Φοροδοξίες: Γνωρίζετε ότι... Οι νέες υποχρεώσεις των επιχειρήσεων για την προστασία προσωπικών δεδομένων
17 Σεπ 2017
Γνωρίζετε ότι:
Προστασία προσωπικών δεδομένων
Από 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Κανονισμός της Ευρωπαϊκής Ένωσης ((ΕΕ) 2016/679, “General Data Protection Regulation”) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένωνπροσωπικού χαρακτήρα. Στην έννοια των παραπάνω δεδομένων εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, όπως ενδεικτικά το ονοματεπώνυμο, η διεύθυνση κατοικίας, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση, τα ψηφιακά ίχνη κλπ. Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στην φυλετική ή εθνική του προέλευση, στην υγεία του κλπ. Με τον παραπάνω Κανονισμό εισάγονται αυξημένες υποχρεώσεις και περιορισμοί για τις επιχειρήσεις που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.
Αυστηρές είναι οι κυρώσεις που προβλέπονται σε περιπτώσεις παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ιλιγγιώδους ποσού των €20 εκ. ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του Ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο). Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου εξετάζονται διάφορα κριτήρια, όπως ενδεικτικά η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.α.Οι επιχειρήσεις που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις τους.
Μεταξύ των υποχρεώσεων που εισάγει ο Κανονισμός περιλαμβάνονται: α) η δημιουργία μητρώου, όπου θα τηρούνται απαραίτητες πληροφορίες, όπως ενδεικτικά ο σκοπός της επεξεργασίας των δεδομένων, ο τύπος των δεδομένων, οι κατηγορίες των δραστηριοτήτων επεξεργασίας κλπ., β) ο ορισμός ενός προσώπου ως Υπεύθυνου Επεξεργασίας Δεδομένων (“Data Protection Officer- DPO”), υποχρέωση που ισχύει για επιχειρήσεις που διατηρούν ή επεξεργάζονται δεδομένα σε συστηματική βάση ή σε μεγάλη κλίμακα, γ) η διενέργεια ειδικών αξιολογήσεων προστασίας δεδομένων (Data Protection Impact Assessments – DPIAs) όταν το είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των προσώπων, όπως για παράδειγμα όταν γίνεται χρήση νέων τεχνολογιών.
Ο Κανονισμός προβλέπει την υποχρέωση αναφοράς όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο. Για να ανταποκριθούν επαρκώς στην παραπάνω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες.
Κάθε πρόσωπο δικαιούται να ζητήσει τη διαγραφή των προσωπικών του δεδομένων από την ηλεκτρονική βάση της επιχείρησης, εφόσον δεν υφίσταται λόγος που να δικαιολογεί τη συνεχιζόμενη διατήρηση ή επεξεργασία τους. Εξαίρεση προβλέπεται σε περιπτώσεις, όπου ο ίδιος ο νόμος απαιτεί τη διατήρηση ή επεξεργασία των δεδομένων αυτών. Επίσης, κάθε πρόσωπο έχει δικαίωμα πρόσβασης, ενημέρωσης ή και διόρθωσης των προσωπικών του δεδομένων, ενώ μπορεί υπό προϋποθέσεις να ζητήσει και την μεταφορά τους σε άλλη υπηρεσία ή επιχείρηση μέσω αυτοματοποιημένης διαδικασίας. Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει τη ρητή συγκατάθεση ενός ατόμου για τη λήψη ή χρήση των προσωπικών του δεδομένων. Η λήψη της συγκατάθεσης πρέπει να γίνεται με κατανοητό προς το άτομο τρόπο και μέσω της χρήσης ευκρινών μέσων.
Η καταγραφή των προσωπικών δεδομένων που συλλέγει μία επιχείρηση, ο τρόπος που αυτά αποκτήθηκαν και οι δίαυλοι επικοινωνίας μέσω των οποίων διακινούνται, αποτελεί κρίσιμη διαδικασία και πολύ σημαντικό βήμα για την προετοιμασία μίας επιχείρησης στο πλαίσιο συμμόρφωσης με τον Κανονισμό. Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό. Και αυτό γιατί από την εφαρμογή του νέου Κανονισμού δεν επηρεάζεται μόνο η διεύθυνση πληροφορικής μίας επιχείρησης αλλά και τμήματα όπου αδιαμφισβήτητα γίνεται χρήση και επεξεργασία προσωπικών δεδομένων, όπως ενδεικτικά το τμήμα μισθοδοσίας, η νομική υπηρεσία, το τμήμα ανθρώπινου δυναμικού κ.α.
