ΕΙΔΗΣΕΙΣ Η ECON ΕΝΗΜΕΡΩΤΙΚΗ. Σας ενημερώνει και σας υπενθυμίζει Η ΓΝΩΣΗ ΕΙΝΑΙ ΕΠΕΝΔΥΣΗ. Πότε και πώς θα πρέπει να εφαρμόσουν οι φοροτεχνικοί τον GDPR

Transcript

1 ΕΙΔΗΣΕΙΣ Η ECON ΕΝΗΜΕΡΩΤΙΚΗ Σας ενημερώνει και σας υπενθυμίζει Η ΓΝΩΣΗ ΕΙΝΑΙ ΕΠΕΝΔΥΣΗ Πότε και πώς θα πρέπει να εφαρμόσουν οι φοροτεχνικοί τον GDPR Τι απαιτεί η εφαρμογή του Ιδιαίτερα έχει απασχολήσει κατά το τελευταίο χρονικό διάστημα, πολλές επιχειρήσεις και κατ επέκταση και τα λογιστικά γραφεία, η εφαρμογή του γενικού κανονισμού για την προστασία των δεδομένων, ο οποίος είναι γνωστός ευρέως ως GDPR. Για το συγκεκριμένο θέμα, τα Φορολογικά Νέα επικοινώνησαν με την Πανελλήνια Ομοσπονδία Φοροτεχνικών Ελευθέρων Επαγγελματιών, ζητώντας περαιτέρω διευκρινήσεις και αναζητώντας απαντήσεις για το πώς μπορεί ο κανονισμός να επηρεάσει τους φοροτεχνικούς κατά την άσκηση του επαγγέλματός τους. Θα πρέπει να σημειώσουμε ότι οι κανόνες του GDPR ισχύουν για όλα τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα φυσικά πρόσωπα. 1 / 10

2 Τι επιδιώκει το πλαίσιο κανόνων GDPR Με βάση τα όσα αναφέρει η ΠΟΦΕΕ, o GDPR έρχεται να ρυθμίσει το ισχύον μέχρι σήμερα καθεστώς για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το οποίο αφορά άτομα στην Ευρωπαϊκή Ένωση. Σημειώνεται ότι η επεξεργασία των στοιχείων πραγματοποιείται είτε από εταιρεία, είτε από κάποιον οργανισμό. Πότε πραγματοποιείται επεξεργασία των δεδομένων Με βάση την ευρωπαϊκή νομοθεσία, η επεξεργασία των δεδομένων αφορά σε μία ευρεία γκάμα ενεργειών, που σχετίζεται με την καταχώρηση, συλλογή, διάρθρωση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση, συσχέτιση ή συνδυασμό, διαγραφή ή καταστροφή καθώς και περιορισμό δεδομένων προσωπικού χαρακτήρα. Παράδειγμα επεξεργασίας προσωπικών δεδομένων -Διαχείριση προσωπικού και μισθοδοσία. Πρόκειται για μία διαδικασία, την οποία οι φοροτεχνικοί πραγματοποιούν καθημερινά. -Αναζήτηση πληροφοριών σε βάση δεδομένων επαφών, που αφορά σε δεδομένα προσωπικού χαρακτήρα -Αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC -Mαγνητοσκόπηση από κλειστό κύκλωμα 2 / 10

