Principalele actiuni pe care contabilii/firmele de contabilitate trebuie sa le intreprinda in scopul de a se pregati pentru aplicarea GDPR

a) Clarificarea raporturilor dintre operatorii de date cu caracter personal si persoanele imputernicite

GDPR defineste doua roluri clare privind utilizarea datelor personale: persoanele imputernicite si operatorii de date. In consecinta, trebuie sa luati in considerare ceea ce inseamna acest lucru pentru rolul dumneavoastra, in calitate de contabil, in cadrul firmei de contabilitate, cine se califica ca o persoana imputernicita si cine se califica drept un operator de date.

Aceasta distinctie este importanta, in esenta, in considerarea urmatoarelor aspecte:

Un operator de date este organizatia care stabileste scopul si mijloacele de colectare a datelor cu caracter personal. In functie de domeniul dumneavoastra de competenta, puteti fi persoana imputernicita care prelucreaza date personale in numele unei alte organizatii, daca actionati exclusiv in baza instructiunilor operatorului. In acest caz, actionati in calitate de persoana imputernicita (spre exemplu, un furnizor de servicii de contabilitate). Cu toate acestea, daca actionati, in acelasi timp, in interes propriu, de exemplu, pentru respectarea unei obligatii legale (de a raporta anumite nelegalitati/nereguli constatate) sau pentru prelucrarea datelor propriilor salariati, firma de contabilitate este totodata operator de date cu caracter personal.

Asadar, desi prestati un serviciu in favoarea clientului dumneavoastra, totusi, aceasta nu inseamna in mod necesar ca aveti calitatea de persoana imputernicita in sensul Regulamentului.

Pentru a fi in conformitate cu GDPR, fiecare dintre aceste roluri de contabilitate necesita o delimitare clara in ceea ce priveste gestionarea, depozitarea si utilizarea datelor cu caracter personal.

Cu exceptia situatiei in care prelucrati date ale salariatilor/clientilor dumneavoastra, in cele mai multe cazuri, aveti calitatea de persoana imputernicita de operator, intrucat nu dumneavoastra sunteti cel care stabileste care sunt datele cu caracter personal de care aveti nevoie in vederea desfasurarii activitatii ( Ce? ) si cum vor fi utilizate aceste date ( Cum? ), toate aceste informatii fiindu-va furnizate in baza instructiunilor operatorului.







Efectuarea prelucrarilor prin persoane imputernicite trebuie sa se desfasoare in baza unui contract incheiat in forma scrisa, care va cuprinde in mod obligatoriu obligatia persoanei imputernicite de a actiona doar in baza instructiunilor primite de la operator si faptul ca indeplinirea obligatiilor privind aplicarea de masuri de securitate revine si persoanei imputernicite.

b) Efectuarea unui audit intern in privinta datelor cu caracter personal la nivel de companie

Este necesar sa revizuiti maniera in care colectati, prelucrati si gazduiti/stocati datele personale, in ambele formate: electronic si tiparit. Un mare pas initial este necesitatea efectuarii unui audit de data protection la nivel de firma. Auditul trebuie sa identifice si sa evalueze metodele pe care le folositi pentru a colecta si a prelucra datele personale, atat ale angajatilor, cat si ale clientilor.

In urma auditului, ar trebui sa luati in considerare modul in care datele inutile si invechite vor fi eliminate din baze de date, fisiere si orice arhive si cum trebuie asigurate securitatea si integritatea informatiilor stocate. Din acest moment, ar trebui sa stabiliti un sistem de colectare si raportare a responsabilitatii inregistrarilor, in scopul de a dovedi - in mod eficient si in timp util - ca firma respecta cerintele GDPR. Fireste, majoritatea datelor cu caracter personal trebuie stocate pentru ca reglementarile legale speciale impun, insa este necesara urmarirea cu atentie a resturilor de date cu caracter personal care raman: de exemplu, pe desktopul laptopului sau in alte locuri.

c) Tertele parti furnizoare de produse software sau alte solutii

Dupa ce se obtin asigurarile ca toate colectarile datelor interne si metodelor de prelucrare sunt sub control, ar trebui de asemenea urmarit ca orice software furnizat de o terta parte sa fie revizuit. Inainte de a presupune ca sistemele exterioare satisfac cerintele GDPR, ca recomandare, ar fi bine sa se solicite furnizorilor informatii despre felul in care sistemele lor software satisfac cerintele Regulamentului.

