Co księgowi muszą wiedzieć o PKBR

Prawa i przepisy dotyczące prywatności są jak kiełki brukselki – są dobre dla ciebie, ale niewiele osób je lubi. Mówi się, że “duże dane to nowy starszy brat”, a regulatorzy z Unii Europejskiej w Brukseli i ich przyjaciele w Parlamencie Europejskim przyjęli nowe przepisy dotyczące ochrony prywatności, zwane Ogólnym Systemem Ochrony Danych (ang. General Data Protection Regime, GDPR).

To nowe prawo zmienia sposób, w jaki większość danych osobowych jest traktowana w przedsiębiorstwach – ze znaczącymi karami za nieprzestrzeganie przepisów. Podczas gdy wiele przepisów, które wydają się popierać unijną wizję rządu dla organów regulacyjnych, mogą Państwo postrzegać je jako złe, to jednak od 25 maja 2018 r. Państwa firma podlega przepisom, jeśli prowadzą Państwo działalność gospodarczą w Europie lub jeśli prowadzą Państwo działalność gospodarczą z każdym, kto jest obywatelem UE.

Czego w każdym razie wymaga PKBR?

GDPR to nowa seria istotnych przepisów dotyczących ochrony prywatności mających zastosowanie do wszystkich przedsiębiorstw, które są fizycznie obecne w UE, tych, które przechowują lub przetwarzają dane osobowe obywateli lub mieszkańców Europy, jak również przedsiębiorstw świadczących usługi dla tych przedsiębiorstw. GDPR tworzy wiele nowych zabezpieczeń dla obywateli UE – niezależnie od ich lokalizacji, w tym prawo do otrzymania kopii danych przechowywanych na ich temat przez organizację (na żądanie w ciągu 30 dni) oraz obowiązkowe powiadomienie o naruszeniu danych w ciągu 72 godzin od ich wykrycia, z bardzo nielicznymi wyjątkami. (Skontrastuj 72-godzinne powiadomienie o naruszeniu danych GDPR z własnym prawem stanowym, które może w ogóle nie wymagać zgłaszania, jeśli dane są zaszyfrowane).

Trzecim istotnym wymogiem dla każdej organizacji jest wskazanie osób wewnątrz lub na zewnątrz firmy, które są odpowiedzialne za ochronę prywatności danych osobowych, w tym poniższe:

  • Administratorzy danych to osoby na stanowiskach kierowniczych, które określają sposób przetwarzania danych osobowych;
  • Przetwarzający dane to menedżerowie wewnętrzni lub zewnętrzni dostawcy usług, którzy są odpowiedzialni za przetwarzanie danych osobowych; oraz
  • Inspektorzy ochrony danych są upoważnionymi specjalistami ds. zgodności w dużych organizacjach, które nadzorują strategię bezpieczeństwa danych i zgodność z PKBR – podobnie jak funkcja audytu wewnętrznego – i powinni składać sprawozdania kierownictwu szczebla wykonawczego.

Ostatnim istotnym nowym wymogiem przyznawanym w statucie jest kontrowersyjne “prawo do usunięcia”, częściej określane jako “prawo do bycia zapomnianym”. Rozporządzenie to było już stosowane w celu zobowiązania Google do usunięcia niekorzystnych obrazów, które były przechowywane w jego serwisie Google Street View, i może na przykład pozwolić osobom, których dane dotyczą, na poinformowanie niektórych marketerów o “zapomnieniu” Twoich danych.

Wydaje się, że przepis ten daje osobom, których dane dotyczą, prawo do żądania i usuwania danych z baz danych w większości przypadków, w tym w większości przypadków:

  1. jeśli dane nie są już potrzebne
  2. jeżeli osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych prywatnych
  3. jeżeli podmiot wycofuje zgodę na zatrzymanie i przetwarzanie danych przez organizację, co można zrobić w dowolnym momencie.

How GDPR Affects US Companies and Accountants

Księgowi powinni być szczególnie zainteresowani tymi przepisami, ponieważ dane prywatne potrzebne do świadczenia profesjonalnych usług dla Państwa klientów prowadzących działalność w UE są objęte tymi przepisami. Na przykład, Twój klient może wyrazić zgodę na przekazanie Ci informacji o swojej działalności i spółkach zależnych w UE, gdy przebywasz na terenie UE, ale możesz mieć zakaz dostępu do prywatnych informacji o ich pracownikach, klientach i sprzedawcach spoza UE.

Co gorsza, wydaje się, że prawo (i systemy grzywien) w formie pisemnej mają zastosowanie do prywatnych danych każdego obywatela UE – w tym osób posiadających podwójne obywatelstwo mieszkających w USA, co oznacza, że możesz mieć potencjalny problem z przestrzeganiem przepisów w stosunku do swoich obecnych klientów z siedzibą w USA. Pomyśl o komplikacjach związanych z podatkami zagranicznymi lub międzynarodowymi procesami kontrolnymi, w które zaangażowany jest podmiot z UE.

Możesz nie być w stanie legalnie świadczyć usługi, nie podlegając przy tym karze PKBR. Weź pod uwagę również przedsiębiorstwo, które chciałoby rozszerzyć swoją działalność na terytorium UE, lub w związku z tym prowadzi obecnie działalność w UE, i zaczynasz rozumieć, że to, co dzieje się w UE, będzie musiało pozostać w UE.

Istotnym zagrożeniem dla amerykańskich przedsiębiorstw, które chcą prowadzić interesy z obywatelami UE, jest to, że nie mogą one przekazywać danych dotyczących podmiotów z UE poza jej granice. Przepisy wymagają od firm spoza UE, aby zmodyfikowały swoje praktyki biznesowe na jeden z trzech głównych sposobów, zanim będą mogły prowadzić interesy z obywatelami i organizacjami UE.

Firma amerykańska może zapisać się do programu Departamentu Handlu USA (US-EU Privacy Shield framework (www.privacyshield.gov)) i stosować się do jego warunków

.

Spółka może współpracować z unijnym organem regulacyjnym ds. ochrony prywatności w celu opracowania i przedłożenia do zatwierdzenia organom regulacyjnym wiążących zasad i polityki korporacyjnej. Po zakończeniu procesu zatwierdzania przez organy regulacyjne, spółka zostanie wpisana do rejestru spółek, które zakończyły ten proces.

Firma może włączyć postanowienia wzorcowej umowy do wszystkich swoich umów z administratorami danych i przetwarzającymi dane, w których administratorzy i przetwarzający dane zgadzają się zapewnić zabezpieczenia danych osobowych, które są akceptowane przez organy regulacyjne UE.

Bez przestrzegania jednego z tych trzech protokołów każdy ma zakaz gromadzenia, przechowywania lub przetwarzania informacji na temat obywateli UE spoza UE i podlega karze grzywny.

Kary za brak zgodności

Żadna regulacja nie będzie przestrzegana bez kar za szyderstwa, a UE jest bardzo wygodna w nakładaniu ogromnych kar na duże przedsiębiorstwa. W artykule CNBC z 2017 r. opisano niektóre z 8,472 mld euro (9,54 mld USD w USD) grzywien nałożonych przez unijną komisję ds. konkurencji w latach 2013-2017 na międzynarodowe korporacje.

Suma ta nie obejmuje innych epickich zarzutów, w tym pozwu UE przeciwko Irlandii za “nieodzyskanie do 13 mld EUR (15,4 mld USD), które UE zarzuca Irlandii, że powinna była nałożyć na Apple, a także grzywny w wysokości 997 mln EUR (1,2 mld USD) nałożonej na Qualcomm w styczniu 2018 roku za rzekome zachowanie antykonkurencyjne.

Niestety, te rekordowe wyniki w zakresie kar cywilnych prawdopodobnie spadną w niedalekiej przyszłości wraz z nowymi grzywnami dopuszczalnymi za nieprzestrzeganie przepisów w ramach PKBR. Administratorzy danych i podmioty przetwarzające dane mogą spodziewać się kar za nieprzestrzeganie GDPR w wysokości do 2 proc. światowej sprzedaży lub 10 mln euro, w zależności od tego, która z tych kwot jest wyższa.

Organizacjom mogą również grozić grzywny w wysokości do 4 proc. światowej sprzedaży lub do 20 mln euro, w zależności od tego, która z tych kwot jest wyższa, za naruszenie prawa obywateli UE do prywatności danych, nieprzestrzeganie unijnego organu nadzoru nad danymi, niewłaściwe przekazywanie danych osobowych lub nieprzestrzeganie podstawowych zasad przetwarzania danych.

Wniosek

Podczas gdy te nowe działania stworzą nową biurokrację w zakresie ochrony danych w rządach i organizacjach UE, posłużą one również do uczynienia z UE de facto regulatora Internetu na całym świecie. Dyskrecja prokuratorska, z której korzystają niewybrane organy regulacyjne UE, da UE kolejny nowy i interesujący sposób na karanie przedsiębiorstw, które popadają w tarapaty.

Ponieważ Apple i Google nauczyły się tego z trudem, UE wykorzystywała w przeszłości przepisy przeciwko dużym firmom i nakładała miliardy euro na grzywny i inne kary.Bez względu na to, czy Twoi klienci pracują na własny rachunek, czy też pracują w dużej korporacji, czy prowadzą działalność gospodarczą w UE, czy też posiadają prywatne dane dotyczące dowolnego obywatela UE, jeśli zignorują te nowe wymogi z Brukseli, robią to na własne ryzyko.

Więcej informacji na temat PKBR:

  • Tekst PKBR ze strony UE: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • US Department of Commerce US-EU Privacy Shield program: http://www.privacyshield.gov
  • Zasięg własny AccountingWEB UK: https://www.accountingweb.co.uk/tags/gdpr
  • Biała księga na temat BCR-ów autorstwa TeachPrivacy.com: https://teachprivacy.com/bcrs-for-eu-privacy/
  • Wzór umowy UE dla przetwarzających dane i administratorów danych: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en