Ο Κανονισμός για την προστασία προσωπικών δεδομένων έχει εφαρμογή και ως προς επιχειρήσεις εγκατεστημένες εκτός της Ευρωπαϊκής Ένωσης (Ε.Ε.), εφόσον αυτές επεξεργάζονται δεδομένα προσώπων που βρίσκονται εντός της Ε.Ε. Έχει επίσης εφαρμογή και σε περιπτώσεις που η επεξεργασία των δεδομένων διενεργείται εκτός της Ε.Ε. Δηλαδή, πρακτικά, καταλαμβάνει όλες τις επιχειρήσεις, ανεξαρτήτως του τόπου εγκατάστασής τους ή του τόπου επεξεργασίας των προσωπικών δεδομένων, εφόσον τα δεδομένα αυτά αφορούν Ευρωπαίους πολίτες.
Από την εφαρμογή του νέου Κανονισμού, σε μεγαλύτερο βαθμό θα επηρεαστούν οι εξής υπηρεσίες: υγείας, χρηματοοικονομικού τομέα, ανθρώπινου δυναμικού, διατήρησης και επεξεργασίας δεδομένων, διαδικτυακών πωλήσεων, παροχής τηλεπικοινωνιακών υπηρεσιών, παροχής υπηρεσιών ενέργειας και του ευρύτερου δημόσιου τομέα.
Για περισσότερες πληροφορίες σχετικά με φορολογικά θέματα, μπορείτε να επικοινωνήσετε με το τμήμα Tax and Outsourcing της Grant Thornton στο email: tax@gr.gt.com
https://www.taxheaven.gr
17 Σεπ 2017
Γνωρίζετε ότι:
Προστασία προσωπικών δεδομένων
Από 25 Μαΐου 2018 τίθεται σε εφαρμογή ο Κανονισμός της Ευρωπαϊκής Ένωσης ((ΕΕ) 2016/679, “General Data Protection Regulation”) για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένωνπροσωπικού χαρακτήρα. Στην έννοια των παραπάνω δεδομένων εμπίπτουν όσες πληροφορίες μπορούν να οδηγήσουν στην ταυτοποίηση ενός ατόμου, όπως ενδεικτικά το ονοματεπώνυμο, η διεύθυνση κατοικίας, τα φυσικά χαρακτηριστικά, η οικονομική κατάσταση, τα ψηφιακά ίχνη κλπ. Τα ευαίσθητα προσωπικά δεδομένα, ως ειδική υποκατηγορία, περιλαμβάνουν πληροφορίες που αναφέρονται στις θρησκευτικές ή πολιτικές πεποιθήσεις ενός ατόμου, στην φυλετική ή εθνική του προέλευση, στην υγεία του κλπ. Με τον παραπάνω Κανονισμό εισάγονται αυξημένες υποχρεώσεις και περιορισμοί για τις επιχειρήσεις που διατηρούν, διαχειρίζονται και επεξεργάζονται προσωπικά δεδομένα.
Αυστηρές είναι οι κυρώσεις που προβλέπονται σε περιπτώσεις παραβίασης των διατάξεων του Κανονισμού για την προστασία των δεδομένων. Συγκεκριμένα, προβλέπεται η δυνατότητα επιβολής διοικητικού προστίμου μέχρι και του ιλιγγιώδους ποσού των €20 εκ. ή ποσού έως το 4% του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών του Ομίλου κατά το προηγούμενο έτος (ανάλογα με το ποιο είναι υψηλότερο). Κατά τον προσδιορισμό του τελικού ποσού του διοικητικού προστίμου εξετάζονται διάφορα κριτήρια, όπως ενδεικτικά η φύση, η βαρύτητα και η διάρκεια της παράβασης, οι κατηγορίες των προσωπικών δεδομένων που επηρεάζει η παράβαση, η ύπαρξη δόλου ή αμέλειας κ.α.Οι επιχειρήσεις που επεξεργάζονται δεδομένα για λογαριασμό τρίτων, ενδέχεται επίσης να φέρουν ευθύνη για παραβίαση του Κανονισμού σε περίπτωση μη συμμόρφωσης με τις υποχρεώσεις τους.
Μεταξύ των υποχρεώσεων που εισάγει ο Κανονισμός περιλαμβάνονται: α) η δημιουργία μητρώου, όπου θα τηρούνται απαραίτητες πληροφορίες, όπως ενδεικτικά ο σκοπός της επεξεργασίας των δεδομένων, ο τύπος των δεδομένων, οι κατηγορίες των δραστηριοτήτων επεξεργασίας κλπ., β) ο ορισμός ενός προσώπου ως Υπεύθυνου Επεξεργασίας Δεδομένων (“Data Protection Officer- DPO”), υποχρέωση που ισχύει για επιχειρήσεις που διατηρούν ή επεξεργάζονται δεδομένα σε συστηματική βάση ή σε μεγάλη κλίμακα, γ) η διενέργεια ειδικών αξιολογήσεων προστασίας δεδομένων (Data Protection Impact Assessments – DPIAs) όταν το είδος επεξεργασίας ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα των προσώπων, όπως για παράδειγμα όταν γίνεται χρήση νέων τεχνολογιών.
