Ιδιαίτερα έχει απασχολήσει κατά το τελευταίο χρονικό διάστημα, πολλές επιχειρήσεις και κατ’ επέκταση και τα λογιστικά γραφεία, η εφαρμογή του γενικού κανονισμού για την προστασία των δεδομένων, ο οποίος είναι γνωστός ευρέως ως GDPR.
Για το συγκεκριμένο θέμα, τα Φορολογικά Νέα επικοινώνησαν με την Πανελλήνια Ομοσπονδία Φοροτεχνικών Ελευθέρων Επαγγελματιών, ζητώντας περαιτέρω διευκρινήσεις και αναζητώντας απαντήσεις για το πώς μπορεί ο κανονισμός να επηρεάσει τους φοροτεχνικούς κατά την άσκηση του επαγγέλματός τους.
Θα πρέπει να σημειώσουμε ότι οι κανόνες του GDPR ισχύουν για όλα τα δεδομένα προσωπικού χαρακτήρα που αφορούν τα φυσικά πρόσωπα.
Τι επιδιώκει το πλαίσιο κανόνων GDPR
Με βάση τα όσα αναφέρει η ΠΟΦΕΕ, o GDPR έρχεται να ρυθμίσει το ισχύον – μέχρι σήμερα – καθεστώς για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το οποίο αφορά άτομα στην Ευρωπαϊκή Ένωση. Σημειώνεται ότι η επεξεργασία των στοιχείων πραγματοποιείται είτε από εταιρεία, είτε από κάποιον οργανισμό.
Πότε πραγματοποιείται επεξεργασία των δεδομένων
Με βάση την ευρωπαϊκή νομοθεσία, η επεξεργασία των δεδομένων αφορά σε μία ευρεία γκάμα ενεργειών, που σχετίζεται με την καταχώρηση, συλλογή, διάρθρωση, προσαρμογή ή μεταβολή, ανάκτηση, αναζήτηση πληροφοριών, χρήση, κοινολόγηση με διαβίβαση, διάδοση, συσχέτιση ή συνδυασμό, διαγραφή ή καταστροφή καθώς και περιορισμό δεδομένων προσωπικού χαρακτήρα.
Παράδειγμα επεξεργασίας προσωπικών δεδομένων
-Διαχείριση προσωπικού και μισθοδοσία. Πρόκειται για μία διαδικασία, την οποία οι φοροτεχνικοί πραγματοποιούν καθημερινά.
-Αναζήτηση πληροφοριών σε βάση δεδομένων επαφών, που αφορά σε δεδομένα προσωπικού χαρακτήρα
-Αποθήκευση διευθύνσεων IP ή διευθύνσεων MAC
-Mαγνητοσκόπηση από κλειστό κύκλωμα
-Αποστολή διαφημιστικών ηλεκτρονικών μηνυμάτων
-Καταστροφή εγγράφων με δεδομένα προσωπικού χαρακτήρα
Κανόνες προστασίας δεδομένων και δεδομένα εταιρειών
Ιδιαίτερη σημασία έχει για όλους τους φοροτεχνικούς, να επισημάνουμε ότι οι κανόνες προστασίας δεδομένων δεν ισχύουν για εταιρείες ή άλλες νομικές οντότητες, αλλά μόνο για φυσικά πρόσωπα.
Επιπλέον, οι κανόνες περί προσωπικών δεδομένων ισχύουν για όλα τα δεδομένα, τα οποία αφορούν σε φυσικά πρόσωπα κατά τη διάρκεια άσκησης του επαγγέλματός τους. Τέτοια στοιχεία είναι οι εργαζόμενοι μιας εταιρείας ή ενός οργανισμού, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου επιχείρησης του τύπου, καθώς και οι επαγγελματικοί αριθμοί τηλεφώνου εργαζομένων.
Ποια θεωρούνται δεδομένα προσωπικού χαρακτήρα
Ως δεδομένα προσωπικού χαρακτήρα, ερμηνεύονται όλες οι πληροφορίες που σχετίζονται με ταυτοποιημένο ή ταυτοποιήσιμο άτομο, το οποίο βρίσκεται εν ζωή.