3 -Αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων -Καταστροφή εγγράφων με δεδομένα προσωπικού χαρακτήρα Κανόνες προστασίας δεδομένων και δεδομένα εταιρειών Ιδιαίτερη σημασία έχει για όλους τους φοροτεχνικούς, να επισημάνουμε ότι οι κανόνες προστασίας δεδομένων δεν ισχύουν για εταιρείες ή άλλες νομικές οντότητες, αλλά μόνο για φυσικά πρόσωπα. Επιπλέον, οι κανόνες περί προσωπικών δεδομένων ισχύουν για όλα τα δεδομένα, τα οποία αφορούν σε φυσικά πρόσωπα κατά τη διάρκεια άσκησης του επαγγέλματός τους. Τέτοια στοιχεία είναι οι εργαζο μενοι μιας εταιρειάς ή ενο ς οργανισμου, οι διευθυ νσεις ηλεκτρονικου ταχυδρομειόυ επιχει ρησης του τυ που, καθώς και οι επαγγελματικοι αριθμοι τηλεφω νου εργαζομε νων. Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα Ως δεδομένα προσωπικού χαρακτήρα, ερμηνεύονται όλες οι πληροφορίες που σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο άτομο, το οποίο βρίσκεται εν ζωή. Θα πρέπει να επισημάνουμε ότι ο τρόπος αποθήκευσης των δεδομένων, ακόμα και αν διαφέρει, δεν παύει να αποτελεί συλλογή δεδομένων. Επομένως, είτε η αποθήκευση γίνεται σε ηλεκτρονικό υπολογιστή, είτε σε , είτε σε cloud, είτε σε έντυπη μορφή, είτε βιντεοσκοπείται δεν υπάρχει καμία διαφορά. Τα δεδομένα προσωπικού χαρακτήρα: 3 / 10

4 -Όνομα επώνυμο -Διεύθυνση κατοικίας -Διεύθυνση ηλεκτρονικού ταχυδρομείου της μορφής -Αριθμός ταυτότητας, διαβατηρίου ή διπλώματος οδήγησης -Δεδομένα τοποθεσίας όπως η συλλογή δεδομένων από κινητό τηλέφωνο -Διεύθυνση IP -Αναγνωριστικό διαδικτυακής περιήγησης (cookies) -Δεδομένα που φυλλάσσονται από νοσοκομείο ή γιατρό και θα μπορούσαν να αποτελέσουν σύμβολο προσδιορισμού αποκλειστικά ενός ατόμου Ποια δεδομένα δεν θεωρούνται προσωπικού χαρακτήρα -Αριθμός μητρώου εταιρείας -Ηλεκτρονική διεύθυνση εταιρείας της μορφής -Tα ανώνυμα δεδομένα για τη συμμετοχή σε ανώνυμη έρευνα αγοράς 4 / 10

5 Τι πρέπει να κάνουν οι φοροτεχνικοί Όταν ζητούν στοιχεία, να αναφέρουν ποιοι είναι και για ποιο λόγο θα τα επεξεργαστούν, πόσο καιρό θα τα φυλάξουν και ποιος τα λαμβάνει. Οφείλουν να λαμβάνουν τη ρητή συγκατάθεση για την επεξεργασία των δεδομένων των πελατών τους. Σε ό,τι αφορά εταιρείες, οι οποίες χρησιμοποιούν πλατφόρμα για νομικα δεσμευτικε ς συμφωνιές, για παρα δειγμα για δα νεια ή άλλου είδους συμβάσεις, πρε πει: - Να ενημερω νουν τους πελα τες - Να ορι ζουν ε να προ σωπο και ο χι μια μηχανη να ελε γχει τη διαδικασιά αν η αι τηση τελικα απορρι πτεται - Να χορηγούν στον αιτου ντα το δικαιώμα να προσβα λλει την απο φαση. Συν τοις άλλοις θα πρέπει να διαγράφουν τα προσωπικά δεδομένα των πελατών εάν το ζητήσουν, αλλά μόνο εάν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας. Επιπλέον θα πρέπει να παρέχουν στα άτομα, πρόσβαση στα δεδομένα τους και τους επιτρέπουν να μεταφέρουν τα στοιχεία τους σε άλλη εταιρεία. Σημαντικό είναι οι επαγγελματίες να συνάπτουν νομικές συμφωνίες, όταν διαβιβάζουν δεδομένα, σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της Ευρωπαϊκής Ένωσης. Επίσης, οι εταιρείες που διαχειρίζονται ατομικά δεδομένα, θα πρέπει να χρησιμοποιούν πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις. 5 / 10