Ο Κανονισμός προβλέπει την υποχρέωση αναφοράς όλων των περιστατικών παραβίασης των προσωπικών δεδομένων, που ενέχουν υψηλό κίνδυνο, εντός 72 ωρών από την εκδήλωση του περιστατικού. Υπό προϋποθέσεις, μάλιστα, η ενημέρωση αυτή πρέπει να απευθύνεται και προς τα πρόσωπα των οποίων τα δεδομένα έχουν εκτεθεί σε κίνδυνο. Για να ανταποκριθούν επαρκώς στην παραπάνω υποχρέωση, οι επιχειρήσεις πρέπει να έχουν σχεδιάσει και υιοθετήσει αντίστοιχη πολιτική και να έχουν αναπτύξει μία σειρά από κατάλληλες εσωτερικές διαδικασίες.
Κάθε πρόσωπο δικαιούται να ζητήσει τη διαγραφή των προσωπικών του δεδομένων από την ηλεκτρονική βάση της επιχείρησης, εφόσον δεν υφίσταται λόγος που να δικαιολογεί τη συνεχιζόμενη διατήρηση ή επεξεργασία τους. Εξαίρεση προβλέπεται σε περιπτώσεις, όπου ο ίδιος ο νόμος απαιτεί τη διατήρηση ή επεξεργασία των δεδομένων αυτών. Επίσης, κάθε πρόσωπο έχει δικαίωμα πρόσβασης, ενημέρωσης ή και διόρθωσης των προσωπικών του δεδομένων, ενώ μπορεί υπό προϋποθέσεις να ζητήσει και την μεταφορά τους σε άλλη υπηρεσία ή επιχείρηση μέσω αυτοματοποιημένης διαδικασίας. Σε κάθε περίπτωση, οι επιχειρήσεις πρέπει να έχουν λάβει τη ρητή συγκατάθεση ενός ατόμου για τη λήψη ή χρήση των προσωπικών του δεδομένων. Η λήψη της συγκατάθεσης πρέπει να γίνεται με κατανοητό προς το άτομο τρόπο και μέσω της χρήσης ευκρινών μέσων.
Η καταγραφή των προσωπικών δεδομένων που συλλέγει μία επιχείρηση, ο τρόπος που αυτά αποκτήθηκαν και οι δίαυλοι επικοινωνίας μέσω των οποίων διακινούνται, αποτελεί κρίσιμη διαδικασία και πολύ σημαντικό βήμα για την προετοιμασία μίας επιχείρησης στο πλαίσιο συμμόρφωσης με τον Κανονισμό. Τα στελέχη της επιχείρησης είναι απαραίτητο να έχουν γνώση για τις υποχρεώσεις και τα όρια που τίθενται με τον Κανονισμό. Και αυτό γιατί από την εφαρμογή του νέου Κανονισμού δεν επηρεάζεται μόνο η διεύθυνση πληροφορικής μίας επιχείρησης αλλά και τμήματα όπου αδιαμφισβήτητα γίνεται χρήση και επεξεργασία προσωπικών δεδομένων, όπως ενδεικτικά το τμήμα μισθοδοσίας, η νομική υπηρεσία, το τμήμα ανθρώπινου δυναμικού κ.α.
Ο Κανονισμός για την προστασία προσωπικών δεδομένων έχει εφαρμογή και ως προς επιχειρήσεις εγκατεστημένες εκτός της Ευρωπαϊκής Ένωσης (Ε.Ε.), εφόσον αυτές επεξεργάζονται δεδομένα προσώπων που βρίσκονται εντός της Ε.Ε. Έχει επίσης εφαρμογή και σε περιπτώσεις που η επεξεργασία των δεδομένων διενεργείται εκτός της Ε.Ε. Δηλαδή, πρακτικά, καταλαμβάνει όλες τις επιχειρήσεις, ανεξαρτήτως του τόπου εγκατάστασής τους ή του τόπου επεξεργασίας των προσωπικών δεδομένων, εφόσον τα δεδομένα αυτά αφορούν Ευρωπαίους πολίτες.
Από την εφαρμογή του νέου Κανονισμού, σε μεγαλύτερο βαθμό θα επηρεαστούν οι εξής υπηρεσίες: υγείας, χρηματοοικονομικού τομέα, ανθρώπινου δυναμικού, διατήρησης και επεξεργασίας δεδομένων, διαδικτυακών πωλήσεων, παροχής τηλεπικοινωνιακών υπηρεσιών, παροχής υπηρεσιών ενέργειας και του ευρύτερου δημόσιου τομέα.
Για περισσότερες πληροφορίες σχετικά με φορολογικά θέματα, μπορείτε να επικοινωνήσετε με το τμήμα Tax and Outsourcing της Grant Thornton στο email: tax@gr.gt.com
https://www.taxheaven.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου