歐盟《一般數(shù)據(jù)保護條例》(GDPR,簡稱條例)將于2018年5月25日起生效。該條例適用于所有涉及在線或線下存儲個人資料信息的行為。目前需要收集、存儲和處理與客戶、員工和分包商個人信息的專業(yè)會計師,條例的要求將對他們產(chǎn)生直接的影響。
歐洲會計師(Accountancy Europe,原歐洲會計師聯(lián)合會)發(fā)布了一份針對一般數(shù)據(jù)保護條例的簡報,通過解釋條例的變化并提供操作實例,來幫助會計師了解此項立法對他們工作的影響。
為了滿足“反洗錢指令”對客戶盡職調(diào)查的要求,會計師需要收集并保存新客戶的身份信息。新條例的實施意味著從業(yè)人員必須更加全面地收集個人信息,與此同時遵照信息主體的個人數(shù)據(jù)權(quán)利,會計師需要通知數(shù)據(jù)主體采集了他們的個人信息。參與大數(shù)據(jù)分析的從業(yè)人員會被認定為在從事高風(fēng)險活動。
條例要求在處理個人數(shù)據(jù)時如果逾越了最初的使用用途,數(shù)據(jù)處理人員應(yīng)該對這些決策進行記錄并詳細說明原因。此外,條例還規(guī)定了履行義務(wù)和更加嚴厲的處罰方法,對于不合規(guī)的行為可能會處以超過1千萬歐元的罰款。而某些數(shù)據(jù)的泄露可能會導(dǎo)致高達2千萬歐元的罰款,或者罰沒相關(guān)企業(yè)4%的全球營業(yè)額。
條例取代了21年前通過的《歐盟數(shù)據(jù)保護指令》。制定新條例有兩個目的,既考慮到個人數(shù)據(jù)的使用在不斷地發(fā)生變化,同時歐盟各國需要一個更統(tǒng)一的監(jiān)管框架。
此外,一份由谷歌資助的報告顯示,中小企業(yè)實施條例的平均成本可能達到每年7,200歐元。
歐盟網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了一份指南,通過以風(fēng)險為基礎(chǔ)的方法來幫助中小企業(yè)保障處理個人數(shù)據(jù)的安全、評估安全風(fēng)險以及了解數(shù)據(jù)安全狀況。ENISA還為企業(yè)提供了符合條例的組織性和技術(shù)性安全保障措施建議。
當(dāng)英國(或其他成員國)離開歐盟時,將被視為“第三國”,所有數(shù)據(jù)處理人員在處理歐盟成員國和第三國之間的個人信息時必須修改當(dāng)前的處理操作慣例。
然而,如果企業(yè)加入了美國與歐盟間的《隱私盾牌》框架,美國是允許對歐盟數(shù)據(jù)進行轉(zhuǎn)移的。當(dāng)企業(yè)需要從歐盟向美國轉(zhuǎn)移個人數(shù)據(jù)時,由美國商務(wù)部和歐盟委員會共同制定的《隱私盾牌》框架可以為企業(yè)提供遵循歐盟法規(guī)的方法。例如他們可以通過相關(guān)合同條款,采用其它符合數(shù)據(jù)保護的合法手段來傳輸數(shù)據(jù)。目前,歐盟與美國制定的《隱私盾牌》框架正面臨挑戰(zhàn),因為據(jù)稱它提供的隱私保護手段已經(jīng)無法滿足需求。
如需獲取歐洲會計師發(fā)布的數(shù)據(jù)保護法規(guī)簡報可以點擊鏈接:https://www.accountancyeurope.eu/wp-content/uploads/170424-General-Data-Protection-Regulation.pdf
如需獲取中小企業(yè)的ENISA指南可以點擊鏈接:https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing
校對:曹宇紅
中國會計視野2017年5月15日15:40發(fā)布,轉(zhuǎn)載請注明來源和作者。
原文鏈接:EU Data protection rules will directly impact professional accountants