6 Σε ποιες περιπτώσεις μπορεί μία εταιρεία να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα Σε ό,τι αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, η συγκεκριμένη διαδικασία πραγματοποιείται μόνο υπό συγκεκριμένες προϋποθέσεις. Αναλυτικά η επεξεργασία προσωπικών δεδομένων μπορεί να γίνεται: -Όταν υπάρχει η συγκατάθεση του ατόμου. Εάν για παράδειγμα ένας φοροτεχνικός ζητήσει να επεξεργαστεί τα στοιχεία του πελάτη του, θα πρέπει πριν το κάνει να ζητήσει τη συγκατάθεσή του. -Όταν υφίσταται σύμβαση ανάμεσα στην εταιρεία σας και τον πελάτη. Είναι μία περίπτωση, η οποία αφορά κατά κύριο λόγο τα στοιχεία που προέρχονται από ηλεκτρονικές πληρωμές στο διαδίκτυο. (στοιχεία πιστωτικής κάρτας, ονοματεπώνυμο κλπ) -Όταν η επεξεργασία των στοιχείων γίνεται για το δημόσιο συμφέρον. -Για περιπτώσιες εκπλήρωσης νομικής υποχρέωσης. Η περίπτωση αυτή ισχύει όταν για παράδειγμα μία εταιρεία παρέχει σε έναν φορέα τα στοιχεία τον εργαζομένων του για τις ανάγκες δημόσιας ασφάλισης. -Για την προστασία ζωτικών συμφερόντων του πελάτη ατόμου. Η περίπτωση αυτή ισχύει κυρίως για θέματα υγείας, ούτως ώστε να μη χρειάζεται ειδική άδεια για το νοσοκομείο, ώστε να αναζητήσει τα προσωπικά δεδομένα του ασθενούς. -Όταν υφίσταται έννομο συμφέρον την εταιρείας σας και εφόσον προηγηθεί έλεγχος, από τον οποίο θα προκύψει ότι τα δεδομένα του ατόμου, τα οποία επεξεργάζεστε, δεν 6 / 10

7 επηρεάζουν σοβαρά τις ελευθερίες του. Η περίπτωση αυτή αφορά κυρίως τον έλεγχο του ηλεκτρονικού υπολογιστή του εργαζόμενου για τη διασφάλιση του δικτύου που χρησιμοποιεί η εταιρεία. Σε ποια περίπτωση μπορεί κάποιος να επεξεργαστεί τα δεδομένα εκ μέρους κάποιου εταιρείας Η συγκεκριμένη συνθήκη, που αφορά την επεξεργασία των δεδομένων μίας εταιρείας από κάποιον άλλον, βρίσκει κατά κύριο λόγο εφαρμογή στο λογιστικό επάγγελμα. Κάτι τέτοιο για τους λογιστές επιτρέπεται, υπό την προϋπόθεση ότι: Υπάρχει σύμβαση μεταξύ των δύο μερών ή κάποια άλλη νομική πράξη. Επιπλέον, όμως, ο φοροτεχνικός που επεξεργάζεται τα δεδομένα, θα πρέπει να παρέχει επαρκείς εγγυήσεις ότι κινείται με βάση τις διατάξεις του κανονισμού GDPR. Eπισημαίνεται πως όταν ένας φοροτεχνικός αναλάβει την επεξεργασία των δεδομένων ενός πελάτη του, δεν μπορεί να διορίσει κάποιον άλλο στη θέση του, εφόσον δεν υφίσταται γενική ή ειδική γραπτή άδεια. Τι πρέπει να αναφέρει η σύμβαση επεξεργασίας των δεδομένων από κάποιον φοροτεχνικό Α. Ότι η επεξεργασία πραγματοποιείται μόνο μέσω καταγεγραμμένων εντολών Β. Αυτός που επεξεργάζεται στα δεδομένα, θα πρέπει να εγγυάται ότι αυτός που εξουσιοδοτεί για τη διαδικασία της επεξεργασίας, τηρεί τις αρχές εμπιστευτικότητας των δεδομένων. 7 / 10

