Câteva cuvinte despre înfiorătoarele reglementări GDPR
Constat că în ultimul timp s-a declanșat o adevărată isterie în privința protecției datelor personale și o mulțime de “specialiști” înceară să ne sfătuiască în această privință.
Se sugerează tot felul de tabele care ar trebui întocmite, primim oferte de la tot felul de binevoitori care încearcă să ne ajute după ce vom încheia un contract cu ei, suntem amenințați cu amenzi de zeci de milioane de lei dacă nu urmăm cine știe ce cursuri, care costă și ele o mulțime de bani, ni se propun tot felul de declarații și deczii, care de fapt nu sunt cerute de nimeni și se invocă o legislație națională care încă nu există.
Sunt și cărți pe care le-am putea cumpăra și au apărut chiar și softuri pentru așa ceva care, mărturisesc că nu știu ce ar putea să facă.
De fapt, cel mai simplu pentru contabilii care sunt interesați de acest subiect ar fi să citească Regulamentul sau cel puțin să citească cele câteva rânduri de mai jos extrase din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE și să se orienteze pentru fiecare situație particulară în parte:
Articolul 6
Legalitatea prelucrării
(1)Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un copil.
Să traducem:
– Dacă persoana fizică (numai de ăștia e vorba) e de acord înmod explicit să vă dea datele să faceți ceva cu ele, de exemplu să le puneți pe internet, sunteți în legalitate
– Dacă persoana fizică încheie un contract, sau cumpără ceva și pentru finalizarea contractului sau a cumpărăturii este necesar să înscriem undeva datele acelei persoane, nume, prenume, CIF, buletin sau adresă) ESTE ok să le scriem și nu am încălcat nici o lege. De exemplu, e foarte legal să ni se ceară Numele și prenumele și seria și numărul CI de către curierul care ne aduce un colet, pentru a-l înscrie în documentul de primire al coletului, pentru că altfel omul ăla nu va putea dovedi că ne-a dat coletul.
– Dacă trebuie să-i facem salariile, e OK, pentru că e o obligație legală să înscriem datele angajatului.
– Dacă îi înscriem datele într-o fișă medicală, în cazierul judiciar, într-o listă cu rezerviști etc, e OK.
In schimb, nu avem voie să înscriem, de exemplu, datele operatorului (nume, prenume, CNP și/sau CI) pe o factură care circulă la terți, pentru că legea nu impune acest lucru.
Dacă totuși vrem să facem asta va trebui să-i cerem respectivei persoane consimtământul scris.
Ideal ar fi ca, de fiecare dată când avem tendința să înscriem datele unei persoane într-un document, să ne uităm peste punctele (a)-(f) de mai sus și dacă nu e neapărat necesar, să nu le înscriem niciunde.
Sub nici o formă nu înscrieți undeva date referitoare la boli (sunteți contabili, nu medici), la rasă, etnie sau religie.
Un alt lucru important pe care nu vi l-a prea pomenit nimeni:
Datele alea puteți să le culegeți pentru a le înscrie pe o factură, sau în REVISAL sau în alte raportări impuse de o reglementare legislativă.
Dar gândiți-vă de două ori ce faceți cu ele după aceea.
Pentru că, dacă cei de la REVISAL sau de la alte instituții ale statului sunt operatori de date personale și răspund de datele primite, iar dumneavoastră le dați nu că vreți ci pentru că vă obligă o lege, nu la fel se întâmplă cu datele pe care le dați unui program de contabilitate online, de exemplu, adică cuiva despre care nu prea știți nimic. Probabil cei care dețin aplicațiile online respective folosesc baze de date securizate, dar nici eu nici dumneavoastră nu putem fi siguri de acest lucru.
Legea nu vă obligă să le dați acolo și nici persoana respectivă nu v-a dat acordul să-i împrăștiați datele pe internet. Iar dacă îmi găsesc datele pe internet, pe dumneavoastră contabilul vă dau cu capul de pereți, nu pe cel cu softul, pentru că eu contabilului i-am dat aceste informații pentru a le prelucra și am nici o relație cu firma care se ocupă de programul de contabilitate.
