Възпитаник на Юридическия факултет на Университета П. Й. Шафарик в Кошице, който работи в областта на правосъдието и се фокусира основно върху търговското и трудовото право.
Понастоящем много предприемачи се занимават с изплащане на заплати и счетоводство чрез специализирани външни компании. Как европейският регламент за защита на GDPR на практика засяга външните счетоводители и връзката им с клиентите?
Регламент ЕС относно защитата на физическите лица по отношение на обработката на лични данни и относно свободното движение на такива данни, известна с абревиатурата GDPR, регламентира задълженията на операторите, посредниците и правата на засегнатите лица. Нови правила за поверителност в сила от края на май 2018 г. се прилага за всеки, който работи с лични данни в своя бизнес. Това означава, че се прилага за всеки предприемач, който обработва лични данни, независимо от тяхното количество. По закон предприемачите са задължени да защитават личните данни засегнати лица (напр. служители).
Ролята на счетоводителя, респ. счетоводната къща трябва да води счетоводството на това предприятие. То може да бъде вътрешно или външно счетоводство. И в двата случая обаче се обработват личните данни на физически лица, които се намират например в счетоводни документи, договори, фактури или формуляри.
Предприемач (работодател), който иска счетоводството да бъде обработено външно, трябва да спазва GDPR. Въпреки че не се нуждае от съгласието на своя персонал, той трябва да избере външен счетоводител, който може да му даде достатъчно уверение, че ще предприеме подходящи технически и организационни мерки, за да гарантира, че обработването на лични данни е в съответствие с GDPR и гарантира, че правата на субектите на данни са защитени. Регламент GDPR в така докосва не само самият работодател, но aj неговото външен счетоводител (т.е. физическо или юридическо лице, което извършва счетоводство съгласно Закона за счетоводството).
Според GDPR каква е позицията на външен счетоводител?
При защита на личните данни е необходимо да се прави разлика между две субекти - оператора и посредника.
Оператори е физическо или юридическо лице, което обработва лични данни от свое име (например работодателят сам обработва личните данни на своите служители с цел изпълнение на задължения, свързани с трудовото правоотношение).
Обратно, посредник е физическо или юридическо лице, което обработва лични данни от името на оператора (напр. счетоводител или счетоводна кантора води счетоводство и ведомост за друга фирма).
Според GDPR външният счетоводител има статут на посредник.
Просто казано, ако счетоводител или счетоводната къща извършва външно счетоводство или ведомост за заплати за друг предприемач (например за строителна компания), която обработва личните данни на служителите на този предприемач, има по отношение на GDPR статуса на посредник. Следователно такъв външен счетоводител като посредник обработва личните данни на субектите на данни не за себе си, а за друго лице, т.е. j. за оператора, обикновено както за неговия клиент. Няма обаче нищо, което да попречи на такава счетоводна къща да бъде оператор едновременно (напр. При обработка на счетоводството и заплатите на собствените си служители - т.нар. Вътрешно счетоводство).
Въз основа на което външният счетоводител може да обработва личните данни на засегнатите лица ?
По принцип администраторът може да повери обработката на лични данни на посредник. Делегирането се извършва с отделен договор.
В конкретен смисъл това означава, че обработката на сметки от външен счетоводител на длъжност посредник трябва да се извършва в съответствие с европейски регламент. базиран на специален договори сключен между оператора и посредника (т.нар. брокерски договор). Съгласие на засегнатите лица за обработката на личните им данни от външен счетоводител не се изисква.
Външният счетоводител трябва да сключи отделен договор с оператора.
След сключване на договора за посредничество, външният счетоводител може да започне да обработва личните данни на служителите на оператора, но само до степента и при условията, договорени в договора и само по указания на оператора.
Целта на обработването на лични данни никога не се определя от самия външен счетоводител, тя се определя от администратора. Целта е счетоводство и по този начин обработка на счетоводни документи или управление на заплати.
