fbpx

Categorie: GDPR

A fost publicata legea 233/2019

In data de  28.11.2019, a fost publicata in Monitorul Oficial nr. 956, Legea 233 pentru modificarea Legii 190/2019 privind punerea in aplicarea a Regulamentului GDPR.

S-a modificat articolul 8,adaugandu-se ca scop de prelucrare si scopul statistic, care pana acum nu era specificat.

La articolul 8 din Legea nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor), publicata in Monitorul Oficial al Romaniei, Partea I, nr. 651 din 26 iulie 2018, alineatul (1) se modifica si va avea urmatorul cuprins:

“(1) Prevederile art. 15, 16, 18 si 21 din Regulamentul general privind protectia datelor nu se aplica in cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, in masura in care drepturile mentionate la aceste articole sunt de natura sa faca imposibila sau sa afecteze in mod grav realizarea scopurilor specifice, iar derogarile respective sunt necesare pentru indeplinirea acestor scopuri.”

Textul din Legea 190, art 8, alineat 1: 

(1)Prevederile art. 15, 16, 18 şi 21 din Regulamentul general privind protecţia datelor nu se aplică în cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare ştiinţifică sau istorică, în măsura în care drepturile menţionate la aceste articole sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

Datele obligatorii pe care factura fiscala trebuie sa le contina

Codul Fiscal – Actualizat in 2018 ART. 319 – Facturarea

Factura cuprinde în mod obligatoriu următoarele informaţii:
a) numărul de ordine, în baza uneia sau a mai multor serii, care identifică factura în mod unic;
b) data emiterii facturii;
c) data la care au fost livrate bunurile/prestate serviciile sau data încasării unui avans, în măsura în care această dată este anterioară datei emiterii facturii;
d) denumirea/numele, adresa şi codul de înregistrare în scopuri de TVA sau, după caz, codul de identificare fiscală ale persoanei impozabile care a livrat bunurile sau a prestat serviciile;
e) denumirea/numele furnizorului/prestatorului care nu este stabilit în România şi care şia desemnat un reprezentant fiscal, precum şi denumirea/numele, adresa şi codul de înregistrare în scopuri de TVA, conform art. 316, ale reprezentantului fiscal;
f) denumirea/numele şi adresa beneficiarului bunurilor sau serviciilor, precum şi codul de înregistrare în scopuri de TVA sau codul de identificare fiscală al beneficiarului, dacă acesta este o persoană impozabilă ori o persoană juridică neimpozabilă;
g) denumirea/numele beneficiarului care nu este stabilit în România şi care şi-a desemnat un reprezentant fiscal, precum şi denumirea/numele, adresa şi codul de înregistrare prevăzut la art. 316 ale reprezentantului fiscal;
h) denumirea şi cantitatea bunurilor livrate, denumirea serviciilor prestate, precum şi particularităţile prevăzute la art. 266 alin. (3) în definirea bunurilor, în cazul livrării intracomunitare de mijloace de transport noi;
i) baza de impozitare a bunurilor şi serviciilor ori, după caz, avansurile facturate, pentru fiecare cotă, scutire sau operaţiune netaxabilă, preţul unitar, exclusiv taxa, precum şi rabaturile, remizele, risturnele şi alte reduceri de preţ, în cazul în care acestea nu sunt incluse în preţul unitar;
j) indicarea cotei de taxă aplicate şi a sumei taxei colectate, exprimate în lei, în funcţie de cotele taxei;
k) în cazul în care factura este emisă de beneficiar în numele şi în contul furnizorului, menţiunea “autofactură;”
l) în cazul în care este aplicabilă o scutire de taxă, trimiterea la dispoziţiile aplicabile din prezentul titlu ori din Directiva 112 sau orice altă menţiune din care să rezulte că livrarea de bunuri ori prestarea de servicii face obiectul unei scutiri;
m) în cazul în care clientul este persoana obligată la plata TVA, menţiunea “taxare inversă”;
n) în cazul în care se aplică regimul special pentru agenţiile de turism, menţiunea “regimul marjei – agenţii de turism”;
o) dacă se aplică unul dintre regimurile speciale pentru bunuri second-hand, opere de artă, obiecte de colecţie şi antichităţi, una dintre menţiunile “regimul marjei – bunuri second-hand”, “regimul marjei – opere de artă” sau “regimul marjei – obiecte de colecţie şi antichităţi”, după caz;
p) în cazul în care exigibilitatea TVA intervine la data încasării contravalorii integrale sau parţiale a livrării de bunuri ori a prestării de servicii, menţiunea “TVA la încasare”;
r) o referire la alte facturi sau documente emise anterior, atunci când se emit mai multe facturi ori documente pentru aceeaşi operaţiune.

Ce indatoriri are un Operator de date în relația cu Împuternicitul

Unul dintre aspectele mai dificile ale #GDPR-ului este stabilirea raportului dintre entitatile juridice, respectiv raspunsul la intrebarea “Cine sunt eu in relatia cu partenerul de afaceri si ce trebuie sa stiu/sa fac cand vine vorba despre protectia datelor cu caracter personal?”

In teorie lucrurile sunt simple, legea 679/2016 stabilind foarte clar in Capitolul 4  obligatiile operatorului si persoanei imputernicite de acesta.

 

Ce indatoriri are Operatorul? Dar Persoana Imputernicita?

Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

Esti OPERATOR daca stabilesti scopul si mijloacele prelucrarii. Esti Imputernicit cand prelucrezi datele cu caracter personal puse la dispozitie de Operator, numai in numele acestuia si conform instructiunilor operatorului ( de ex, relatia Firma – Contabil externalizat, sau Firma – Companie PayRoll )

Aderarea la coduri de conduită aprobate, menționate la articolul 40, sau la un mecanism de certificare aprobat, menționat la articolul 42 din GDPR, poate fi utilizată ca element care să demonstreze respectarea obligațiilor de către operator. ( de ex implementarea Sistemului de Management al Securităţii Informaţiei conform ISO/IEC 27001:2013  )

De RETINUT!
Dacă societatea/organizația dvs. decide „de ce” și „cum” ar trebui prelucrate datele cu caracter personal, aceasta este operatorul de date. Angajații care prelucrează date cu caracter personal în cadrul organizației dvs. fac acest lucru pentru a îndeplini sarcinile dvs. în calitate de operator de date.

Daca esti Operator de date cu caracter personal, esti obligat sa contractezi procesatori de date/imputernici care ofera dovezi clare ca au implementat cerintele GDPR si au garantii clare privind implementarea de masuri organizatorice si tehnice – securitatea datelor .

Imputernicitul, pe de alta parte, trebuie sa se asigure ca a implementat masuri de securitate, ca nu contracteaza cu un alt subimputernicit fara
a solicita, in primul rand, acordul operatorului, trebuie sa raporteze orice incident de securitate si nu trebuie sa se abata de la instructiunile pe care operatorul i le-a trasat.

Cu toate acestea, în cazul grupurilor de întreprinderi, o întreprindere poate îndeplini rolul de persoană împuternicită de operator pentru o altă întreprindere.

Atribuțiile persoanei împuternicite de operator în raport cu operatorul trebuie precizate într-un contract sau într-un alt act juridic. De exemplu, contractul trebuie să precizeze ce se întâmplă cu datele cu caracter personal în momentul încetării contractului. O activitate tipică a persoanelor împuternicite de operatori este furnizarea de soluții informatice, inclusiv de stocare în cloud. Persoana împuternicită de operator poate subcontracta o parte a sarcinii sale la o altă persoană împuternicită de operator sau poate numi o persoană asociată împuternicită de operator numai dacă a primit în prealabil o autorizație scrisă din partea operatorului de date.

Există situații în care o entitate poate fi operator de date, persoană împuternicită de operator sau ambele.

 

In cazul in care ai intrebari, ma poti contacta oricand prin chat-ul de mai jos, prin email  sau pe Facebook.

25 mai, ZIUA Z :) – Ce trebuie să știe persoanele vizate

Suntem în 25 mai și toate persoanele implicate în implementarea GDPR-ului așteaptă.
“Ce va fi, cum va fi, am toate documentele, sunt acoperita cu procedura x sau ploitica y?”

Ce trebuie să știți despre GDPR dupa 25 mai?

– GDPR este un regulament impus de Uniunea Europeana si se aplica in toata statele din Comunitatea Europeana,

– Este un Regulament care aduce reglementari asupra modului în care sunt folosite datele cu caracter personal de catre companii și sub-contractorii acestor companii, iar unul dintre principiile pe care trebuie să le respecte acestea este TRANSPARENTA.
Lipsa ambiguități în comunicarea dintre entitățile juridice și persoanele fizice este de azi o obligație pe care companiile ( și toate entitatile juridice: asociații, ONG uri, partide politice, corporații, instituții publice, instituții de invățămant)  trebuie să o respecte. Neconformarea atrage amenzi uriașe.

Persoanele vizate, adică persoanele fizice ( eu, tu , vecina, colegul ) … AU DREPTURI. Care sunt acestea?

    1. dreptul la informare și acces;
    2. dreptul de  intervenție asupra datelor;
    3. dreptul la rectificare;
    4. dreptul la ștergerea datelor;
    5. dreptul la restricționarea prelucrarii;
    6. dreptul la portabilitatea datelor;
    7. dreptul de opoziție și procesul decizitional individual automatizat, inclusiv crearea de profiluri;
    8. dreptul de a depune o plângere în fața autorității de supraveghere  (www.dataprotection.ro).

 

Cam cât vor investi companiile pentru implementarea GDPR?

La șase luni de la data lansării liniilor directoare cu privire la Regulamentul 679/2016, PwC a analizat 200 de  companii din SUA pentru a evalua modul în care acestea planifică/bugetează implementarea GDPR.

Rezultatele au arătat că majoritatea firmelor consideră implementarea cerințelor GDPR drept principala lor prioritate în domeniul protecției datelor cu caracter personal, 76% dintre acestea fiind pregătite să cheltuiască peste 1 milion USD pentru a deveni GDPR compliant.

Acest lucru demonstrează că, datorită prezenței în UE, marile corporații se confruntă serios cu respectarea GDPR. Nici nu ma miră având în vedere riscul de a fi amendat cu 4% din cifra globală de afaceri.
Sunt curioasă care este bugetul companiilor din România pentru GDPR și cum vor profita de modul în care sunt compliant comparativ cu firmele concurente care poate nu sunt încă.

Ce mai presupune implementarea regulementului 679/2016?

Modificări la site și la sistemele interne ale firmelor. Un studiu din 2014 calculase că politica de notificare a vizitatorilor asupra folosirii cookie-urilor (cea pe care GDPR vine să o înlocuiască) genera o cheltuială anuală de peste 2 miliarde de euro în cadrul Uniunii Europene. 
Costul investit în aducerea site-ului și a sistemelor interne în conformitate cu reglementările în vigoare fusese atunci estimat la €900/ site.

Cheltuielile pentru conformarea la GDPR

  • dpo-ul – extern sau intern,
  • programatorul/compania externalizata pentru udatarea aspectelor tehnice legate de site si baza de date,
  • consultanți legali și avocați,
  • complexitatea întregului proces,
  • costuri pentru mentenanta ulterioara implementarii GDPR.

Cât a cheltuit compania ta până acum pentru a deveni conformă GDPR?

Câteva aspecte legate de Evaluarea impactului privind protecția datelor (DPIA)

Ce este Evaluarea impactului privind protecția datelor, adică DPIA?

  • Un instrument / proces care ajută organizațiile să identifice și să reducă riscurile de cu privire la confidențialitatea datelor cu caracter personal ale noilor proiecte, sisteme sau politici
  • Un tip de evaluare a impactului realizat de o organizație, prin auditarea propriilor procese pentru a vedea cum aceste procese afectează sau pot compromite intimitatea persoanelor ale căror date le deține, colectează sau procesează date cu caracter personal.
  • DPIA este concepută pentru a atinge trei obiective:
    • Asigurați conformitatea cu cerințele legale, de reglementare și de politică aplicabile privind confidențialitatea;
    • Determinați riscurile și efectele;
    • Evaluați protecția și procesele alternative pentru a atenua riscurile potențiale cu privire la confidențialitate.

Când se efectuează o asemenea evaluare a impactului – DPIA?

  • La lansarea unui nou proiect care implică colectarea de date cu caracter personal;
  • La introducerea de noi sisteme informatice pentru stocarea și accesarea informațiilor personale;
  • Cand participați la un proiect nou ce implica  schimb de date cu caracter personal cu alte organizații;
  • Utilizați datele personale existente pentru un scop nou sau un scop mai intruziv
  • Cand prelucrarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor.

Ce conține evaluarea DPIA?

Evaluarea conține cel puțin:

  • o descriere sistematică a operațiunilor de prelucrare preconizate și a scopurilor prelucrării, inclusiv, după caz, interesul legitim urmărit de operator;
  • o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri;
  • o evaluare a riscurilor pentru drepturile și libertățile persoanelor vizate menționate la alineatul (1); și
  • măsurile preconizate în vederea abordării riscurilor, inclusiv garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze conformitatea cu dispozițiile prezentului regulament, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale altor persoane interesate.

 

 

Informații suplimentare despre DPIA puteți gasi și în documentul acesta ghid_dpia_ro  sau uite mai jos textul din Regulament

GDPR – Despre obligațiile operatorului. Contractul dintre operator si procesator

 

  • Alegerea procesatorului – responsabilitatea operatorului
  • Stabilirea prin contract/act obligatoriu a caracteristicilor privind prelucrarea datelor
  • Formă scrisă, inclusiv electronică, pe site
  • Conținut minim:
    • obiectul și durata prelucrării,
    • natura și scopul prelucrării,
    • tipul de date cu caracter personal
    • categoriile de persoane vizate
    • drepturile și obligațiile operatorului
  • Clauze standard: certificare; emise de Comisia Europeană sau AS
  • Simpla existență a contractului cu procesatorul nu înlătură răspunderea operatorului, depinde de prevederi și de verificarea respectării

Note: 

Dacă procesatorul încalcă GDPR, determinând scopul și mijloacele de prelucrare, devine operator.
Nu se asimilează lipsei de instrucțiuni clare din partea operatorului.