Deci, ideal ar fi să nu înscrieți astfel de date pe aplicațiile online. Dacă tot folosiți astfel de aplicații nu le folosiți înainte de a avea un contract cu proprietarul respectivului serviciu, prin care acesta se obligă să facă ceea ce este necesar pentru ca datele cu caracter personal să nu fie divulgate altcuiva decât dumneavoastră.
Si, acolo unde se poate, anonimizați datele
De exemplu în loc de Popescu Vasile, domiciliat în Timișoara str. Popești leordeni nr. 5 scrieți la client ceva de genul Abonat nr. 55432, urmând ca într-o evidență care nu este disponibilă altora să menționați cine este abonatul 55432.
Chiar dacă nu e o obligație impusă de cineva nu ar fi rău să vă protejați calculatorul cu o parolă, sau și mai bine, pentru datele personale ale persoanelor fizice, să folosiți partiții sau cointainere criptate, astfel încât nimeni în afară de cei autorizați să nu aibe acces la acestea.
Si mai e un articol important între zecile de pagini ale regulamentului:
Articolul 30
(5) Obligațiile menționate la alineatele 1 și 2 nu se aplică unei întreprinderi sau organizații cu mai puțin de 250 de angajați, cu excepția cazului în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate, prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date, astfel cum se prevede la articolul 9 alineatul (1), sau date cu caracter personal referitoare la condamnări penale și infracțiuni, astfel cum se menționează la articolul 10.
In traducere. dacă aveți sub 250 de angajați (nu operațiuni cum spunea nu știu ce individ pe la CECCAR) stați liniștiți și nu faceți nimic decât ceea ce vă dictează bunul simț, nu aveți treabă cu numirea a tot felul de responsabili, ofițeri, întocmirea a tot felul de tabele și alte rahaturi.
Iar dacă cineva vă cere bani pentru ceva legat de acest subiect dați-l afară pe ușă.
Iar aici găsiți un mic ghid cu privire la acest subiect.
Dar nu am terminat
Există și o lege națională, care preia prevederile Legislației europene și el adaptează puțin.
Să vedem ce scrie și acolo și să încercăm să traducem ce este important:
Art. 3- Prelucrarea datelor genetice, a datelor biometrice sau a datelor privind
sănătatea
(1) Prelucrarea datelor genetice, biometrice sau a datelor privind sănătatea, în scopul realizării unui proecs decizional automatizat sau pentru crearea de profiluri este interzisă, cu excepţia prelucrărilor efectuate de către sau sub controlul autorităţilor publice, în limitele puterilor ce le sunt conferite prin lege şi în condiţiile stabilite de legile speciale care reglementează aceste materii, care să prevadă şi garanţii adecvate pentru persoana vizată. Interdicţia nu poate fi ridicată prin consimţământul persoanei vizate.
(2) Prelucrarea datelor privind sănătatea realizată în scopul asigurării sănătăţii publice, astfel cum este definită în Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă nu se poate efectua ulterior, în alte scopuri, de către terţe entităţi.
Deci, datele date medicului rămân la medic, nu cumva să ajungă la alții care le pun pe internet sau cine știe unde să vadă toată lumea ce are omul ăla .
Articolul 4 este mai interesant
Art. 4 – Prelucrarea unui număr de identificare naţional
(1) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, se poate efectua în situaţiile prevăzute de art 6 alin. (1) din Regulamentul general privind protecţia datelor.
Să traducem:
Prelucrarea se poate face dacă:
(a) persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;
(d) prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
(e) prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;
In consecință, prelucrarea datelor pentru scopurile curente ale unei firme, fie CI, CNP, număr și serie pașaport etc în condițiile prevăzute la art. 6 alin. 1 literele a-e din Regulament, de exemplu pentru prelucrarea salariilor, întocmirea facturilor, contabilitate etc, este permisă fără să mai cerem voie de la nimeni, fără înștiințări, fără tot felul de consultanți și ofițeri care doresc să ne ia banii.
