GDPR та зовнішній облік

Випускник юридичного факультету університету імені П. Й. Шафарика в Кошицях, який працює у галузі юстиції та зосереджується в основному на комерційному та трудовому праві.

В даний час багато підприємців займаються нарахуванням заробітної плати та бухгалтерським обліком через спеціалізовані зовнішні компанії. Як європейський регламент про захист GDPR на практиці впливає на зовнішніх бухгалтерів та їх стосунки з клієнтами?

Регулювання Європа про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних, відоме під абревіатурою GDPR, регулює зобов'язання операторів, посередників та права зацікавлених осіб. Нові правила конфіденційності набирає чинності з кінця травня 2018 року застосовувати до всіх, хто працює з персональними даними у своєму бізнесі. Це означає що застосовувати до будь-якого підприємця, який обробляє персональні дані, незалежно від їх кількості. За законом підприємці зобов’язані захищати персональні дані постраждалі особи (наприклад, працівники).

Роль бухгалтера, відп. бухгалтерська фірма повинна вести бухгалтерський облік цього суб'єкта господарювання. Це може бути внутрішня або зовнішня бухгалтерія. Однак в обох випадках обробляються персональні дані фізичних осіб, які можна знайти, наприклад, у бухгалтерських документах, контрактах, рахунках-фактурах або формах.

Підприємець (роботодавець), який хоче, щоб бухгалтерія була оброблена зовні, повинні відповідати GDPR. Хоча він не потребує згоди своїх працівників, він повинен обрати зовнішнього бухгалтера, який може надати йому достатню впевненість у тому, що він вживатиме відповідних технічних та організаційних заходів, щоб забезпечити відповідність обробки персональних даних GDPR та забезпечити, щоб права суб’єкти даних захищені. Регулювання GDPR в тому штрихи не тільки сам роботодавець, але aj його зовнішній бухгалтер (тобто фізична або юридична особа, яка веде бухгалтерський облік згідно із Законом про бухгалтерський облік).

Згідно з GDPR, якою є посада зовнішнього бухгалтера?

Під час захисту персональних даних необхідно розрізняти два суб’єкти господарювання - оператора та посередника.

Оператори є фізичною або юридичною особою, яка обробляє персональні дані від свого імені (наприклад, роботодавець сам обробляє персональні дані своїх працівників з метою виконання зобов'язань, пов'язаних з трудовими відносинами).

Навпаки, посередник є фізичною або юридичною особою, яка обробляє персональні дані від імені оператора (наприклад, бухгалтер або бухгалтерія веде бухгалтерський облік та фонд оплати праці для іншої компанії).

Згідно з GDPR, зовнішній бухгалтер має статус посередника.

Простіше кажучи, якщо бухгалтер або бухгалтерська фірма здійснює зовнішній облік або нарахування заробітної плати для іншого підприємця (наприклад, для будівельної компанії), яка обробляє персональні дані працівників цього підприємця, має з точки зору GDPR статус посередника. Отже, такий зовнішній бухгалтер, як посередник обробляє персональні дані суб’єктів даних не для себе, а для іншої особи, тобто j. для оператора, як правило, як для його клієнта. Однак ніщо не заважає такій бухгалтерії одночасно бути оператором (наприклад, під час обробки бухгалтерського обліку та фонду оплати праці власних працівників - так званий внутрішній облік).

На основі чого зовнішній бухгалтер може обробляти персональні дані зацікавлених осіб ?

Загалом, контролер може довірити обробку персональних даних посереднику. Делегування виконується окремим договором.

Конкретно це означає, що обробка рахунків зовнішнім бухгалтером на посаді посередника повинна здійснюватися відповідно до європейського регулювання. на основі спеціальні контракти укладений між оператором та посередником (так званий брокерський контракт). Згода зацікавлених осіб для обробки своїх персональних даних зовнішнім бухгалтером не потрібно.

Зовнішній бухгалтер повинен укласти окремий договір з оператором.

Після укладення брокерського договору зовнішній бухгалтер може розпочати обробку персональних даних працівників оператора, але лише в обсязі та на умовах, узгоджених у контракті і лише за вказівкою оператора.

Мета обробки персональних даних ніколи не визначається самим зовнішнім бухгалтером, він визначається контролером. Метою є ведення бухгалтерії, а отже, обробка бухгалтерських документів або управління заробітною платою.

Приклад: Компанія STAV s.r.o. найняв зовнішню бухгалтерію ÚČTO s.r.o. з метою обробки бухгалтерського обліку та фонду оплати праці своїх працівників. Для того, щоб ÚČTO s.r.o. могли обробляти персональні дані працівників STAV s.r.o. відповідно до GDPR, необхідно укласти посередницький контракт між STAV s.r.o. як оператор та ÚČTO s.r.o. як посередник. Згодом, не раніше як у день укладення договору, ÚČTO s.r.o. на основі Закону про бухгалтерський облік та укладеного брокерського договору обробляти персональні дані працівників STAV s.r.o. без їхньої згоди.

Основні обов'язки зовнішнього бухгалтера згідно з GDPR

GDPR закріплює декілька обов'язків зовнішнього бухгалтера як посередника. До найбільш важливих з них належать:

1. Обов'язок захищати оброблені персональні дані

Як контролер, так і зовнішній бухгалтер на посаді посередника зобов'язані згідно з GDPR захищати персональні дані, які вони обробляють. Тому він завжди повинен враховувати ризики, пов’язані з обробкою персональних даних (наприклад, випадкове або незаконне знищення, втрата, зміна, персональні дані або несанкціонований доступ до них).

1. Обов'язок вести облік переробної діяльності (Стаття 30, пункт 2, GDPR)

Якщо зовнішній бухгалтер веде бухгалтерський облік у роботодавця, в якому працює понад 250 працівників, він повинен вести облік обробної діяльності (усіх категорій обробної діяльності), що здійснюється від імені цього роботодавця. Якщо на нього припадає кілька таких підприємців, він повинен вести облік для кожного з них окремо. Хоча це зобов'язання не поширюється на меншу кількість працівників, зовнішній бухгалтер, тим не менше, може вести облік на добровільних засадах. Це практично з точки зору орієнтації на обробку персональних даних, і в той же час воно "прикриває спину" при доведенні виконання своїх зобов'язань. Записи про діяльність з обробки повинні вестись у письмовій формі, в тому числі в електронній формі. У разі перевірки Управлінням захисту персональних даних Словацької Республіки зовнішній бухгалтер повинен буде надати ці записи.

1. Обов'язок повідомляти контролера про порушення персональних даних (Стаття 33, пункт 2, GDPR)

Європейський регламент запровадив для посередників новий обов'язок - повідомляти оператору про випадки безпеки. Таким чином, зовнішній бухгалтер повинен повідомити контролера про будь-яке порушення персональних даних, яке він обробляє, як тільки йому стане відомо про порушення. У повідомленні, зокрема, повинно бути зазначено, що сталося порушення, чиї особисті дані стосуються порушення тощо.

1. Зобов'язання співпрацювати з Управлінням захисту персональних даних Словацької Республіки (Стаття 31 GDPR)

Зовнішній бухгалтер за запитом співпрацює з наглядовим органом при виконанні своїх завдань. Наглядовим органом є Управління захисту персональних даних Словацької Республіки.

1. Обов'язок видалення або повернення персональних даних оператору

У разі припинення надання зовнішніх бухгалтерських послуг зовнішній бухгалтер зобов’язаний видалити/знищити всі персональні дані. (включаючи копії), обробляється або повертається оператору. Конкретні умови припинення співпраці повинні бути заздалегідь узгоджені в угоді про посередництво.

1. Обов'язок конфіденційності (Стаття 79 нового Закону про захист персональних даних)

І останнє, але не менш важливе: зовнішній бухгалтер повинен зберігати конфіденційність персональних даних, які він обробляє. Це зобов'язання продовжується навіть після закінчення співпраці з оператором.

Санкції за порушення обов'язків зовнішнього бухгалтера

Новий закон про захист персональних даних передбачає суттєві штрафи за порушення зобов’язань. Це також стосується порушень обов’язків зовнішнім бухгалтером на посаді посередника.

Наприклад, якщо зовнішній бухгалтер порушує обов'язок вести облік обробної діяльності, зобов'язання повідомляти оператора про аварію безпеки або зобов'язання щодо конфіденційності, відомство може накласти штраф до до 10 000 000 євро, або, у випадку підприємства, до 2% загального світового річного обороту за попередній фінансовий рік, залежно від того, що більше.

• GDPR та фотографії
• EF PRAX - EF Мова залишається за кордоном (16 років) - EF
• Домашнє відбілювання зубів - на що слід звернути увагу в стоматологічній клініці Schill
• Експрес-круасани зі сніданком з Нутеллою (фоторецепт) - обговорення
• EF UMB Департамент туризму