De la 05/ 25/ 2018, intra in vigoare GDPR – Regulamentul European 679/2016 privind prelucrarea datelor cu caracter personal. Acest articol este o continuare a https://blog.smartbill.ro/facturarea-in-smart-bill-dupa-gdpr/ si urmareste sa raspunda unor intrebari mai tehnice venite din partea clientilor.
In perioada pana la intrarea in vigoare a GDPR vom actualiza, dupa caz, aceste articole cu mai multe intrebari si raspunsuri.
1. Aveti un Data Protection Officer/ Responsabil de protectia datelor la Smart Bill?
Conform art. 37 (1) b) din GDPR, obligatia de a avea un responsabil revine firmelor private care fac prelucrari ce necesita o “monitorizare periodica si sistematica”. Smart Bill nu face nicio monitorizare a Clientilor sau ale datelor persoanelor vizate colectate de catre Clienti, deci nu avem o obligatie legala de a avea Responsabil. Totusi, in functie de cum vor evolua lucrurile putem lua in calcul sa nominalizam o persoana.
2. Avem nevoie de ajutor in completarea evidentelor de prelucrare conform art. 30 GDPR. Ne puteti ajuta?
Operatorul ar trebui sa stie mai exact ce date personale colecteaza pentru facturi, gestiune sau, dupa caz contabilitate si salarizare, existand si posibilitatea ca nu toate datele sa fie prelucrate prin aplicatia Smart Bill. Daca credeti ca va ajuta, veti puteti sa gasiti in mod expres in contract (Anexa 1 la care am facut mai sus referire):
- categorii de persoane vizate – art. 4
- categorii de date personale – art. 3
- destinatari – Intelligent IT SRL / Smart Bill – servicii administrare facturi ?i/sau date salarizare.
- masuri de securitate specifice – art. 11
Alte informatii, cum ar fi scopul sau temeiul prelucrarii, trebuie s? fie stabilite de catre Client si/sau Operator.
3. Conform art. 28(1) GDPR, trebuie sa ne oferiti “garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate”. Ce ne puteti oferi in acest sens?
Securitatea datelor a fost prioritatea principala a Smart Bill inca de la lansare. In prezent investim in jur de 10.000 de euro/luna in infrastructura si securitate. Smart Bill este monitorizat si auditat periodic de experti in securitate cibernetica. Avem o echipa pregatita in permanenta de interventie. Suntem in proces de implementare a standardului ISO27001/17/18. Bazele de date pot fi accesate doar de pe IP-urile interne, de catre personalul desemnat sa faca aceste operatiuni.
4. Conform art. 13 GDPR trebuie sa ne ocupam de informarea persoanelor. Puteti sa o faceti pentru noi?
Nu, obligatia si raspunderea legala ii revin Operatorului (deci Clientului). Ar fi ilegal sa o facem noi in numele dumneavoastra si probabil nici nu am sti toate datele colectate.
Putem insa sa va ajutam cu informatii pe care trebuie sa le treceti in nota de informare:
- datele personale colectate ca urmare a procesului de abonare sau livrare de newsletter (art. 2 din Contract)
- numele tertilor care au acces la datele personale – printre care SC Intelligent IT SRL / Smart Bill servicii de generare, livrare si administrare facturi si/sau date salarizare.
5. Conform art. 33 din GDPR, trebuie sa notificam la autoritate in termen de 72 de ore de la un incident de securitate? In cat timp ne anuntati de un astfel de caz?
In primul rand trebuie lamurit faptul ca termenul notificarii incepe din momentul in care Operatorul a aflat de acest lucru (si nu din momentul incidentului sau din momentul in care Imputernicitul a aflat de acest incident).
Articolul 33 din GDPR spune precis "fara intarzieri nejustificate si, daca este posibil, in termen de cel mult 72 de ore de la data la care a luat cunostinta de acesta, cu exceptia cazului in care este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice".
Conform art. 33 alin. 2 GDPR, a opiniei Grupului de Lucru Art. 29 WP250rev01 si a contractului dintre Operator si Imputernicit, nu exista o obligatie legala de a avea un termen ferm, ci doar sa se faca "fara intarzieri nejustificate dupa ce ia cunostinta de o incalcare a securitatii datelor cu caracter personal."
Ca atare, in obligatia din art.10 din Anexa, am lasat acest termen "fara intarzieri nejustificate".
6. Conform articolului 6 din GDPR, trebuie sa obtinem consimtamantul persoanei vizate / sa gasim un temei juridic la procesarea datelor. Ne puteti ajuta?
Obligatia si raspunderea legala ii revin Operatorului (deci Clientului Smart Bill), ca si analiza juridica pentru a determina temeiul juridic corect pentru prelucrarea datelor, in functie de scopul ales de Client.
Totusi, va atragem atentia ca acordul persoanei (consimtamant) este doar unul dintre temeiurile legale, dar nu singurul (incerc sa explic aceasta propozitie intr-un limbaj mai simplu: in cele mai multe situatii colectarea datelor personale se face pe baza de consimtamant, cu toate acestea in anumite situatii, cum ar fi emiterea de facturi impun colectarea de date personale cu un scop impus de lege: intocmirea unui document contabil).
Analiza noastra arata ca temeiurile legale corecte ar putea fi:
- obligatia legala (Art. 6 (1) c) din GDPR) pentru datele personale colectate pentru facturare
- executarea unui contract si/sau obligatie legala – in functie de datele colectate (Art. 6. (1) b) si/sau c) din GDPR)
Va recomandam insa sa va faceti propria analiza, nu doar cu privire la temeiul legal, ci cu privire la toate obligatiile pe care le aveti conform GDPR – in special cu privire la colectarea excesiva a unor date mai mult decat ar fi necesar legal sau conform contractului.
7. Putem sterge sau modifica in Smart Bill date personale in cazul in care clientul isi retrage consimtamantul?
Datele colectate pentru utilizarea serviciilor Smart Bill sunt date de facturare si de contabilitate. Din punctul nostru de vedere consimtamantul nu ar trebui sa fie temeiul legal pentru colectare – deci nu vorbim despre retragerea consimtamantul .
Datele clientilor Dvs se pot sterge direct din SmartBill din nomenclatorul de clienti. Facturile se pot de asemenea sterge in urmatorul mod: una cate una pornind de la ultima (nu se pot sterge alte facturi decat ultima pentru a nu exista goluri in numerotare). Facturile si alte documente se pot si modifica.
Atentie: facturile sunt documente legale, daca le aduceti modificari asigurati-va ca atat in contabilitatea Dvs cat si in a clientului factura este 100% in aceiasi forma si de asemenea una conforma cu prevederile legale.
8. In cazul in care utilizati subprocesatori agreati, toate contractele Dvs. cu aceste parti sunt/vor fi actualizate pentru a se conforma cerintelor GDPR?
Da.
9. Daca este cazul, va fi utilizata o abordare de evaluare a impactului privind protectia datelor, care este conforma cu cerintele si recomandarile GDPR si cele mai bune practici relevante??
Nu este necesar un "Data protection impact assesment" pentru serviciile Smart Bill conform GDPR.
10. Are Smart Bill acordul nostru implicit prin contractul prezent de a procesa datele utilizatorilor altfel decât pentru facturarea produselor comandate si care sunt modurile în care sunt procesate aceste date (daca exista)?
Nu prelucram datele personale introduse de clienti in Smart Bill decat in scopul furnizarii servciiilor – smartbill facturare, gestiune sau , dupa caz, contabilitate si salarizare.