Aceste informatii ar trebui sa includa, de exemplu, locul in care datele sunt stocate, in special in cazul in care furnizorul ofera un serviciu Cloud, specificatiile tehnice ale platformelor software ale tertelor parti, securitatea infrastructurii, procedurile de backup si recuperare. Exista posibilitatea ca unii dintre furnizori sa nu fie pregatiti pentru GDPR, situatie in care ar trebui sa construiti in timp, in cazul in care este nevoie sa investeasca in acest sens, sisteme mai compatibile cu GDPR, sau sa optati pentru furnizori care au reusit sa se adapteze la cerintele Regulamentului.

Contabilii si imputernicitii acestora (daca este cazul) trebuie sa clarifice cu furnizorii de software-uri modul in care acest sistem va fi conform cu principiile si cerintele GDPR. Un chestionar/lista de verificare cuprinzatoare va ajuta la maparea dataflows-urilor si la identificarea oricaror vulnerabilitati.

Acest lucru ar trebui sa acopere orice aspect legat de modul in care software-ul interactioneaza cu datele personale, inclusiv, dar nu limitat la:
- specificatiile tehnice ale platformei;
- separarea datelor;
- utilizarea informatiilor anonimizate, pseudonimizate sau criptate;
- securitate, inclusiv considerente pentru dispozitivele mobile;
- inactivitatea datelor;
- externalizarea/subcontractarea;
- proceduri de recuperare.

d) Comunicarea planurilor GDPR cu clientii (Operatori)

Ar trebui de asemenea sa existe initiativa de a veni in sprijinul clientilor sa se pregateasca pentru GDPR, in special pentru a va asigura ca acestia sunt pregatiti pentru conformitatea cu cerintele GDPR la timp.

Una dintre cele mai eficiente modalitati de a face acest lucru este de a lucra conform unui plan de pregatire a conformitatii impreuna. In acest fel, procesul poate fi realizat in pasi usor de gestionat.

Trebuie sa va concentrati pe intrebari-cheie pentru a descoperi cat de mult un client (Operator) intelege GDPR si cat de mult este gata sa imbratiseze schimbarile:
- Cat de complet este inventarul lor de date cu caracter personal?
- Cum procedeaza ei cu privire la colectarea si stocarea datelor cu caracter personal?

Un plan clar conturat si o strategie comuna cu Operatorul poate ajuta firma de contabilitate in privinta necesitatii schimbarilor pe care trebuie sa le faca legate de investitii si clienti.

e) Instruirea personalului despre legislatia si importanta datelor cu caracter personal

Mentinerea conformitatii cu GDPR este o sarcina care trebuie indeplinita pe toata durata de existenta a unei firme, si fiecare angajat ar trebui sa fie bine instruit cu privire la importanta datelor cu caracter personal si reglementarile care sunt puse in aplicare pentru a proteja aceste informatii. Ar trebui sa stabiliti un program de formare GDPR pentru angajati pentru a-i invata despre protectia datelor si valoarea informatiilor personale.

Aceasta formare trebuie sa atinga domenii-cheie, cum ar fi utilizarea si gestionarea datelor cu caracter personal, intelegerea drepturilor persoanelor vizate cand vine vorba despre datele lor, raportarea incalcarilor si implementarea procedurilor de gestionare a incidentelor si cum tertele parti utilizeaza solutii la randul lor, astfel incat sa fie conforme.