Studiu de caz: Protectia datelor cu caracter personal in cazul unui cabinet de contabilitate
Valabil la 14.09.2011
Anumite operatiuni desfasurate de un cabinet de contabilitate implica si furnizarea datelor cu caracter personal ale salariatilor sau ale clientilor. Vor fi astfel oferite informatii utile cu privire la obligatiile pe care le are un cabinet de contabilitate in ceea ce priveste inregistrarea ca operator de date cu caracter personal conform Legii 677/2001.
Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, defineste la art.3 lit.a) datele cu caracter personal ca fiind acele informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale.
Prin prelucrarea datelor cu caracter personal se intelege orice operatiune sau set de operatiuni care se efectueaza asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, inregistrarea, organizarea, stocarea, adaptarea ori modificarea, extragerea, consultarea, utilizarea, dezvaluirea catre terti prin transmitere, diseminare sau in orice alt mod, alaturarea ori combinarea, blocarea, stergerea sau distrugerea.
Pentru ca o prelucrare sa intre sub incidenta prevederilor Legii 677/2001 este necesar ca ea sa se desfasoare in cadrul unui sistem de evidenta. Prin sistem de evidenta a datelor cu caracter personal se intelege orice structura organizata de date cu caracter personal, accesibila potrivit unor criterii determinate, indiferent daca aceasta structura este organizata in mod centralizat ori descentralizat sau este repartizata dupa criterii functionale ori geografice (art.3 lit.d) din Legea 677/2001).
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
- GHIDUL tau de taxe si impozite!
Operatorul este definit de Legea 677/2001 ca fiind orice persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care stabileste scopul si mijloacele de prelucrare a datelor cu caracter personal; daca scopul si mijloacele de prelucrare a datelor cu caracter personal sunt determinate printr-un act normativ sau in baza unui act normativ, operator este persoana fizica sau juridica, de drept public ori de drept privat, care este desemnata ca operator prin acel act normativ sau in baza acelui act normativ.
Prin urmare, daca in activitatea desfasurata, prelucrati date cu caracter personal ale persoanelor fizice stabilind scopul si mijloacele de prelucrare a datelor aveti calitatea de operator de date cu caracter personal si obligatia de a notifica Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Conform art. 1 din Decizia Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal 90/2006, notificarea prelucrarii datelor cu caracter personal nu este necesara in urmatoarele cazuri:
a)cand prelucrarea datelor cu caracter personal referitoare la petitionari este efectuata de autoritatile si institutiile publice centrale si locale, serviciile publice descentralizate ale ministerelor si ale celorlalte organe centrale, companiile si societatile nationale, societatile comerciale de interes judetean sau local si regiile autonome, in vederea indeplinirii unor obligatii legale;
b)cand prelucrarea datelor cu caracter personal referitoare la propriii angajati si la colaboratorii externi este efectuata de entitatile de drept public si de drept privat, in vederea indeplinirii unor obligatii legale;
c)cand prelucrarea datelor cu caracter personal referitoare la proprietarii sau chiriasii unui imobil folosit in comun este efectuata de catre asociatiile de proprietari sau de locatari, in exercitarea drepturilor si obligatiilor stabilite prin lege, in scopul administrarii acelui imobil.
