În calitate de organism profesional care gestionează profesia contabilă în România, Corpul Experților Contabili și Contabililor Autorizați din România (CECCAR) vine în sprijinul membrilor săi cu recomandarea includerii unor clauze speciale cu privire la prelucrarea datelor cu caracter personal încheiate de aceștia cu clienții lor, astfel încât acordurile încheiate să se alinieze la cadrul legal prevăzut de Regulamentul UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR), precum și de Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului menționat.
Așadar, având în vedere importanța reglementărilor mai sus menționate și pentru a evita eventuale riscuri la care ar putea fi expuși, CECCAR le recomandă profesioniștilor contabili ca toate contractele pe care le încheie cu clienții să cuprindă și următoarele clauze:
1.1 Părțile trebuie să respecte normele și obligațiile impuse de legislația specială în vigoare privind protecția datelor cu caracter personal și înțeleg că normele europene din Regulamentul UE 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (GDPR) precum și normele interne incidente, se aplică oricărui operator de date sau împuternicit situat în Uniunea Europeană și oricărei persoane care prelucrează date cu caracter personal ale persoanelor vizate situate în Uniunea Europeană sau care le furnizează servicii.
1.2 În înțelesul prevederilor GDPR, Beneficiarul (serviciilor contabile) are calitatea de Operator de date personale, iar Prestatorul (expertul contabil/contabilul autorizat) este Persoana împuternicită de operator (sau Împuternicit), care prelucrează date cu caracter personal în numele operatorului, în conformitate cu art. 28 și următoarele din Regulament.
1.3 Împuternicitul acționează numai în baza instrucțiunilor primite de la Operator și va prelucra datele cu caracter personal ale persoanelor vizate exclusiv în scopul executării obligațiilor asumate prin contract.
1.4 Operatorul este, în temeiul art. 24 din GDPR, responsabil pentru conformitatea cu cerințele Regulamentului 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, având obligația legală de a pune în aplicare măsuri tehnice și organizatorice și politici adecvate pentru ca cerințele GDPR să fie respectate și drepturile persoanelor vizate să fie protejate.
1.5 Nicio prevedere din acest contract nu degrevează părțile de responsabilitățile și obligațiile lor directe în materia conformității cu GDPR și a altor norme specifice în materia protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.
1.6 Clauzele de mai sus se referă strict la activitățile de prelucrare a datelor cu caracter personal, respectiv la măsurile tehnice și organizatorice privind securitatea prelucrării acestor date și nu aduc atingere independenței prestatorului în ceea ce privește respectarea și executarea serviciilor conform normelor legale și/sau profesionale, la termenele stipulate în acestea.