Пример: Компанията STAV s.r.o. нае външна счетоводна кантора ÚČTO s.r.o. с цел обработка на счетоводството и ведомостта на работниците и служителите. За да може ÚČTO s.r.o. биха могли да обработват лични данни на служители на STAV s.r.o. в съответствие с GDPR, е необходимо да се сключи посреднически договор между STAV s.r.o. като оператор и ÚČTO s.r.o. като посредник. Впоследствие, най-рано в деня на сключване на договора, ÚČTO s.r.o. въз основа на Закона за счетоводството и сключен брокерски договор, обработвайте лични данни на служители на STAV s.r.o., без тяхното съгласие.
Основни задължения на външния счетоводител съгласно GDPR
GDPR съдържа няколко отговорности на външен счетоводител като посредник. Най-важните включват:
- Задължение за защита на обработваните лични данни
Както администраторът, така и външният счетоводител на длъжност посредник имат задължение съгласно GDPR да защитават личните данни, които обработват. Следователно той винаги трябва да отчита рисковете, свързани с обработката на лични данни (например случайно или незаконно унищожаване, загуба, изменение, лични данни или неоторизиран достъп до тях).
- Задължение за водене на записи за дейностите по обработка (Член 30, точка 2 от ОРЗД)
Ако външният счетоводител води сметки за работодател, който наема повече от 250 служители, той трябва да води записи на дейностите по обработка (на всички категории дейности по обработка), извършени от името на този работодател. Ако той отчита няколко такива предприемачи, той трябва да води записи за всеки от тях поотделно. Въпреки че това задължение не се отнася за по-малък брой служители, външният счетоводител въпреки това може да води записи на доброволни начала. Той е практичен от гледна точка на ориентация при обработката на лични данни и в същото време „покрива гърба си“, когато доказва изпълнението на задълженията си. Записите на дейностите по обработка трябва да се водят в писмена форма, включително в електронна форма. В случай на проверка от Службата за защита на личните данни на Словашката република, външният счетоводител ще бъде задължен да предостави тези записи.
- Задължение за уведомяване на администратора за нарушение на личните данни (Член 33, точка 2 от ОРЗД)
Европейският регламент въведе ново задължение за посредниците - да докладват инциденти за сигурността на оператора. По този начин външният счетоводител трябва да уведоми администратора за всяко нарушение на личните данни, което обработва, веднага щом узнае за нарушението. Известието трябва по-специално да посочва какво нарушение е настъпило, за чии лични данни се отнася нарушението и т.н.
- Задължение за сътрудничество с Службата за защита на личните данни на Словашката република (Член 31 от ОРЗД)
При поискване външният счетоводител си сътрудничи с надзорния орган при изпълнението на неговите задачи. Надзорният орган е Службата за защита на личните данни на Словашката република.
- Задължение за изтриване или връщане на лични данни на оператора
В случай на прекратяване на предоставянето на външни счетоводни услуги, външният счетоводител е длъжен да изтрие/унищожи всички лични данни. (включително копия), обработени или върнати на оператора. Конкретните условия за прекратяване на сътрудничеството трябва да бъдат уговорени предварително в споразумението за медиация.
- Задължение за поверителност (Раздел 79 от новия Закон за защита на личните данни)
Не на последно място, външният счетоводител трябва да поддържа поверителността на личните данни, които обработва. Това задължение продължава дори след края на сътрудничеството с оператора.
Санкции за нарушаване на задълженията на външния счетоводител
Новият закон за защита на личните данни предвижда значителни глоби за нарушения на задължения. Това се отнася и за нарушения на задължения от външен счетоводител на длъжност посредник.
Например, ако външен счетоводител нарушава задължението за водене на записи за дейностите по обработка, задължението за уведомяване на оператора за инцидент в сигурността или задължението за поверителност, Службата може да наложи глоба до до 10 000 000 EUR, или, в случай на предприятие, до 2% от общия световен годишен оборот за предходната финансова година, което от двете е по-голямо.