Θα πρέπει να επισημάνουμε ότι ο τρόπος αποθήκευσης των δεδομένων, ακόμα και αν διαφέρει, δεν παύει να αποτελεί συλλογή δεδομένων. Επομένως, είτε η αποθήκευση γίνεται σε ηλεκτρονικό υπολογιστή, είτε σε e-mail, είτε σε cloud, είτε σε έντυπη μορφή, είτε βιντεοσκοπείται δεν υπάρχει καμία διαφορά.
Τα δεδομένα προσωπικού χαρακτήρα:
-Όνομα – επώνυμο
-Διεύθυνση κατοικίας
-Διεύθυνση ηλεκτρονικού ταχυδρομείου της μορφής giannis@konstan.gr
-Αριθμός ταυτότητας, διαβατηρίου ή διπλώματος οδήγησης
-Δεδομένα τοποθεσίας όπως η συλλογή δεδομένων από κινητό τηλέφωνο
-Διεύθυνση IP
-Αναγνωριστικό διαδικτυακής περιήγησης (cookies)
-Δεδομένα που φυλλάσσονται από νοσοκομείο ή γιατρό και θα μπορούσαν να αποτελέσουν σύμβολο προσδιορισμού αποκλειστικά ενός ατόμου
Ποια δεδομένα δεν θεωρούνται προσωπικού χαρακτήρα
-Αριθμός μητρώου εταιρείας
-Ηλεκτρονική διεύθυνση εταιρείας της μορφής info@company.gr
-Tα ανώνυμα δεδομένα για τη συμμετοχή σε ανώνυμη έρευνα αγοράς
Τι πρέπει να κάνουν οι φοροτεχνικοί
Όταν ζητούν στοιχεία, να αναφέρουν ποιοι είναι και για ποιο λόγο θα τα επεξεργαστούν, πόσο καιρό θα τα φυλάξουν και ποιος τα λαμβάνει.
Οφείλουν να λαμβάνουν τη ρητή συγκατάθεση για την επεξεργασία των δεδομένων των πελατών τους.
Σε ό,τι αφορά εταιρείες, οι οποίες χρησιμοποιούν πλατφόρμα για νομικά δεσμευτικές συμφωνίες, για παράδειγμα για δάνεια ή άλλου είδους συμβάσεις, πρέπει:
· Να ενημερώνουν τους πελάτες
· Να ορίζουν ένα πρόσωπο και όχι μια μηχανή να ελέγχει τη διαδικασία αν η αίτηση τελικά απορρίπτεται
· Να χορηγούν στον αιτούντα το δικαίωμα να προσβάλλει την απόφαση.
Συν τοις άλλοις θα πρέπει να διαγράφουν τα προσωπικά δεδομένα των πελατών εάν το ζητήσουν, αλλά μόνο εάν δεν θίγεται η ελευθερία έκφρασης ή η δυνατότητα διεξαγωγής έρευνας.
Επιπλέον θα πρέπει να παρέχουν στα άτομα, πρόσβαση στα δεδομένα τους και τους επιτρέπουν να μεταφέρουν τα στοιχεία τους σε άλλη εταιρεία.
Σημαντικό είναι οι επαγγελματίες να συνάπτουν νομικές συμφωνίες, όταν διαβιβάζουν δεδομένα, σε χώρες που δεν έχουν λάβει έγκριση από τις αρχές της Ευρωπαϊκής Ένωσης.
Επίσης, οι εταιρείες που διαχειρίζονται ατομικά δεδομένα, θα πρέπει να χρησιμοποιούν πρόσθετα μέτρα προστασίας για πληροφορίες που αφορούν την υγεία, τον σεξουαλικό προσανατολισμό, τη θρησκεία και τις πολιτικές πεποιθήσεις.
Σε ποιες περιπτώσεις μπορεί μία εταιρεία να επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα
Σε ό,τι αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, η συγκεκριμένη διαδικασία πραγματοποιείται μόνο υπό συγκεκριμένες προϋποθέσεις.
Αναλυτικά η επεξεργασία προσωπικών δεδομένων μπορεί να γίνεται:
-Όταν υπάρχει η συγκατάθεση του ατόμου. Εάν για παράδειγμα ένας φοροτεχνικός ζητήσει να επεξεργαστεί τα στοιχεία του πελάτη του, θα πρέπει πριν το κάνει να ζητήσει τη συγκατάθεσή του.