8 Γ. Όποιος επεξεργάζεται τα δεδομένα πρέπει να παρέχει ένα ελάχιστο επίπεδο ασφάλειας. Δ. Εκείνος που επεξεργάζεται τα στοιχεία πρέπει να διασφαλίζει τη συμμόρφωση με τον GDPR. Καταγραφή κλήσεων Θα πρέπει να επισημάνουμε, ότι σε περίπτωση καταγραφής κλήσεων από λογιστικά γραφεία, ο πελάτης θα πρέπει απαραίτητα να ενημερώνεται ότι η κλήση του καταγράφεται. Πότε μπορεί να γίνει χρήση δεδομένων για άλλο σκοπό Η χρήση των δεδομένων για άλλο σκοπό από τον αρχικό, μπορεί να γίνει κατ εξαίρεση εφόσον υπάρχει σύμβαση, έννομο συμφέρον και ζωτικά συμφέροντα και υπό την προϋπόθεση ότι ο νέος σκοπός θα είναι συμβατός με τον αρχικό. Χρόνος διατήρησης των δεδομένων Τα δεδομε να πρε πει να αποθηκευόνται για την ελα χιστη δυνατη περιόδο, η οποία θα πρέπει να λαμβα νει υπο ψη τους λο γους για τους οποιόυς η εταιρειά η ο οργανισμο ς χρεια ζεται να επεξεργαστει τα δεδομε να, καθω ς και τυχο ν νομικε ς υποχρεω σεις για τη φυ λαξη των δεδομε νων για συγκεκριμε νη χρονικη περιόδο (π.χ. εθνικο εργατικο δι καιο, φορολογικο δι καιο, νομοθεσιά για την καταπολε μηση της απα της που απαιτει να τηρει τε δεδομε να προσωπικου χαρακτη ρα για τους εργαζομε νους σας για μια συγκεκριμε νη περιόδο, δια ρκεια εγγυήσης προι ο ντος κ.λπ.). Επίσης, η εταιρεία που επεξεργάζεται δεδομένα, θα πρέπει να θεσπίζει συγκεκριμένες 8 / 10

9 χρονικές προθεσμιες, για τη διαγραφη η την επανεξε ταση των δεδομε νων που ε χουν αποθηκευτει. Κατ εξαι ρεση, μπορούν να φυλάσσονται δεδομε να προσωπικου χαρακτη ρα για μεγαλυ τερη περιόδο, όταν εξυπηρετούν σκοπου ς αρχειοθε τησης για το δημο σιο συμφε ρον η σχετίζονται με επιστημονικη η ιστορικη ε ρευνα, αρκει να θεσπι ζονται κατα λληλα τεχνικα και οργανωτικα με τρα (π.χ. ανωνυμοποιήση, κρυπτογρα φηση κ.λπ.). Υπεύθυνος προστασίας δεδομένων Σημειώνεται ότι η εταιρεία σας θα πρέπει να διορίζει υπεύθυνο προστασίας δεδομένων, όταν επεξεργάζεστε δεδομένα σε μεγάλη κλίμακα ή πραγματοποιείται τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα. Η υποχρέωση αυτή δεν ισχύει για μικρά λογιστικά γραφεία, τα οποία επεξεργάζονται τα δεδομένα των πελατών τους. Η υποχρέωση αυτή αφορά αφορά σε μεγάλες οντότητες. Πότε δεν εφαρμόζεται ο GDPR Μία εταιρεία εξαιρείται του ευρωπαϊκού κανονισμού, όταν η έδρα της βρίσκεται εκτός Ευρωπαϊκής Ένωσης. Επίσης όταν παρέχει υπηρεσίες σε πελάτες εκτός Ευρωπαϊκής Ένωσης, ακόμα και όταν οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της ακόμα και εντός Ε.Ε. Επίσης, εάν η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα εντός της Ε.Ε., εξαιρείται του κανονισμού. Ποιες επιχειρήσεις αφορά η εφαρμογή του κανονισμού Θα πρέπει τέλος να σημειώσουμε ότι η εφαρμογή του GDPR, δεν εξαιρεί καμία επιχείρηση. Αυτό σημαίνει ότι υπόχρεες στην τήρησή του είναι και οι μικρομεσαίες επιχειρήσεις. 9 / 10

10 Ωστόσο, οι μικρομεσαίες επιχειρήσεις δεν είναι υποχρεωμένες να σε αντίθεση με τις μεγάλες (άνω των 250 ατόμων): -Να τηρούν αρχεία επεξεργασίας -Να διορίζουν υπεύθυνο επεξεργασίας δεδομένων Να εκτιμούν τον αντίκτυπο της επεξεργασίας δεδομένων Πηγή: Φορολογικά νέα 10 / 10