Totodata, potrivit art. 1 din Decizia ANSPDCP 100/2007, notificarea prelucrarii datelor cu caracter personal nu este necesara in urmatoarele cazuri:
a)cand prelucrarea datelor cu caracter personal este efectuata de compartimentele/persoanele competente ale entitatilor de drept public si privat, in scopul indeplinirii obligatiilor prevazute de lege, pentru organizarea si desfasurarea activitatii proprii curente de gestiune economico-financiara si administrativa;
b)cand prelucrarea datelor cu caracter personal referitoare la propriii angajati este efectuata in vederea subscrierii de actiuni in interesul angajatilor;
c)cand prelucrarea datelor cu caracter personal referitoare la persoanele fizice inscrise la concursuri sau examene este efectuata in vederea ocuparii locurilor de munca vacante;
d)cand prelucrarea datelor cu caracter personal cuprinse in formularul de curriculum vitae trimis, in mod voluntar, de catre persoanele fizice, este efectuata de entitati de drept public si privat, in calitate de potentiali angajatori;
e)cand prelucrarea datelor cu caracter personal referitoare la participantii la seminarii, conferinte si alte evenimente similare este efectuata exclusiv in scopul organizarii acestor evenimente, cu conditia ca prelucrarea sa se refere numai la datele necesare desfasurarii acestor evenimente;
f)cand prelucrarea datelor cu caracter personal referitoare la persoanele de contact ale entitatilor de drept public si privat este efectuata de alte entitati de drept public si privat, exclusiv in scopul desfasurarii activitatii profesionale si de protocol, prin tinerea unei evidente a datelor de contact;
g)cand prelucrarea datelor cu caracter personal referitoare la propriii membri este efectuata de asociatii, fundatii sau orice alte organizatii fara scop patrimonial, exclusiv in vederea realizarii specificului activitatii organizatiei, cu conditia ca datele sa nu fie dezvaluite unor terti fara consimtamantul persoanei vizate;
h)cand prelucrarea datelor cu caracter personal este efectuata de cultele si asociatiile religioase recunoscute potrivit legii, exclusiv in vederea realizarii specificului activitatii acestora;
i)cand prelucrarea datelor cu caracter personal este efectuata de cercetatori acreditati de Consiliul National pentru Studierea Arhivelor Securitatii, cu privire la persoanele fizice ale caror date se afla in arhiva acestuia, exclusiv in scopuri jurnalistice, literare sau artistice, statistice, de cercetare istorica sau stiintifica;
j)cand prelucrarea datelor cu caracter personal este efectuata de persoanele fizice care au acces la propriul dosar aflat in arhiva Consiliului National pentru Studierea Arhivelor Securitatii, in vederea constatarii, exercitarii si apararii unui drept in justitie sau in scopuri jurnalistice, literare, artistice ori statistice, de cercetare istorica sau stiintifica;
k)cand prelucrarea datelor cu caracter personal este efectuata exclusiv in scopuri jurnalistice, literare sau artistice.
De asemenea, ca urmare a incheierii contractelor de prestari servicii de contabilitate puteti avea calitatea de persoana imputernicita de operator. Persoana imputernicita de operator este definita de Legea 677/2000 ca fiind o persoana fizica sau juridica, de drept privat ori de drept public, inclusiv autoritatile publice, institutiile si structurile teritoriale ale acestora, care prelucreaza date cu caracter personal pe seama operatorului. In acest caz, nu aveti obligatia de a notifica ANSPDCP.
Persoanelor imputernicite le revine obligatia de a respecta prevederile art. 4 alin. (1) din Legea 677/2000, respectiv, datele cu caracter personal destinate a face obiectul prelucrarii trebuie sa fie:
a) prelucrate cu buna-credinta si in conformitate cu dispozitiile legale in vigoare;
b) colectate in scopuri determinate, explicite si legitime; prelucrarea ulterioara a datelor cu caracter personal in scopuri statistice, de cercetare istorica sau stiintifica nu va fi considerata incompatibila cu scopul colectarii daca se efectueaza cu respectarea dispozitiilor prezentei legi, inclusiv a celor care privesc efectuarea notificarii catre autoritatea de supraveghere, precum si cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute de normele care reglementeaza activitatea statistica ori cercetarea istorica sau stiintifica;
c) adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate;
d) exacte si, daca este cazul, actualizate; in acest scop se vor lua masurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate si pentru care vor fi ulterior prelucrate, sa fie sterse sau rectificate;
e) stocate intr-o forma care sa permita identificarea persoanelor vizate strict pe durata necesara realizarii scopurilor in care datele sunt colectate si in care vor fi ulterior prelucrate; stocarea datelor pe o durata mai mare decat cea mentionata, in scopuri statistice, de cercetare istorica sau stiintifica, se va face cu respectarea garantiilor privind prelucrarea datelor cu caracter personal, prevazute in normele care reglementeaza aceste domenii, si numai pentru perioada necesara realizarii acestor scopuri.
Totodata potrivit art. 20 din acelasi act normativ, operatorul este obligat sa aplice masurile tehnice si organizatorice adecvate pentru protejarea datelor cu caracter personal impotriva distrugerii accidentale sau ilegale, pierderii, modificarii, dezvaluirii sau accesului neautorizat, in special daca prelucrarea respectiva comporta transmisii de date in cadrul unei retele, precum si impotriva oricarei alte forme de prelucrare ilegala.