-Όταν υφίσταται σύμβαση ανάμεσα στην εταιρεία σας και τον πελάτη. Είναι μία περίπτωση, η οποία αφορά κατά κύριο λόγο τα στοιχεία που προέρχονται από ηλεκτρονικές πληρωμές στο διαδίκτυο. (στοιχεία πιστωτικής κάρτας, ονοματεπώνυμο κλπ)
-Όταν η επεξεργασία των στοιχείων γίνεται για το δημόσιο συμφέρον.
-Για περιπτώσιες εκπλήρωσης νομικής υποχρέωσης. Η περίπτωση αυτή ισχύει όταν για παράδειγμα μία εταιρεία παρέχει σε έναν φορέα τα στοιχεία τον εργαζομένων του για τις ανάγκες δημόσιας ασφάλισης.
-Για την προστασία ζωτικών συμφερόντων του πελάτη – ατόμου. Η περίπτώση αυτή ισχύει κυρίως για θέματα υγείας, ούτως ώστε να μη χρειάζεται ειδική άδεια για το νοσοκομείο, ώστε να αναζητήσει τα προσωπικά δεδομένα του ασθενούς.
-Όταν υφίσταται έννομο συμφέρον την εταιρείας σας και εφόσον προηγηθεί έλεγχος, από τον οποίο θα προκύψει ότι τα δεδομένα του ατόμου, τα οποία επεξεργάζεστε, δεν επηρεάζουν σοβαρά τις ελευθερίες του. Η περίπτωση αυτή αφορά κυρίως τον έλεγχο του ηλεκτρονικού υπολογιστή του εργαζόμενου για τη διασφάλιση του δικτύου που χρησιμοποιεί η εταιρεία.
Σε ποια περίπτωση μπορεί κάποιος να επεξεργαστεί τα δεδομένα εκ μέρους κάποιου εταιρείας
Η συγκεκριμένη συνθήκη, που αφορά την επεξεργασία των δεδομένων μίας εταιρείας από κάποιον άλλον, βρίσκει κατά κύριο λόγο εφαρμογή στο λογιστικό επάγγελμα.
Κάτι τέτοιο για τους λογιστές επιτρέπεται, υπό την προϋπόθεση ότι:
Υπάρχει σύμβαση μεταξύ των δύο μερών ή κάποια άλλη νομική πράξη.
Επιπλέον, όμως, ο φοροτεχνικός που επεξεργάζεται τα δεδομένα, θα πρέπει να παρέχει επαρκείς εγγυήσεις ότι κινείται με βάση τις διατάξεις του κανονισμού GDPR.
Eπισημαίνεται πως όταν ένας φοροτεχνικός αναλάβει την επεξεργασία των δεδομένων ενός πελάτη του, δεν μπορεί να διορίσει κάποιον άλλο στη θέση του, εφόσον δεν υφίσταται γενική ή ειδική γραπτή άδεια.
Τι πρέπει να αναφέρει η σύμβαση επεξεργασίας των δεδομένων από κάποιον φοροτεχνικό
Α. Ότι η επεξεργασία πραγματοποιείται μόνο μέσω καταγεγραμμένων εντολών
Β. Αυτός που επεξεργάζεται στα δεδομένα, θα πρέπει να εγγυάται ότι αυτός που εξουσιοδοτεί για τη διαδικασία της επεξεργασίας, τηρεί τις αρχές εμπιστευτικοτητας των δεδομένων.
Γ. Όποιος επεξεργάζεται τα δεδομένα πρέπει να παρέχει ένα ελάχιστο επίπεδο ασφάλειας.
Δ. Εκείνος που επεξεργάζεται τα στοιχεία πρέπει να διασφαλίζει τη συμμορφωση με τον GDPR.
Καταγραφή κλήσεων
Θα πρέπει να επισημάνουμε, ότι σε περίπτωση καταγραφής κλήσεων από λογιστικά γραφεία, ο πελάτης θα πρέπει απαραίτητα να ενημερώνεται ότι η κλήση του καταγράφεται.
