gdpr log1

Πρακτική εφαρμογή της προστασίας δεδομένων στα Λογιστικά Γραφεία

 Πρακτική εφαρμογή της προστασίας δεδομένων στα Λογιστικά Γραφεία - Π.Ο.Φ.Ε.Ε

Ένα λογιστικό γραφείο επεξεργάζεται δεδομένα προσωπικού χαρακτήρα ως:

  • Εκτελών την επεξεργασία, στις περιπτώσεις που γίνεται επεξεργασία δεδομένων προσωπικού χαρακτήρα για λογαριασμό άλλου ατόμου ή επιχείρησης. Όπως για παράδειγμα:
    • Επεξεργασία δεδομένων προσωπικού χαρακτήρα πελάτη - ιδιώτη για λογαριασμό του ίδιου του πελάτη (π.χ. φορολογική δήλωση)
    • Επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων για λογαριασμό ενός πελάτη που έχει επιχείρηση και απασχολεί το προσωπικό αυτό (π.χ. μισθοδοσία, υποβολή ΑΠΔ στον ΕΦΚΑ)
  • Υπεύθυνος επεξεργασίας, (π.χ. ιδιοκτήτης του λογιστικού γραφείου) στις περιπτώσεις:
    • που γίνεται συλλογή δεδομένων προσωπικού χαρακτήρα των υπαλλήλων του λογιστικού γραφείου για χρήση σε δημόσιους οργανισμούς όπως π.χ. ΣΕΠΕ, ΕΦΚΑ, εφορία, κλπ.
    • που υπάρχει σύστημα βιντεοεπιτήρησης στο λογιστικό γραφείο
    • που το λογιστικό γραφείο διαχειρίζεται κάποια βάση δεδομένων για δική του χρήση για παράδειγμα λίστα πελατών ή εν δυνάμει πελατών ή λίστα παραληπτών για αποστολή ενημερωτικών email (newsletter). 

Αρχεία δραστηριοτήτων επεξεργασίας

Το αρχείο αυτό δεν είναι σημαντικό μόνο γιατί αποτελεί υποχρέωση από το άρθρο 30 ΓΚΠΔ ως εργαλείο λογοδοσίας, αλλά και γιατί είναι χρήσιμο για τη σωστή οργάνωση των διαδικασιών χειρισμού των τηρούμενων προσωπικών δεδομένων.


Ένα λογιστικό γραφείο μπορεί να επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, όπως ενδεικτικά:

  • Φορολογούμενων φυσικών προσώπων, για τους οποίους μπορεί να:
    • υποβάλλουν φορολογικά έντυπα όπως δηλώσεις Ε1, Ε2, Ε3, Ε9, κ.α.
    • υποβάλλουν ασφαλιστικές δηλώσεις για μη-μισθωτούς στον ΕΦΚΑ
    • εκτυπώνουν ή να αποστέλλουν εκκαθαριστικά δηλώσεων, ΕΝΦΙΑ, κ.α.
  • Υπαλλήλων του ίδιου του λογιστικού γραφείου ή επιχειρήσεων-πελατών:
    • μισθοδοσία, προσλήψεις, αποχωρήσεις, κλπ διαδικασίες που αφορούν το προσωπικό
    • υποβολή ΑΠΔ στον ΕΦΚΑ, υποβολή ετήσιου πίνακα προσωπικού Ε4
    • υποβολή βεβαιώσεων αποδοχών
    • διατήρηση των στοιχείων αυτών (φυσική ή ηλεκτρονική μορφή) στο λογιστικό γραφείο μέχρι να λήξει αυτή η συμφωνία/υποχρέωση ή για όσο ορίζει ο εκάστοτε νόμος, κλπ.
  • Πελατών γενικότερα ή εν δυνάμει πελατών (φυσικών προσώπων) με σκοπό:
    • την αποστολή ενημερωτικών (π.χ. newsletters) μέσω email ή SMS
    • την τηλεφωνική επικοινωνία μετά το πέρας της ανατιθέμενης εργασίας (π.χ. για μελλοντική υποβολή κάποιας δήλωσης)

iso 27001 imgΗ ομάδα εργασίας του άρθρου 29 συνιστά στους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία: 

"Να καταγράφουν την εσωτερική ανάλυση που διενεργούν προκειμένου να προσδιορίσουν αν πρέπει ή όχι να διοριστεί DPO, ώστε να μπορούν να αποδείξουν ότι λήφθηκαν δεόντως υπόψη οι σχετικοί παράγοντες. Η εν λόγω ανάλυση αποτελεί μέρος της απαιτούμενης τεκμηρίωσης δυνάμει της αρχής της λογοδοσίας, μπορεί να ζητηθεί από την εποπτική αρχή και θα πρέπει να επικαιροποιείται όταν κρίνεται απαραίτητο"


 Προστατεύστε τα δεδομένα, προστατεύστε την επιχείρησή σας!!!

G.D.P.R Culture


 Στην περίπτωση που ένα λογιστικό γραφείο κάνει την επεξεργασία των δεδομένων για λογαριασμό τρίτου (δηλαδή το λογιστικό γραφείο είναι «εκτελών την επεξεργασία») θα πρέπει η επεξεργασία που κάνει να γίνεται ΜΟΝΟ στα πλαίσια της εντολής ή της συμφωνίας που υπάρχει με τον εκάστοτε υπεύθυνο επεξεργασίας.

Οι υπεύθυνοι επεξεργασίας μπορούν να χρησιμοποιήσουν δεδομένα για άλλο σκοπό, αλλά μόνο σε μερικές περιπτώσεις.
Εάν έχει γίνει η συλλογή των δεδομένων με βάση έννομο συμφέρον, σύμβαση ή ζωτικά συμφέροντα, μπορούν να χρησιμοποιηθούν για άλλον σκοπό αλλά μόνο αφού ελεγχτεί ότι ο νέος σκοπός είναι συμβατός με τον αρχικό σκοπό.

Στο πλαίσιο αυτό, πρέπει να λαμβάνονται υπόψη τα εξής:

  • • η σύνδεση μεταξύ του αρχικού και του νέου/μελλοντικού σκοπού
  • • το πλαίσιο στο οποίο συλλέχθηκαν τα δεδομένα (ποια είναι η σχέση μεταξύ της εταιρείας ή του οργανισμού σας και του φυσικού προσώπου;)
  • • το είδος και η φύση των δεδομένων (είναι ευαίσθητα;)
  • • οι ενδεχόμενες συνέπειες της επιδιωκόμενης περαιτέρω επεξεργασίας (πώς θα επηρεάσει το άτομο;)
  • • η ύπαρξη κατάλληλων εγγυήσεων (όπως η κρυπτογράφηση ή η ψευδωνυμοποίηση).

Εάν τα δεδομένα αυτά χρησιμοποιηθούν για στατιστικούς σκοπούς ή για επιστημονική έρευνα, δεν απαιτείται έλεγχος συμβατότητας.

ΠΡΟΣΟΧΗ!!! Εάν έχετε συλλέξει τα δεδομένα βάσει συγκατάθεσης ή σύμφωνα με συμβατική ή νομική υποχρέωση, δεν είναι δυνατή περαιτέρω επεξεργασία πέραν των σκοπών που καλύπτονται από την αρχική συγκατάθεση ή τις διατάξεις της νομοθεσίας.
Τυχόν περαιτέρω επεξεργασία απαιτεί τη λήψη νέας συγκατάθεσης ή νέα νομική βάση.

ΠΡΟΣΟΧΗ!!! Ο τρόπος απόδειξης της σχέσης ενός λογιστικού γραφείου και μιας επιχείρησης-πελάτη σύμφωνα με τον GDPR είναι μια σύμβαση ή κάποιο άλλο νομικό έγγραφο το οποίο μεταξύ άλλων θα αναγράφει και τον σκοπό της ανάθεσης της επεξεργασίας των δεδομένων αυτών και άλλα στοιχεία, συμπληρωματικά με την όποια σύμβαση υπάρχει αυτή τη στιγμή μεταξύ των δυο μερών.

Συμφωνία περί επεξεργασίας και προστασίας δεδομένων προσωπικού χαρακτήρα
Στην ΑΘΗΝΑ σήμερα ………………….
1)Της εταιρείας με την επωνυμία………
2)Του Λογιστή .......................,
Το παρόν αφορά συμφωνία περί επεξεργασίας και προστασίας δεδομένων προσωπικού χαρακτήρα, που παρέχονται από την επιχείρηση στον Φοροτεχνικό για λογαριασμό της επιχείρησης……...
….Η «επιχείρηση» υπεύθυνος επεξεργασίας, σε εφαρμογή του ευρωπαικού κανονισμού προστασίας προσωπικών δεδομένων (GDPR),δηλώνει προς τον «Φοροτεχνικό» εκτελούντα την επεξεργασία………….
…………………………
Το παρόν αποτελεί συνοδευτικό και ενσωματώνεται στο ιδιωτικού συμφωνητικού μεταξύ των συμβαλλομένων υπευθύνου επεξεργασίας και εκτελούντα την επεξεργασία και υπογράφεται ως ακολούθως:

 ΠΡΟΣΟΧΗ!!! Με την λήξη της συνεργασίας θα πρέπει να διαγραφούν, καταστραφούν ή να επιστραφούν (βάσει υποχρεώσεων για διατήρηση των εκάστοτε νόμων) όσα αρχεία διατηρεί το λογιστικό γραφείο και αφορούν το φυσικό πρόσωπο ή περιέχουν δεδομένα προσωπικού χαρακτήρα του πελάτη-ιδιώτη Εξαιρούνται περιπτώσεις που η λήξη συνεργασίας δεν αφορά π.χ. και την αποστολή ενημερωτικών email (δεδομένου ότι υπάρχει σχετική συγκατάθεση για αυτόν τον σκοπό) όπου εκεί μπορούν να διατηρηθούν μόνο τα απαραίτητα στοιχεία για την αποστολή των ενημερωτικών αυτών.


O χρόνος τελείωσε…


 

Εξειδικευμένοι Σύμβουλοι Ασφάλειας Πληροφοριών     

osbnew

Πληροφορίες: Δημήτρης Τσιμπουρλάς
Υπεύθυνος Επικοινωνίας για Συστήματα Ασφάλειας
Πληροφοριών & Προστασίας Προσωπικών Δεδομένων (GDPR)
Τηλ: 210 9024517 - Κιν: 690 6272316
Email: tsibos [AT] osb [DOT] net [DOT] gr, tsibosd [AT] gmail [DOT] com  


GDPR – Complete End-To-End Compliance Solutions

      Προστατεύστε τα δεδομένα, προστατεύστε την επιχείρησή σας!!!


 Για την Ανάπτυξη του Συστήματος

  • Σύνταξη Statement of Applicability
  • Σύνταξη εγχειριδίου Συστήματος Ασφάλειας Πληρο-φοριών
  • Σύνταξη πολιτικής ασφάλειας πληροφοριών
  • Business Continuity Management
  • Roles and responsibilities
  • Risk Management Procedure
  • Απαιτήσεις Ασφάλειας
  • Σχέδιο ασφάλειας (security plan)
  • Σχέδιο Εκτακτης Ανάγκης
  • Risk Treatment Plan
  • Διαδικασία απόκρισης και γνωστοποίησης παραβίασης δεδομένων
  • Διαδικασία εσωτερικού ελέγχου
  • Ενδοεπιχειρησιακή Εκπαίδευση του προσωπικού στην ασφάλεια πληροφοριων

Οι υπηρεσίες  μας Outsource DPO περιλαμβάνουν :

  • Ενημέρωση του προσωπικού σχετικά με τις απαιτήσεις του GDPR
  • Παροχή συμβουλών προς τον οργανισμό σχετικά με την συμμόρφωσή του με το GDPR
  • Συντονισμό   της ομάδας GDPR  (GDPR Team) της επιχείρησης.
  • Αξιολόγηση και επικαιροποίηση της μελέτης συμμόρφωσης
  • Παρακολούθηση των αποκλίσεων με το GDPR
  • Ενημέρωση της Διοίκησης για τον βαθμό συμμόρφωσης.
  • Προτάσεις για την λήψη διορθωτικών μέτρων (τεχνικών και οργανωτικών) για την μείωση του κινδύνου.
  • Καταγραφή των συμβάντων παραβίασης και αναφοράς τους προς την Αρχή Προστασίας Προσωπικών Δεδομένων (και προς τα υποκείμενα , εφ’ όσον απαιτηθεί).
  • Συνεργασία με την Αρχή Προστασίας Προσωπικών Δεδομένων όπου αυτό απαιτείται.

Η υπηρεσία Outsource DPO περιλαμβάνει την παροχή υπηρεσιών υποστήριξης τόσο στον χώρο της εταιρίας σας (on-site) όσο και remotely (απομακρυσμένα) μέσω τηλεφώνου ή e-mail.


Εξειδικευμένοι Σύμβουλοι Ασφάλειας Πληροφοριών     

osbnew              iso 27001 img

Πληροφορίες: Δημήτρης Τσιμπουρλάς
Υπεύθυνος Επικοινωνίας για Συστήματα Ασφάλειας 
Πληροφοριών & Προστασίας Προσωπικών Δεδομένων (GDPR)
Τηλ: 210 9024517 - Κιν: 690 6272316
Email: tsibos [AT] osb [DOT] net [DOT] grtsibosd [AT] gmail [DOT] com   


Επικεφαλής Ομάδων Έργων

 

osbTsibos

 

 

 

 

 

 

 

 

 panaretosKaraminas

 

jQuery Scroll Up plugin