Situatii cand trebuie facuta informarea - de catre contabil

In cazul in care prelucrarea urmeaza sa fie realizata in numele unui operator, operatorul recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate, astfel incat prelucrarea sa respecte cerintele prevazute in prezentul regulament si sa asigure protectia drepturilor persoanei vizate.

Principalele obligatii ale persoanei imputernicite:

• prelucreaza datele cu caracter personal numai pe baza unor instructiuni documentate din partea operatorului, inclusiv in ceea ce priveste transferurile de date cu caracter personal catre o tara terta sau o organizatie internationala, cu exceptia cazului in care aceasta obligatie ii revine persoanei imputernicite in temeiul dreptului Uniunii sau al dreptului intern care i se aplica; in acest caz, notifica aceasta obligatie juridica operatorului inainte de prelucrare, cu exceptia cazului in care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;
• se asigura persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate;
• adopta toate masurile necesare in conformitate cu articolul 32 din Regulament, astfel incat sa fie asigurata securitatea datelor cu caracter personal;
• respecta conditiile privind recrutarea unei alte persoane imputernicite de operator;
• tinand seama de natura prelucrarii, ofera asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III din Regulament;
• ajuta operatorul sa asigure respectarea obligatiilor prevazute la articolele 32-36 din Regulament, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator;
• la alegerea operatorului, sterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;
• pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor prevazute la prezentul articol, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea.

Potrivit Regulamentului, informarea persoanelor vizate ramane in sarcina operatorului de date cu caracter personal. Cu toate acestea, in calitate de persoana imputernicita aveti, in schimb, obligatia de a-l asista pe operator in furnizarea accesului persoanelor vizate la datele lor, precum si sa permita persoanelor interesate sa-si exercite drepturile lor in conformitate GDPR, precum si in indeplinirea obligatiilor sale potrivit GDPR in legatura cu securitatea de prelucrare, notificarea de incalcari ale datelor cu caracter personal si evaluarile de impact.

Persoana imputernicita reprezinta, asadar, entitatea cu care operatorul are relatii de cooperare si care, prin prisma acestor relatii prelucreaza la randul sau date cu caracter personal, in numele operatorului. Intre operator si persoana imputernicita se incheie un contract care prevede asumarea obligatiilor persoanelor imputernicite privind securitatea, confidentialitatea si protectia datelor cu caracter personal prelucrate. Operatorul incheie acest contract cu persoana imputernicita, dar aceasta, la randul sau trebuie sa respecte toate prevederile Regulamentului, avand uneori obligatii mai complexe decat ale operatorului cu care conlucreaza datorita obiectului sau de activitate, al tipurilor de date prelucrate si al operatorilor cu care desfasoara relatii.

Potrivit art. 28 alin. 3 teza finala din Regulament, in calitate de persoana imputernicita sunteti obligata sa puneti la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor sale, pentru a permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea. In aceasta situatie, trebuie sa informati imediat operatorul in cazul in care, in opinia dumneavoastra, o instructiune incalca Regulamentul sau alte dispozitii din dreptul intern sau din dreptul Uniunii referitoare la protectia datelor.

In vederea indeplinirii propriilor obligatii, trebuie sa aveti, in primul rand, reprezentarea clara a informatiilor pe care operatorul este obligat sa le comunice persoanelor vizate, in conditiile in care dumneavoastra acordati asistenta operatorului (clientului firmei de contabilitate) la indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in Capitolul III din Regulament (dreptul la informare a persoanei vizate, dreptul de acces, dreptul la rectificare si stergere, dreptul la restrictionarea prelucrarii, dreptul la portabilitate, dreptul la opozitie si procesul decizional individual automatizat).

Dreptul de a fi informat al persoanei vizate se refera la obligatia de a furniza informatii corecte de prelucrare , de regula printr-o notificare, in scris. Acesta subliniaza transparenta in ceea ce priveste modul in care sunt utilizate datele cu caracter personal. Prin dreptul de a fi informat, Regulamentul stabileste informatiile care trebuie furnizate si cand trebuie subiectii prelucrarii datelor cu caracter personal sa fie informati. Principalul atribut al datelor ce trebuie furnizate este Transparenta.

