De la 25/ 05/ 2018, intra in vigoare GDPR – Regulamentul European 679/2016 privind prelucrarea datelor cu caracter personal. Acest articol raspunde celor mai frecvente intrebari primite de la clientii nostri cu privire la cum afecteaza acest regulament utilizarea Smart Bill de catre Dvs.
Pe langa acest articol am mai scris un altul in care raspundem unor intrebari mai tehnice pentru aceia care doresc sa aprofundeze subiectul.
In perioada pana la intrarea in vigoare a GDPR vom actualiza aceste articole cu mai multe intrebari si raspunsuri, dupa caz.
1. Este Smart Bill conform cu GDPR??
Conform analizei noastre interne, realizata impreuna cu consultanti externi pe partea juridica si tehnica, serviciile Smart Bill cu modific?rile f?cute pân? acum sunt conforme cu cerintele GDPR.
In acelasi timp trebuie sa va informam ca momentan nu exista nicio certificare de “conformitate GDPR” care sa fie acreditata de autoritatea romana in domeniu sau de alte autoritati din Uniunea Europeana, deci nu este posibil sa facem mai mult pentru a va demonstra acest lucru.
Din 18/ 05/ 2018 utilizatorii Smart Bill vor regasi o Anexa in cont, despre care va vom anunta si pe email, care vine in completarea contractului deja existent dintre noi (termenele si conditiile acceptate la crearea contului, care tin rol de contract) si care acopera cerintele impuse de GDPR.
Un numar foarte restrans de persoane din cadrul Smart Bill pot avea acces la date personale, iar aceia au contracte cu clauze foarte ferme de confidentialitate. Acest lucru a fost dintotdeauna valabil la Smart Bill, securitatea si confidentialitatea datelor fiind prima noastra prioritate.
2. Important de inteles legat de datele pe care le introduceti in Smart Bill: ce roluri avem fiecare dintre parti conform cerintelor GDPR.
Ca si in conformitate cu legea de pana acum, Clientul Smart Bill este Operatorul (data controller) – cel care stabileste scopul si mijloacele de prelucrare a datelor personale, iar Smart Bill este Imputernicit (Persoana imputernicita de operator; data processor) – care prelucreaza datele personale in numele Clientului.
Mai prozaic explicat, datele personale colectate de c?tre Client (adica de catre dumneavoastra) au fost, sunt si vor ramane datele dumneavoastra, iar Smart Bill doar va ajuta sa le prelucrati conform contractului dintre noi, contract care ramane in continuare in vigoare si care, incepand cu 18.05.2018 va primi o Anexa pe care o veti regasi in cont, asa cum am mentionat si mai sus.
3. Cum utilizeaza Smart Bill (imputernicitul) datele personale introduse de utilizatori (operatori)?
Nu prelucram datele personale ale clientilor (adica datele personale introduse de clienti in Smart Bill) decat in scopul furnizarii serviciilor oferite de Smart Bill – facturare, gestiune si, dupa caz, contabilitate, salarii.
4. Ce trebuie sa fac eu, Clientul Smart Bill (operatorul) pentru a fi conform GDPR cu facturarea?
Din punct de vedere al relatiei cu Smart Bill (imputernicitul) esti acoperit conform GDPR. Cu toate acestea este important sa stii ca tu ai rolul de operator, adica tu colectezi si introduci date in Smart Bill, datele sunt ale tale, ce si cum colectezi e raspunderea ta. Totusi sa privim partea plina a paharului: datele pentru facturare si gestiune sunt necesare conform legii, le colectezi pentru un scop clar definit si impus de lege, deci e perfect in regula sa le utilizezi in Smart Bill.
O nota personala, ca de la antreprenor la antreprenor: daca pentru facturare, gestiune, contabilitate introduci date impuse de lege intr-un program (Smart Bill) al unei societati cu un istoric de 11 ani si care investeste mult in securitate ai grija la alte programe/platforme unde introduci date personale ale clientilor, angajatilor, prospectilor etc. Grija sa nu iti pierzi sau sa ti se fure laptopul.
Daca in activitatea firmei colectezi date personale (atentie, datele unei firme nu sunt date personale, date personale sunt acelea prin care un om poate fi identificat) iti recomandam sa te documentezi legat de regulile impuse de GDPR, daca nu ai facut-o deja! Inclusiv datele angajatilor tai sunt date personale, GDPR nu e doar despre (potentiali) clienti.
5. Conform art. 28 GDPR, trebuie sa avem un contract scris intre noi?
Da, asa cum am mentionat mai sus, va vom pune la dispozitie contractul de prelucrare date personale Operator (Client) – Imputernicit (Smart Bill), ca Anexa1 la contractul principal, care este deja in vigoare si pe care il veti putea, desigur, descarca si salva.
6. Trebuie sa semnam acest contract? Il putem modifica?
Fiind vorba de o Anexa/Contract de adeziune la contractul nostru principal, acesta nu trebuie semnat. Avand in vedere ca nu putem semna contracte diferite de procesare cu fiecare client in parte, acest contract nu poate fi modificat, fiind un contract de adeziune propus de Smart Bill.
7. Trebuie sa avem pe hartie acest contract?
Conform art 28 (9) din GDPR prin forma scrisa se intelege inclusiv forma electronica.
8. Trebuie sa ne inscriem la Autoritate (ANSPDCP)? Trebuie Smart Bill sa fie înscris la Autoritate (ANSPDCP)?
Nu, conform GDPR, Clientul (Operatorul, adica Dvs) nu trebuie sa se inregistreze sau sa se notifice pentru prelucrarea datelor personale la Autoritatea romana competenta (ANSPDCP – www.dataprotection.ro) dup? 05/ 25/ 2018. De fapt orice notificare prealabila la Autoritate nu mai este necesar?.
Smart Bill a fost notificat in registrul de evidenta al ANSPDCP sub nr. 28436, in momentul in care acest lucru era cerut de legea romana in vigoare. Din 25 mai 2018, acest numar nu mai are nicio relevanta practica.
9. Datele din Smart Bill circula si sunt stocate numai in UE?
Da, datele stocate in Smart Bill se afla in datacenter-ele din Irlanda si Germania ale Amazon Web Services, Inc. Seattle, WA 98124-8423, US care este certificat in programul US-EU de data protection numit Privacy Shield. Amazon Web Services este cel mai important furnizor de infrastructura Cloud din lume si, evident, GDPR-compliant.
10. Dupa incheierea contractului cat timp sunt pastrate datele in Smart Bill
Datele sunt pastrate (arhivate) in Smart Bill timp de 6 luni de la momentul expirarii unui cont si implicit a contractului dintre noi. Am ales aceasta perioada pe baza experientei de pana acum pentru a putea oferi fostilor clienti posibilitata ca, la nevoie, sa aiba acces la date inca 6 luni de la incetarea contractului.
Poti citi mai multe intrebari si raspunsuri in acest articol.