Raspunderea contabililor in contextul noii legislatii privind protectia datelor cu caracter personal

Administrarea din punct de vedere contabil a unor entitati cu patrimonii uriase sau doar a unor organizatii neguvernamentale poate atrage in egala masura raspunderea contraventionala, civila sau penala daca au fost incalcate dispozitiile legale. Cu toate acestea alaturi de obligatiile legale contabilul beneficiaza si de protectia instituita de alte reglementari pe care trebuie sa le invoce in cazul in care este necesar.

In acest context intrarea in vigoare la 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (GDPR) a generat un nou val de atributii din domenii colaterale celor direct profesionale, insa nu mai putin importante inclusiv din perspectiva raspunderii contraventionale semnificative.

Un exemplu similar cu mult mai vechi este reprezentat de legislatia complexa din sfera prevenirii si sanctionarii spalarii banilor unde exista obligatii de analiza si de raportare a operatiunilor suspecte.

Sanctiunile fara precedent cuprinse in Regulament dar si noutatea stilului de redactare a reglementarii diferit fata de cadrul normativ obisnuit din legislatia interna au sporit preocuparea pentru informare si conformare. Necesitatea clarificarii terminologiei utilizate si a obligatiilor punctuale ce revin fiecarei persoane implicate au stimulat aparitia de produse si servicii dedicate acestui domeniu.

Mai mult, o serie de reglementari din sfera fiscal-contabila a trebuit sa fie regandite din perspectiva efectelor produse de Regulament fiind cunoscuta situatia modului de completare a facturii ori a declaratiei informative 394 cu date personale cum este codul numeric personal.

Desigur ca reglementarile din domeniul protectiei datelor cu caracter personal trebuie privite de catre contabili dintr-o dubla ipostaza. Mai intai, aceea de operator pentru proprii salariati sau pentru clientii persoane fizice si in succesiune si in calitatea de persoana imputernicita de operator, definita de art. 4 pct. 8 din Regulament, exercitata in conditiile art. 28, in situatia in care prelucreaza date pentru operator in cazul clientilor persoane juridice.

Avand in vedere faptul ca potrivit Regulamentului, prelucrarea datelor de catre o persoana imputernicita de un operator este reglementata printr-un contract sau alt act juridic care are caracter obligatoriu pentru persoana imputernicita de operator in raport cu operatorul, primul pas dupa data de 25 mai 2018 ar fi trebui sa fie modificarea contractului astfel incat sa fie stabilite:

• obiectul si durata prelucrarii;
• natura si scopul prelucrarii,
• tipul de date cu caracter personal;
• categoriile de persoane vizate si obligatiile si drepturile operatorului.

Sintetic, contractul trebuie sa prevada in special ca persoana imputernicita de operator:

Teste rezolvate la limba si literatura romana clasa a VIII-a

Vezi AICI detalii

Examenul de ACCES la STAGIUL CECCAR 2024

Vezi AICI detalii

Manual de politici contabile - Stick USB

Vezi AICI detalii

a) prelucreaza datele cu caracter personal numai pe baza unor instructiuni documentate din partea operatorului;

b) se asigura ca persoanele autorizate sa prelucreze datele cu caracter personal s-au angajat sa respecte confidentialitatea sau au o obligatie statutara adecvata de confidentialitate;

c) adopta toate masurile necesare pentru asigurarea securitatii prelucrarii datelor in conformitate cu articolul 32;

d) respecta conditiile mentionate la alineatele (2) si (4) ale art. 28 privind conditiile recrutatii unei alte persoane imputernicite de operator;

e) tinand seama de natura prelucrarii, ofera asistenta operatorului prin masuri tehnice si organizatorice adecvate, in masura in care acest lucru este posibil, pentru indeplinirea obligatiei operatorului de a raspunde cererilor privind exercitarea de catre persoana vizata a drepturilor prevazute in capitolul III din Regulament privind drepturile persoanei vizate cum sunt cele privind informarea si accesul la datele personale, dreptul la rectificarea si la stergerea datelor, dreptul la restrictionarea prelucrarii ori cel privind portabilitatea datelor;

f) ajuta operatorul sa asigure respectarea obligatiilor prevazute la articolele 32-36, tinand seama de caracterul prelucrarii si informatiile aflate la dispozitia persoanei imputernicite de operator;

g) la alegerea operatorului, sterge sau returneaza operatorului toate datele cu caracter personal dupa incetarea furnizarii serviciilor legate de prelucrare si elimina copiile existente, cu exceptia cazului in care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal;

h) pune la dispozitia operatorului toate informatiile necesare pentru a demonstra respectarea obligatiilor prevazute la prezentul articol, permite desfasurarea auditurilor, inclusiv a inspectiilor, efectuate de operator sau alt auditor mandatat si contribuie la acestea. Informeaza imediat operatorul in cazul in care, in opinia sa, o instructiune incalca Regulament sau alte dispozitii din dreptul intern sau din dreptul Uniunii referitoare la protectia datelor.