Conform articolului 12 din Regulament: Transparenta informatiilor, a comunicarilor si a modalitatilor de exercitare a drepturilor persoanei vizate , informatiile care trebuie furnizate trebuie sa fie:

• concise;
• transparente;
• inteligibile;
• sccesibile;
• scrise intr-un limbaj clar si simplu;
• in special daca se adreseaza unui copil;
• oferite gratuit.

Informatile care trebuie furnizate sunt dependente de modul in care datele cu caracter personal au fost obtinute:

• direct de la persoane fizice care fac obiectul prelucrarii datelor personale;
• indirect, pentru cazurile in care informatiile au fost obtinute din alte surse.

Principalele categorii de informatii care trebuie furnizate in situatia in care acestea au fost obtinute direct de la persoana vizata, conform art. 13 din GDPR sunt:

• identitatea si datele de contact ale operatorului, si dupa caz ale reprezentantului acestuia;
• datele de contact ale responsabilului cu protectia datelor cu caracter personal, dupa caz, ca ofiter de protectie a datelor cu caracter personal;
• scopurile in care se doreste prelucrarea datelor cu caracter personal, precum si temeiul juridic al prelucrarii (baza legala);
• interesele legitime pe care operatorul le urmareste (ca operator sau ca o terta parte) cu exceptiile de la art. 6 alin. 1 lit. f) din Regulament Legalitatea prelucrarii;
• care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
• intentia operatorului de a transfera date cu caracter personal catre o tara terta si care sunt garantiile pe care operatorul le ofera ca transferul este perfect legal si nu lezeaza interesele persoanei vizate.

In plus, conform art. 13 alin. 2 din Regulament, persoanei vizate trebuie sa-i fie furnizate o serie de informatii suplimentare, necesare pentru a asigura transparenta prelucrarii:

• perioada de retinere a datelor sau criteriile folosite pentru a stabili aceasta perioada;
• dreptul la rectificare, stergere, restrictionare, obiectii;
• dreptul la portabilitatea datelor;
• dreptul de a retrage consimtamantul in orice moment, daca este cazul;
• dreptul de a depune o plangere la autoritatea de supraveghere;
• daca solicitarea face parte dintr-o cerinta sau obligatie legala sau contractuala si posibilele consecinte ale nefurnizarii;
• existenta unui proces automat de luare a deciziilor (inclusiv profilarea) si modul in care sunt luate deciziile, semnificatia si consecintele acestora;
• scopul sau scopurile secundare ale prelucrarii, inainte de orice prelucrare.

In situatia in care datele personale nu au fost furnizate in mod direct de catre persoana vizata, conform art. 14 din Regulament, persoana vizata trebuie informata cu privire la intregul set de informatii descrise mai sus, plus urmatoarele informatii obligatorii doar pentru acest caz:

• care sunt categoriile de date personale pe care le aveti la dispozitie;
• care este sursa publica de date cu caracter personal, dupa caz, care provine de la surse accesibile publicului.

Informatiile sunt oferite in mod gratuit.


Conform art. 12 alin. 3 din Regulament:

• Timpul maxim de raspuns este de 30 de zile. Informatii privind actiunile intreprinse, in urma unei solicitari primite din partea persoanei vizate trebuie furnizate fara intarzieri nejustificate si in orice caz in termen de cel mult o luna de la primirea cererii;
• Atunci cand este necesar, din motive legate de complexitatea si volumul cererilor primite simultan, aceasta perioada poate fi prelungita pana la maxim trei luni. Chiar si in aceste conditii de prelungire, persoana vizata trebuie informata cu privire la aceasta prelungire tot in intervalul de o luna de la primirea cererii;
• Pentru cererile receptionate in format electronic, informatiile trebuie furnizate in format electronic acolo unde este posibil, cu exceptia cazului in care persoana vizata solicita informatiile intr-un alt format.