatea de contabilitate presupune prelucrarea de documente in care se regasesc date cu caracter personal ale persoanelor fizice. Acestea pot fi contracte, facturi, somatii si instiintari de plata, rapoarte la institutiile abilitate, documente de salarizare angajati, documente ale propriilor angajati. In consecinta, contabilii sunt operatori de date care trebuie sa se supuna regulmentului GDPR.

Care este natura relatiei client-contabil din perspectiva GDPR?

In general clientul este o persoana juridica furnizor de date cu caracter personal catre contabil.

Contabilul poate sa fie persoana imputernicita de client in cazul in care proceseaza datele in numele clientului, iar clientul stabileste scopul si mijloacle prelucrarii. In acest caz, clientul care este operatorul principal trebuie sa ii furnizeze contabilului o lista de instructiuni de la care acesta nu trebuie sa se abata in cursul procesarii datelor. Lista de instructiuni trebuie sa contina: tipul de date prelucrate, categoriile de date, categoriile de persoane vizate, modalitatile de prelucrare si de informare, durata de stocare a datelor, planul de masuri de securitate propus, modalitatile de audit si verificare a felului cum se prelucreaza datele.

In general, contabilul este o persoana juridice care efectueaza servicii de contabilitate externalizate si stabileste singur scopurile si mijloacele de prelucrare a datelor. In acest caz, el este operator de date iar relatia cu clientul furnizor de date trebuie sa reflecte obligatiile GDPR ale ambelor parti, scopurile si mijloacele de prelucrare precum si modul in care persoanele vizate isi pot exercita drepturile.

Ce trebuie facut pentru conformarea la regulamentul GDPR?

Pentru conformare la regulamentul GDPR contabilul trebuie sa ia urmatoarele masuri:

- sa faca o analiza interna a activitatii sale si sa identifice datele pe care le prelucreaza (cartografierea datelor);

- sa realizeze o evidenta a prelucrarii de date care cuprinde datele de contact ale operatorului, tipurile de date prelucrate la nivel de fluxuri, temeiurile si scopurile prelucrarii, timpii de stocare, modurile de informare ale persoanelor vizate, modurile de exercitare a drepturilor, planul de masuri privind securizarea datelor, planul de masuri pentru reducerea la minim a datelor prelucrate;

- sa stabileasca un plan de masuri organizatorice/administrative si tehnice privind conformarea practica la GDPR;

- sa faca o analiza de risc legata de prelucrarea datelor cu caracter personal.

Ce avantaje sunt daca contabilul desemneaza un responsabil cu protectia datelor (DPO) sau un consultant GDPR?

Responsabilul cu protectia datelor sau consultantul GDPR este in primul rand un specialist in domeniu atat pe plan juridic cat si pe plan IT care il va consilia pe contabil in implementarea corecta a regulamentului GDPR.

Responsabilul cu protectia datelor (DPO) are ca atributii monitorizarea respectarii regulamentului, cooperararea cu autoritatea de supraveghere precum si instruirea periodica a personalului cu privire la prelucrarea datelor cu caracter personal.

Un DPO ajuta la elaborarea planului de masuri administrative  care includ:

- definirea unei politice publice de prelucrare a datelor la nivelul societatii de contabilitate;

- stabilirea documentelor care definesc relatiile cabinetului de contabilitate cu terti operatori/clienti;

- informarea persoanelor vizate clienti sau angajati legata de prelucrarea de date cu caracter personal;

- identificarea si cartografierea datelor si fluxurilor de date din cadrul companiei;

- intocmirea dosarului de evidenta a prelucrarii de date;

- planul de raspuns la cererea de exercitare a drepturilor persoanelor vizate;

- plan de informare/instruire personal;

- plan de audit si verificari periodice.

De asemenea Responsabilul ajuta la stabilirea masurilor organizatorice care includ:

- securizarea accesului la datele cu caracter personal;

- minimizarea datelor prelucrate;

- stabilirea nivelurilor de acces la datele.

Masurile tehnice pun accentul pe securizarea datelor cu caracter personal:

- securizarea colectarii, prelucrarii si stocarii datelor;

- securizarea metodelor de prelucrare digitale;

- metode de jurnalizare a prelucrarii datelor;

- stabilirea masurilor de backup/recuperare date;

- stabilirea planului de raspuns la incidente de securitate;

Ce se riscuri/amenzi implica neimplementarea GDPR-ului?

Regulamentul GDPR are in vedere sensibilizarea operatorilor de date privind securitatea datelor pe care le prelucreaza, prelucrare care trebuie sa fie legala, echitabila si transparenta fata de persoana vizata. Prelucrarea trebuie sa se limiteze la scopul declarat, datele prelucrate trebuie sa fie reduse la minimum, pastrate si prelucrate intr-un mod care asigura securitatea inclusiv protectia la prelucrarea neautorizata sau ilegala a lor prin masuri tehnice si organizatorice adecvate.

In Romania, organismul care guverneaza respectarea regulamentului GDPR este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP).

In conformitate cu legea 190/2018 au fost stabilite normele de aplicare a regulamentului GDPR la nivelul teritorial al Romaniei.

ANSPDCP poate constata incalcarea prevederilor regulamentului GDPR si poate lua masura unei mustarari, avertisment sau a unei amenzi. In mediul privat amenda poate sa urce pana la 4% din cifra de afaceri pe ultimul an sau 20 000 000 euro.

S.C. Green IT System S.R.L. ofera servicii de implementare GDPR  si de Responsabil cu protectia datelor externalizat pe baza unui contract de prestari servicii consultanta. Ne puteti contacta pe email la office@gdprarad.ro sau direct la telefoanele 0748 309 925 sau 0742 022 586.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP