Τι είναι το GDPR

Στις 25 Μαΐου του 2018 ενεργοποιείται και τίθεται σε άμεση και υποχρεωτική εφαρμογή η πιο σημαντική Ευρωπαϊκή νομοθεσία που αφορά στην προστασία δεδομένων τα τελευταία 20 χρόνια. Ο Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων (GDPR) αντικαθιστά την από 1995 Ευρωπαϊκή Οδηγία περί Προστασίας Δεδομένων.

Η προηγούμενη Ευρωπαϊκή νομοθεσία περί Προστασίας Δεδομένων σχεδιάστηκε και τέθηκε σε εφαρμογή πριν 20 χρόνια. Την εποχή εκείνη το Διαδίκτυο δεν είχε διεισδύσει σημαντικά στην καθημερινή μας ζωή, η ψηφιακή αποθήκευση, ανταλλαγή και επεξεργασία δεδομένων ήταν πολύ περιορισμένη και τα Μέσα Κοινωνικής Δικτύωσης δεν υπήρχαν. Το Cloud Computing ήταν μια μακρινή ιδέα και η ιδιωτικότητα του ατόμου στο Διαδίκτυο δεν ήταν σε απειλή.

20 χρόνια μετά η κατάσταση έχει αλλάξει δραματικά και έτσι η ανάγκη για μια Ευρωπαϊκή κοινή νομοθεσία που να προστατεύει τα ατομικά δικαιώματα και τα προσωπικά δεδομένα είναι πιο επιβεβλημένη από ποτέ.

Ο νέος κανονισμός αυξάνει σημαντικά τις υποχρεώσεις των επιχειρήσεων, ενώ το μέγεθος των προβλεπόμενων προστίμων τον τοποθετεί πολύ υψηλά στην ατζέντα της ανώτατης διοίκησης. Σε περίπτωση παράβασης προβλέπονται σημαντικά αυξημένα πρόστιμα, που ανάλογα με το είδος και το μέγεθός της, φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Υπάρχουν διάφορες υποχρεώσεις που παρουσιάζονται από τον Ευρωπαϊκό κανονισμό (GDPR) σχετικά με τους ελέγχους και την ασφάλεια γύρω από τη διαχείριση των προσωπικών δεδομένων. Ο κανονισμός υποχρεώνει τον επεξεργαστή ή τον υπεύθυνο επεξεργασίας δεδομένων να «εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα» για να τις αντιμετωπίσει.

Ποιους αφορά

Αφορά εταιρείες, ανεξαρτήτου μεγέθους και δραστηριότητας, οι οποίες συλλέγουν, κατέχουν και επεξεργάζονται μέσα στο πλαίσιο των δραστηριοτήτων τους, έμμεσα ή άμεσα, προσωπικά δεδομένα πολιτών της Ευρωπαϊκής Ένωσης.

Επιπλέον ο συγκεκριμένος κανονισμός αφορά και επιχειρήσεις με έδρα ακόμα και εκτός της Ε.Ε., εφόσον κατέχουν στοιχεία των πολιτών της.


Η 25η Μαΐου είναι υποχρεωτική;

Από τις 25 Μαΐου 2018 και μετά, θεμελιώνονται τα δικαιώματα και οι υποχρεώσεις που προβλέπει ο Κανονισμός. Δεν είναι απαραίτητο να αποδείξει κάποιος ότι στις 25 Μαΐου είχε προσαρμοστεί σε όσα προβλέπει ο Κανονισμός, αλλά από την ημερομηνία αυτή και μετά θα ενδέχεται να ελεγχθεί -βάσει π.χ. κάποιας καταγγελίας- και θα πρέπει να είναι σύννομος με τον Κανονισμό.

Ο κανονισμός τίθεται σε υποχρεωτική εφαρμογή για όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης από 25/05/2018

Ποια δεδομένα θεωρούνται «Προσωπικά»

Σύμφωνα με τον GDPR προσωπικά δεδομένα θεωρούνται οι πληροφορίες που συνδέονται με ένα εν ζωή φυσικό πρόσωπο έμμεσα ή άμεσα όπως:

  • Στοιχεία αναγνώρισης (ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση κλπ.)
  • Εκπαίδευση
  • Εργασία (προϋπηρεσία, εργασιακή συμπεριφορά κλπ)
  • Οικονομική κατάσταση (έσοδα, περιουσιακά στοιχεία, οικονομική συμπεριφορά)
  • Ενδιαφέροντα, δραστηριότητες, Συνήθειες
  • Διεύθυνση email
  • Προσωπικοί αριθμοί εγγράφων (Αριθμός δελτίου ταυτότητας, διαβατηρίου, ΑΦΜ, ΑΜΚΑ κλπ.)
  • Αριθμοί πιστωτικών και χρεωστικών καρτών κλπ.

Σημείωση: Τα δεδομένα νομικών προσώπων δεν θεωρούνται προσωπικά δεδομένα. Αντίθετα τα δεδομένα μιας ατομικής επιχείρησης ή μιας μονοπρόσωπης εταιρίας (π.χ. ενός Λογιστή) θεωρούνται προσωπικά.

Τα δεδομένα όλων των εργαζόμενων μιας επιχείρησης, τα δεδομένα των πελατών της επιχείρησης (πλην αυτών που έχουν νομική μορφή) και των προμηθευτών της αντίστοιχα, όλα υπόκεινται στο νέο Κανονισμό.

Ποια δεδομένα θεωρούνται «Ευαίσθητα»

Ευαίσθητα χαρακτηρίζονται τα προσωπικά δεδομένα ενός ατόμου που αναφέρονται:

  • στη φυλετική ή εθνική του προέλευση
  • στα πολιτικά του φρονήματα
  • στις θρησκευτικές ή φιλοσοφικές του πεποιθήσεις
  • στη συμμετοχή του σε συνδικαλιστική οργάνωση
  • στην υγεία του
  • στην κοινωνική του πρόνοια
  • στην ερωτική του ζωή
  • τις ποινικές διώξεις και καταδίκες του

καθώς και στη συμμετοχή του σε συναφείς με τα ανωτέρω ενώσεις προσώπων.

Τα ευαίσθητα δεδομένα προστατεύονται από τον Νόμο με αυστηρότερες ρυθμίσεις από ότι τα απλά προσωπικά δεδομένα.

Παραδείγματα προσωπικών δεδομένων που διαχειρίζεται το Λογιστικό Γραφείο

+ κάποιο στοιχείο που μπορεί να οδηγήσει σε όλα τα παραπάνω.

ΠΑΡΑΔΕΙΓΜΑ: ένα από τα προσωπικά δεδομένα που διαχειρίζονται όλοι οι Λογιστές -και το υπαλληλικό τους προσωπικό- είναι οι κωδικοί του Τaxis και των ασφαλιστικών ταμείων, οι οποίοι οδηγούν σε ένα πλήθος προσωπικών και ευαίσθητων δεδομένων.

Ποια είναι τα σημαντικότερα σημεία του νέου κανονισμού

Άρθρο15

Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

Στο άρθρο αυτό περιγράφεται η ανάγκη για ανεμπόδιστη πρόσβαση του ιδιοκτήτη των δεδομένων σε αυτά. Δηλαδή την πλήρη αναφορά του συνόλου των δεδομένων στον ενδιαφερόμενο σε κατανοητή μορφή.

Άρθρο16

Δικαίωμα διόρθωσης

Δυνατότητα άμεσης διόρθωσής τους όταν παρατηρηθεί λάθος αλλά και την συμπλήρωση τους.

Άρθρο17

Δικαίωμα διαγραφής

Θα πρέπει να υπάρχει δυνατότητα διαγραφής τους όταν δεν είναι πια απαραίτητα με την προϋπόθεση ότι το επιτρέπει ο νόμος. Για παράδειγμα φορολογικά στοιχεία που απαιτούνται από τον ΚΒΣ μπορούν να διατηρηθούν.

Άρθρο20

Δικαίωμα στη φορητότητα των δεδομένων

Τα δεδομένα θα πρέπει να έχουν τη δυνατότητα μεταφοράς τους όταν το επιθυμεί ο ιδιοκτήτης. Οι επιχειρήσεις έχουν την υποχρέωση να παρέχουν στον ιδιοκτήτη των δεδομένων όταν τους ζητηθεί το σύνολο των δεδομένων τους σε κοινά αποδεκτή ηλεκτρονική μορφή (π.χ. CSV files).

Άρθρο25

Προστασία των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού

Βάσει του κανονισμού περιγράφεται ότι οι κατασκευαστές software θα πρέπει να παρέχουν λύσεις και προϊόντα τα οποία όχι μόνο είναι συμβατά με τα όσα -ο κανονισμός- ορίζει αλλά και τεχνικά να είναι σχεδιασμένα με έναν τρόπο που να εξυπηρετεί τις ανάγκες προστασίας των δεδομένων (π.χ. πρωτόκολλα ασφαλείας, κρυπτογράφηση κλπ)

Άρθρο30

Αρχεία των δραστηριοτήτων επεξεργασίας

Θα πρέπει να υπάρχει σωστή πληροφόρηση για την επεξεργασία τους. Δηλαδή πλήρη και σαφή ενημέρωση κατά τη συλλογή των Δεδομένων για την επεξεργασία τους.

Άρθρο32

Ασφάλεια επεξεργασίας

Πρέπει να εξασφαλίζεται ότι η επεξεργασία των δεδομένων όχι μόνο δύναται να εκτελεστεί από εξουσιοδοτημένους χρήστες (διαβάθμιση δικαιωμάτων) αλλά και η επεξεργασία ως διαδικασία δεν θέτει σε κίνδυνο την προστασία των δεδομένων κατά τον τρόπο που ορίζουν τα υπόλοιπα άρθρα του κανονισμού (π.χ. ιχνηλασιμότητα και ιστορικότητα στην επεξεργασία)

Πως επηρεάζει το GDPR το Λογιστικό Γραφείο

Τα Λογιστικά Γραφεία, από τη φύση των δραστηριοτήτων τους, κατέχουν, επεξεργάζονται και διακινούν δεδομένα προσωπικού και ευαίσθητου χαρακτήρα. Σε πολλές περιπτώσεις μάλιστα αυτό συμβαίνει και σε μεγάλη κλίμακα και ουσιώδες μέγεθος.

Συνεπώς, τα Λογιστικά Γραφεία αποτελούν από τους σημαντικότερους φορείς / κλάδους που θα πρέπει με βάσει το νέο Κανονισμό να ενημερωθούν και να προσαρμοστούν σε αυτόν.

Ενδεικτικά, πρακτικές οι οποίες θα πρέπει να ακολουθηθούν είναι οι εξής:

  • Να τηρούν τις βασικές αρχές προστασίας των προσωπικών δεδομένων
  • Να συλλέγουν δεδομένα για συγκεκριμένο νόμιμο σκοπό και μόνο αυτά που είναι απαραίτητα
  • Να λαμβάνουν τη σαφή συγκατάθεση των φυσικών προσώπων που τα αφορούν
  • Να μην υποβάλλουν τα δεδομένα σε περαιτέρω επεξεργασία η οποία είναι ασύμβατη με τον σκοπό
  • Να επικαιροποιούν τα δεδομένα
  • Να τα αποθηκεύουν για το ελάχιστο χρονικό διάστημα που απαιτείται
  • Να δίνουν πρόσβαση σε συνεργάτες τους μόνο υπό συγκεκριμένες συνθήκες και φυσικά με την απόδειξη της συμμόρφωσής τους με τον Κανονισμό
  • Να εξασφαλίζουν την ασφάλεια των προσωπικών δεδομένων σε όλο τον κύκλο της ζωής τους

Η σημασία του GDPR για τους πελάτες σας

Καθώς ο νέος Κανονισμός ως επίκεντρο έχει την προστασία των προσωπικών δεδομένων των πολιτών (Φυσικών Προσώπων) κάθε πελάτης σας, επιτηδευματίας ή μη, έχει ιδιαίτερο ενδιαφέρον (είτε κατά συνείδηση είτε κατά τα όσα ορίζει ο Νόμος) στο να συναλλάσσεται και να συνεργάζεται με επαγγελματίες που θα συμμορφώνονται στη νομοθεσία και θα προστατεύουν τα δεδομένα τους.

Είτε πρόκειται για κατ’ αποκοπή εργασίες που απαιτούν προσωρινή πρόσβαση και επεξεργασία στα δεδομένα τους (π.χ. η ετήσια φορολογική δήλωση ενός Φυσικού Προσώπου), είτε πρόκειται για επεξεργασία και τήρηση δεδομένων βάσει σύμβασης (π.χ. επιτηδευματίες & επιχειρήσεις που παρακολουθούνται Λογιστικά), τα Λογιστικά Γραφεία έχουν ευθύνη και υποχρέωση να εφαρμόζουν τις απαραίτητες πρακτικές βάσει της νέας Νομοθεσίας.

Τί πρέπει να προσέξετε κατά τη διάρκεια των Δηλώσεων Φ.Ε. με τους πελάτες σας

Σύμφωνα με τα όσα ορίζει ο Κανονισμός, δεν είναι απαραίτητο να υπογράψετε κάποια ειδική Σύμβαση / Δήλωση Συναίνεσης με τους πελάτες σας με τους οποίους διατηρείτε μόνιμη επαγγελματική σχέση και που ενδεχομένως έχετε ήδη κάποια έγγραφη Σύμβαση Συνεργασίας (σ.σ. επιτηδευματίες για τους οποίους τηρείται βιβλία, υπολογίζετε Μισθοδοσία κλπ).

ΥΠΟΔΕΙΓΜΑ ΔΗΛΩΣΗΣ ΣΥΝΑΙΝΕΣΗΣ

Αντίθετα, οι φορολογούμενοι που έρχονται μία φορά το χρόνο με αποκλειστικό σκοπό την ετοιμασία και υποβολή της δήλωσης εισοδήματός τους, θα πρέπει με βάση τον Κανονισμό να έχετε υπογεγραμμένη Δήλωση Συναίνεσης / Συγκατάθεσής τους που θα σας επιτρέπει να διαχειριστείτε τα Προσωπικά τους Δεδομένα.