Πότε μπορεί να γίνει χρήση δεδομένων για άλλο σκοπό
Η χρήση των δεδομένων για άλλο σκοπό από τον αρχικό, μπορεί να γίνει κατ’ εξαίρεση εφόσον υπάρχει σύμβαση, έννομο συμφέρον και ζωτικά συμφέροντα και υπό την προϋπόθεση ότι ο νέος σκοπός θα είναι συμβατός με τον αρχικό.
Χρόνος διατήρησης των δεδομένων
Τα δεδομένα πρέπει να αποθηκεύονται για την ελάχιστη δυνατή περίοδο, η οποία θα πρέπει να λαμβάνει υπόψη τους λόγους για τους οποίους η εταιρεία ή ο οργανισμός χρειάζεται να επεξεργαστεί τα δεδομένα, καθώς και τυχόν νομικές υποχρεώσεις για τη φύλαξη των δεδομένων για συγκεκριμένη χρονική περίοδο (π.χ. εθνικό εργατικό δίκαιο, φορολογικό δίκαιο, νομοθεσία για την καταπολέμηση της απάτης που απαιτεί να τηρείτε δεδομένα προσωπικού χαρακτήρα για τους εργαζομένους σας για μια συγκεκριμένη περίοδο, διάρκεια εγγύησης προϊόντος κ.λπ.).
Επίσης, η εταιρεία που επεξεργάζεται δεδομένα, θα πρέπει να θεσπίζει συγκεκριμένες χρονικές προθεσμιες, για τη διαγραφή ή την επανεξέταση των δεδομένων που έχουν αποθηκευτεί.
Κατ’ εξαίρεση, μπορούν να φυλάσσονται δεδομένα προσωπικού χαρακτήρα για μεγαλύτερη περίοδο, όταν εξυπηρετούν σκοπούς αρχειοθέτησης για το δημόσιο συμφέρον ή σχετίζονται με επιστημονική ή ιστορική έρευνα, αρκεί να θεσπίζονται κατάλληλα τεχνικά και οργανωτικά μέτρα (π.χ. ανωνυμοποίηση, κρυπτογράφηση κ.λπ.).
Υπεύθυνος προστασίας δεδομένων
Σημειώνεται ότι η εταιρεία σας θα πρέπει να διορίζει υπεύθυνο προστασίας δεδομένων, όταν επεξεργάζεστε δεδομένα σε μεγάλη κλίμακα ή πραγματοποιείται τακτική και συστηματική παρακολούθηση σε μεγάλη κλίμακα.
Η υποχρέωση αυτή δεν ισχύει για μικρά λογιστικά γραφεία, τα οποία επεξεργάζονται τα δεδομένα των πελατών τους. Η υποχρέωση αυτή αφορά αφορά σε μεγάλες οντότητες.
Πότε δεν εφαρμόζεται ο GDPR
Μία εταιρεία εξαιρείται του ευρωπαϊκού κανονισμού, όταν η έδρα της βρίσκεται εκτός Ευρωπαϊκής Ένωσης. Επίσης όταν παρέχει υπηρεσίες σε πελάτες εκτός Ευρωπαϊκής Ένωσης, ακόμα και όταν οι πελάτες της μπορούν να χρησιμοποιούν τις υπηρεσίες της ακόμα και εντός Ε.Ε. Επίσης, εάν η εταιρεία σας δεν απευθύνει ειδικά τις υπηρεσίες της σε φυσικά πρόσωπα εντός της Ε.Ε., εξαιρείται του κανονισμού.
Ποιες επιχειρήσεις αφορά η εφαρμογή του κανονισμού
Θα πρέπει τέλος να σημειώσουμε ότι η εφαρμογή του GDPR, δεν εξαιρεί καμία επιχείρηση. Αυτό σημαίνει ότι υπόχρεες στην τήρησή του είναι και οι μικρομεσαίες επιχειρήσεις.
Ωστόσο, οι μικρομεσαίες επιχειρήσεις δεν είναι υποχρεωμένες να σε αντίθεση με τις μεγάλες (άνω των 250 ατόμων):
-Να τηρούν αρχεία επεξεργασίας
-Να διορίζουν υπεύθυνο επεξεργασίας δεδομένων
Να εκτιμούν τον αντίκτυπο της επεξεργασίας δεδομένων