(2) Prelucrarea unui număr de identificare naţional, inclusiv prin colectarea sau dezvăluirea documentelor ce îl conţin, în scopul prevăzut de art 6 alin. (1) iit. F) din Regulamentul general privind protecţia datelor, respectiv al realizării intereselor legitime urmărite de operator, sau de o pane terţă, se efectuează cu instituirea, de către operator a următoarelor garanţii:
a) punerea în aplicare de măsuri tehnice şi organizatorice adecvate pentru respectarea, în special, a principiului reducerii la minim & datelor, precum şi pentru asigurarea securităţii şi confidenţialităţii prelucrărilor de date cu caracter personal, conform dispoziţiilor art.
32 din Regulamentul general privind protecţia datelor;
b) numirea unui responsabil pentru protecţia datelor, în conformitate cu art. 8 din prezenta lege;
c) aderarea la un cod de conduită aprobat, în condiţiile art. 40 din Regulamentul general privind protecţia datelor şi asumarea respectării dispoziţiilor acestuia;
(1) stabilirea de termene de stocare în funcţie de natura datelor şi scopul prelucrării, precum şi de termene specifice în care datele cu caracter personal trebuie şterse sau revizuite în vederea ştergerii;
e) instruirea periodică cu privire la obligaţiile ce le revin, a persoanelor care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, prelucrează date cu caracter personal.
Adică,
dacă nu ne încadrăm la literele a-e a articolului 6, deci prelucrarea nu este necesară nici pentru efectuarea unei tranzacții comerciale, nici pentru îndeplinirea unei obligații legale, nici pentru interesele vitale ale persoanei respective, nici pentru un interes public și nici consimțământul persoanei nu îl avem, atunci trebuie să punem în aplicare anumite măsuri tehnice, trebuie să numim un responsabil pentru prelucrarea datelor, trebuie să aderăm la un cod de conduită etc.
Acesta ar fi, de exemplu, cazul firmelor care vă colectează datele de genul numele prenumele data nașterii și numărul de telefon, pentru a le vinde mai departe celor care începând cu ziua în care ați trecut de 55 de ani vă telefonează pentru a vă trata cu energie quantică și a vă vinde oale din oțel medicinal pentru că sunt mai sănătoase, sau pentru a le vinde deputatului din cartier care după aceea vă va trimite câte o felicitare în fiecare an de ziua dumneavoastră, sau pentru a le vinde celor care vă telefonează pentru a vă oferi acțiuni la Boening sau Bitcoin la preț de talcioc.
Mai departe,
Art. 5 – Prelucrarea datelor cu caracter personal în contextul relaţiilor de muncă
În cazul în care sunt utilizate sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau prin mijloace de supraveghere Video la locul de muncă, prelucrarea datelor cu caracter personal ale angajaţilor, în scopul realizării intereselor legitime urmărite de angajator, este permisă numai dacă:
a) interesele legitime urmărite de angajator vizează activităţi de importanţă deosebită, temeinic justificate şi prevalează asupra intereselor sau drepturilor şi libertăţilor persoanelor vizate;
b) angajatorul a realizat informarea prealabilă obligatorie, completă şi în mod explicit a angajaţilor;
c) angajatorul a consultat sindicatul sau, după caz, reprezentanţii angajaţilor înainte de introducerea sistemelor de monitorizare;
d) alte forme şi modalităţi mai puţin intruzive pentru atingerea scopului urmărit de angajator nu şi-au dovedit anterior eficienţa şi
e) durata de stocare a datelor cu caracter personal este proporţională cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia situaţiilor expres reglementate de lege sau a cazurilor temeinic justificate.
Să traducem
Dacă aveți camere video care supraveghează muncitorii, sau aveți sisteme GPS prin intermediul cărora puteți să vedeți ce face șoferul ăla cu mașina firmei, dacă supravegheați mailurile, WhatsApp, Messengerul sau Facebook-ul angajaților sau chiar dacă urmăriți prin intermediul Google Maps pe unde vă umblă angajații, trebuie să faceți acest lucru numai în situațiile bine justificate, angajații trebuie să știe că sunteți cu ochii pe ei ca pe butelie, trebuie să știe și sindicatul ce faceți și să fie și el de acord și să nu păstrați înregistrările video sau pozele pe care le-a pus angajata dumneavoastră pe Instagram mai mult de 30 de zile.
Cam asta era important de știut