Στην ίδια λογική περιλαμβάνονται και οι υποχρεώσεις σας με Φ.Π. για παρεμφερείς κατ’ αποκοπή εργασίες.

Η ασφάλεια της Epsilon Net

Η Epsilon Net λειτουργεί ως οργανισμός, παράγει υπηρεσίες και προϊόντα, απόλυτα συμβατά με τα όσα ορίζει ο νέος Κανονισμός.

Ειδικά σε ότι αφορά τα Λογιστικά Γραφεία, σας παρέχει όλες τις λύσεις, τα εργαλεία και τη διασφάλιση που χρειάζεστε για τη συμβατότητά σας σύμφωνα με το GDPR.

Παρακάτω μπορείτε να δείτε τους τρόπους με τους οποίους σας εξασφαλίζουμε για τα δεδομένα που τηρείτε και επεξεργάζεστε στην επιχείρησή σας:

NORMAL SECURITY

Όλες οι εφαρμογές μας έχουν τη δυνατότητα διαγραφής των δεδομένων που τηρούνται σε αυτές
Οι εταιρείες / υπόχρεοι που τηρείτε στις εφαρμογές μας μπορούν να εξαχθούν με όλα τα δεδομένα τους σε προσπελάσιμη / ανοικτή μορφή με σκοπό τη φορητότητά τους
Οι εφαρμογές μας σας παρέχουν τη δυνατότητα αυτόματης δημιουργίας της Δήλωσης Αποδοχής που χρειάζεται να έχετε συμβατικά με τους πελάτες σας, ώστε να είστε κατοχυρωμένοι για τα δεδομένα που τηρείτε και επεξεργάζεστε στο Λογιστικό σας Γραφείο.

MIDDLE-LEVEL SECURITY

Διαθέτουν Reporting που σας υποδεικνύουν τα προσωπικά δεδομένα για τα οποία έχει παρέλθει ο χρόνος τήρησης και τα οποία μπορείτε επιλεκτικά να ανωνυμοποιήσετε
Σε όλα μας τα προϊόντα υπάρχει εκτεταμένο σύστημα διάκρισης χρηστών και διαβάθμισης των δικαιωμάτων τους, σε επίπεδο φορμών, δικαιωμάτων πάνω στις φόρμες αλλά και δεδομένων (π.χ. πρόσβαση/εξαίρεση σε μεμονωμένες εταιρείες)
Τα προϊόντα μας παρέχουν μηχανισμούς πλήρους καταγραφή κινήσεων και ιστορικότητας αλλαγών σε όλα τα σημεία προσωπικά δεδομένα που τηρούνται σε αυτές (π.χ. ποιος χρήστης πραγματοποίησε ποια αλλαγή σε ποια στοιχεία, ποια στιγμή κλπ)

HIGH-LEVEL SECURITY

Τα δεδομένα αποθηκεύονται σε κρυπτογραφημένη βάση δεδομένων, η οποία δε μπορεί να ανακτηθεί και να προσπελαστεί με κανέναν τρόπο σε άλλον μη-εξουσιοδοτημένο υπολογιστή
Όλες οι επικοινωνίες και η διακίνηση οποιουδήποτε δεδομένου γίνεται μέσω Internet, πραγματοποιείται αποκλειστικά μέσω ασφαλών και κρυπτογραφημένων συνδέσεων (SSL)
Η ανάγκη αποστολής δεδομένων από εσάς προς την Epsilon Net με σκοπό τον έλεγχο ή την επεξεργασία (π.χ. θέμα υπολογισμού Εκκαθάρισης Φ.Ε., αποστολή βάσης δεδομένων για τεχνικό έλεγχο) καλύπτεται από δυνατότητα ανωνυμοποίησης των προσωπικών σας δεδομένων
Όλες οι λειτουργίες των εφαρμογών μας (π.χ. Υποβολή Εντύπων στην ΑΑΔΕ, αναγνώριση στοιχείων παραστατικού μέσω του Digital Accounting κλπ) πραγματοποιούνται τοπικά από τον Η/Υ σας και χωρίς τη -σε κανένα στάδιο-μεταβίβαση δεδομένων στην Epsilon Net ή σε Τρίτους μη εξουσιοδοτημένους από εσάς για το σκοπό αυτό (π.χ. κάποια Online Υπηρεσία ψηφιακής αναγνώρισης κειμένου-OCR)
QUIZ: ΠΟΣΟ ΕΤΟΙΜΟΙ ΕΙΣΤΕ ΓΙΑ ΤΟ GDPR;