Iata, asadar, un volum impresionant de obligatii care decurg din calitatea de furnizor de servicii de contabilitate pentru o societate care are calitatea de operator, adica o persoana fizica sau juridica, autoritate publica, agentie sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal.

Toate aceste clauze trebuie analizate cu atentie incercand limitarea raspunderii furnizorului de servicii contabile in intocmirea documentatiei si sporind obligatiile beneficiarului de a pregati cat mai laborios modul in care vor fi facute aplicabile obligatiile prevazute de Regulament.

Solutia optima este aceea de a insista asupra obligatiei pe care beneficiarul de servicii de contabilitate o are in asigurarea aplicarii adecvate a reglementarii indicandu-i sa utilizeze personal specializat in domeniul GDPR.

Avand in vedere cele de mai sus, pentru a asigura punerea in aplicare a Regulamentului 679/2016, in sinteza, urmeaza a avea in vedere incheierea contractului privind exercitarea calitatii de persoana imputernicita de operator, adoptarea unor proceduri privind accesul la datele cu caracter personal colectate si implementarea unor solutii tehnice, in cazul in care acestea nu exista privind siguranta datelor si modalitatea de exercitarea de catre persoanele vizate a drepturilor conferite de Regulament.

In acelasi timp este necesara urmarirea adoptarii unor coduri de conduita, in temeiul art. 40 din Regulament, de catre organismele profesionale care reglementeaza exercitarea profesiei liberale pentru a se putea asigura o aplicare unitara a actului normativ in sfera operatiunilor efectuate de catre membrii acestora.

Sub aspectul raspunderii, art. 16 alin. (2) din OG nr. 65/1994 privind organizarea activitatii de expertiza contabila si a contabililor autorizaticonexeaza limitele raspunderii civile a expertilor contabili cu uzantele interne si internationale ale profesiei contabile.

Plecand de la cadrul legal existent CECCAR a emis indrumari privind limitarea raspunderii civile a expertilor contabili si contabililor autorizati. Potrivit acestora raspunderea civila a membrilor corpului pentru prejudiciile provocate in executarea contractului de prestari-servicii financiar-contabile sau in legatura cu acesta este limitata la contravaloarea a 4 onorarii pentru serviciile efectuate unei societati ce nu este cuprinsa in categoria entitatilor de interes public.

Este necesar insa de subliniat ca in sfera GDPR art. 82 din Regulament stabileste fara echivoc faptul ca orice persoana care a suferit un prejudiciu material sau moral ca urmare a unei incalcari a prezentului regulament are dreptul sa obtina despagubiri de la operator sau de la persoana imputernicita de operator pentru prejudiciul suferit.

Desigur ca in cazul persoanei imputernicite de operator raspunderea vizeaza doar obligatiile legale specifice calitatii sale sau cazurile in care a actionat in afara sau in contradictie cu instructiunile legale ale operatorului.

Trebuie avut totodata in vedere ca, raportat la sanctiunile din sfera legislatiei fiscale care nu contin circumstante de diminuare a raspunderii decat in cazuri limitate, art. 83 din Regulament instituie un set complex de circumstante care trebuie sa determine cuantumul sanctiunii pana la cunoscutul nivel de 20.000.000 EUR sau, in cazul unei intreprinderi, de pana la 4 % din cifra de afaceri mondiala totala anuala corespunzatoare exercitiului financiar anterior, luandu-se in calcul cea mai mare valoare.

Complexitatea problematicii analizate mai sus numai din perspectiva raporturilor cu clientii persoane juridice ilustreaza faptul ca legislatia din sfera protectiei datelor cu caracter personal impune o analiza detaliata si actiuni minutioase de punere in acord a prevederilor Regulamentului cu procedurile consemnate in documente.

Aceasta cu atat mai mult cu cat in conformitate cu prevederile art. 5 alin. (2) din Regulament operatorul este responsabil cu respectarea principiilor legate de prelucrarea datelor cu caracter personal dar este si cel chemat sa o si demonstreze. Contati, asadar, pe un ajutor specializat.

Autor

Justinian Cucu

Director general Global Tax Management