欧盟《一般数据保护条例》(GDPR,简称条例)将于2018年5月25日起生效。该条例适用于所有涉及在线或线下存储个人资料信息的行为。目前需要收集、存储和处理与客户、员工和分包商个人信息的专业会计师,条例的要求将对他们产生直接的影响。
欧洲会计师(Accountancy Europe,原欧洲会计师联合会)发布了一份针对一般数据保护条例的简报,通过解释条例的变化并提供操作实例,来帮助会计师了解此项立法对他们工作的影响。
为了满足“反洗钱指令”对客户尽职调查的要求,会计师需要收集并保存新客户的身份信息。新条例的实施意味着从业人员必须更加全面地收集个人信息,与此同时遵照信息主体的个人数据权利,会计师需要通知数据主体采集了他们的个人信息。参与大数据分析的从业人员会被认定为在从事高风险活动。
条例要求在处理个人数据时如果逾越了最初的使用用途,数据处理人员应该对这些决策进行记录并详细说明原因。此外,条例还规定了履行义务和更加严厉的处罚方法,对于不合规的行为可能会处以超过1千万欧元的罚款。而某些数据的泄露可能会导致高达2千万欧元的罚款,或者罚没相关企业4%的全球营业额。
条例取代了21年前通过的《欧盟数据保护指令》。制定新条例有两个目的,既考虑到个人数据的使用在不断地发生变化,同时欧盟各国需要一个更统一的监管框架。
此外,一份由谷歌资助的报告显示,中小企业实施条例的平均成本可能达到每年7,200欧元。
欧盟网络和信息安全局(ENISA)发布了一份指南,通过以风险为基础的方法来帮助中小企业保障处理个人数据的安全、评估安全风险以及了解数据安全状况。ENISA还为企业提供了符合条例的组织性和技术性安全保障措施建议。
当英国(或其他成员国)离开欧盟时,将被视为“第三国”,所有数据处理人员在处理欧盟成员国和第三国之间的个人信息时必须修改当前的处理操作惯例。
然而,如果企业加入了美国与欧盟间的《隐私盾牌》框架,美国是允许对欧盟数据进行转移的。当企业需要从欧盟向美国转移个人数据时,由美国商务部和欧盟委员会共同制定的《隐私盾牌》框架可以为企业提供遵循欧盟法规的方法。例如他们可以通过相关合同条款,采用其它符合数据保护的合法手段来传输数据。目前,欧盟与美国制定的《隐私盾牌》框架正面临挑战,因为据称它提供的隐私保护手段已经无法满足需求。
如需获取欧洲会计师发布的数据保护法规简报可以点击链接:https://www.accountancyeurope.eu/wp-content/uploads/170424-General-Data-Protection-Regulation.pdf
如需获取中小企业的ENISA指南可以点击链接:https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing
校对:曹宇红
中国高顿2017年5月15日15:40发布,转载请注明来源和作者。
原文链接:EU Data protection rules will directly impact professional accountants