歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR,簡(jiǎn)稱(chēng)條例)將于2018年5月25日起生效。該條例適用于所有涉及在線或線下存儲(chǔ)個(gè)人資料信息的行為。目前需要收集、存儲(chǔ)和處理與客戶、員工和分包商個(gè)人信息的專(zhuān)業(yè)會(huì)計(jì)師,條例的要求將對(duì)他們產(chǎn)生直接的影響。
歐洲會(huì)計(jì)師(Accountancy Europe,原歐洲會(huì)計(jì)師聯(lián)合會(huì))發(fā)布了一份針對(duì)一般數(shù)據(jù)保護(hù)條例的簡(jiǎn)報(bào),通過(guò)解釋條例的變化并提供操作實(shí)例,來(lái)幫助會(huì)計(jì)師了解此項(xiàng)立法對(duì)他們工作的影響。
為了滿足“反洗錢(qián)指令”對(duì)客戶盡職調(diào)查的要求,會(huì)計(jì)師需要收集并保存新客戶的身份信息。新條例的實(shí)施意味著從業(yè)人員必須更加全面地收集個(gè)人信息,與此同時(shí)遵照信息主體的個(gè)人數(shù)據(jù)權(quán)利,會(huì)計(jì)師需要通知數(shù)據(jù)主體采集了他們的個(gè)人信息。參與大數(shù)據(jù)分析的從業(yè)人員會(huì)被認(rèn)定為在從事高風(fēng)險(xiǎn)活動(dòng)。
條例要求在處理個(gè)人數(shù)據(jù)時(shí)如果逾越了最初的使用用途,數(shù)據(jù)處理人員應(yīng)該對(duì)這些決策進(jìn)行記錄并詳細(xì)說(shuō)明原因。此外,條例還規(guī)定了履行義務(wù)和更加嚴(yán)厲的處罰方法,對(duì)于不合規(guī)的行為可能會(huì)處以超過(guò)1千萬(wàn)歐元的罰款。而某些數(shù)據(jù)的泄露可能會(huì)導(dǎo)致高達(dá)2千萬(wàn)歐元的罰款,或者罰沒(méi)相關(guān)企業(yè)4%的全球營(yíng)業(yè)額。
條例取代了21年前通過(guò)的《歐盟數(shù)據(jù)保護(hù)指令》。制定新條例有兩個(gè)目的,既考慮到個(gè)人數(shù)據(jù)的使用在不斷地發(fā)生變化,同時(shí)歐盟各國(guó)需要一個(gè)更統(tǒng)一的監(jiān)管框架。
此外,一份由谷歌資助的報(bào)告顯示,中小企業(yè)實(shí)施條例的平均成本可能達(dá)到每年7,200歐元。
歐盟網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了一份指南,通過(guò)以風(fēng)險(xiǎn)為基礎(chǔ)的方法來(lái)幫助中小企業(yè)保障處理個(gè)人數(shù)據(jù)的安全、評(píng)估安全風(fēng)險(xiǎn)以及了解數(shù)據(jù)安全狀況。ENISA還為企業(yè)提供了符合條例的組織性和技術(shù)性安全保障措施建議。
當(dāng)英國(guó)(或其他成員國(guó))離開(kāi)歐盟時(shí),將被視為“第三國(guó)”,所有數(shù)據(jù)處理人員在處理歐盟成員國(guó)和第三國(guó)之間的個(gè)人信息時(shí)必須修改當(dāng)前的處理操作慣例。
然而,如果企業(yè)加入了美國(guó)與歐盟間的《隱私盾牌》框架,美國(guó)是允許對(duì)歐盟數(shù)據(jù)進(jìn)行轉(zhuǎn)移的。當(dāng)企業(yè)需要從歐盟向美國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)時(shí),由美國(guó)商務(wù)部和歐盟委員會(huì)共同制定的《隱私盾牌》框架可以為企業(yè)提供遵循歐盟法規(guī)的方法。例如他們可以通過(guò)相關(guān)合同條款,采用其它符合數(shù)據(jù)保護(hù)的合法手段來(lái)傳輸數(shù)據(jù)。目前,歐盟與美國(guó)制定的《隱私盾牌》框架正面臨挑戰(zhàn),因?yàn)閾?jù)稱(chēng)它提供的隱私保護(hù)手段已經(jīng)無(wú)法滿足需求。
如需獲取歐洲會(huì)計(jì)師發(fā)布的數(shù)據(jù)保護(hù)法規(guī)簡(jiǎn)報(bào)可以點(diǎn)擊鏈接:https://www.accountancyeurope.eu/wp-content/uploads/170424-General-Data-Protection-Regulation.pdf
如需獲取中小企業(yè)的ENISA指南可以點(diǎn)擊鏈接:https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing
校對(duì):曹宇紅
中國(guó)會(huì)計(jì)視野2017年5月15日15:40發(fā)布,轉(zhuǎn)載請(qǐng)注明來(lái)源和作者。
原文鏈接:EU Data protection rules will directly impact professional accountants