25 мая в Европе вступил в силу новый регламент о защите персональных данных - General Data Protection Regulation (GDPR). Несмотря на тщательнейшую, заранее проведенную подготовку к приведению себя в соответствие с новыми требованиями, просто удивительно, как много еще остается неясного вокруг них. Например, на днях в новостях мы писали о том, что многие просто не знают, что делать с облачными данными по своим более неактивным клиентам. Но одно дело – отдельные чисто практические аспекты, и другое – довольно распространенные мифы, развеять верхнюю пятерку которых сегодня попробует Йен Кули (Ian Cooley), специалист по защите и персональным данным в GDPR Advisors UK и один из спикеров ежегодной конференции Ассоциации бухгалтерских специалистов AAT.
1. Первый “миф” имеет наибольшую актуальность для жителей Туманного Альбиона и звучит он так: “Brexit положит конец GDPR”. Это, конечно же, неверно. Несмотря на то, что в следующем году должен закончиться формальный процесс выхода Великобритании из ЕС, европейский закон о защите персональных данных уже сейчас прописан в ее национальном законодательстве, и откатывать все назад правительство намерения не имеет.
2. GDPR ввел в практику два новых понятия – контролер персональных данных и обработчик персональных данных. Многие считают, что “Вы можете быть либо контролером, либо обработчиком данных”. Это неверно – поправляет Йен Кули – так как вы с легкостью можете выполнять обе эти роли. Чаще всего такое можно встретить в случае одновременной работы с данными своих клиентов и их работодателей либо поставщиков. В этом случае в отношении данных клиентов вас можно считать контролером, а в отношении, например, сведений о заработной плате – обработчиком. Здесь от клиента потребуется письменное соглашение на обработку информации третьей стороной.
“Это не является чем-то необычным для людей… но я не делаю из этого события… Контролер решает, что он собирает, и что с этим далее происходит - и это организация или персона, с которой у вас отношения. Пострадает ваша репутация, если обработчики напортачат с данными, которые вы контролируете”, - говорит эксперт.
3. “Бизнес-данные также учитываются GDPR”. GDPR покрывает только персональные данные, что логично следует из самого названия. Инвойсы, платежные ордера и тому подобные документы не учитываются – но лишь до тех пор, пока их содержание не включает персональные данные.
Есть, однако, много подводных камней. Что если юридический адрес компании совпадает с личным адресом? А что если компания имеет имя ее владельца? “С партнерствами может быть непросто определить, если ли ограниченная ответственность. Если ассоциированной с ними ограниченной ответственности нет, то они – физлица… Это налагает определенную ответственность на использующую данную информацию персону в плане проведения небольшого изучения того, с кем они взаимодействуют. Это меняет все довольно значительно по сравнению с тем, что сейчас”, - говорит Йен Кули.
4. “Индивидуальным продавцам не нужно волноваться насчет GDPR”. Нужно, если они также владеют персональными данными: никаких рамок по размеру организаций новый регламент не оговаривает. Он универсальный для всех. “Слышал, как люди говорят: “У меня менее 250 сотрудников, так что это к нам не применимо”. Мы также слышали неверное утверждение от юриста о том, что, поскольку для малого бизнеса есть исключения в [британском] Законе о защите персональных данных, то же самое будет и в GDPR. Но там нет и не было исключения для малого бизнеса”.
Некоторая путаница может возникнуть также по той причине, что далеко не всем нужно проходить регистрацию в ICO – британском Управлении уполномоченного по вопросам информации. Это так, но выполнять требования в любом случае придется всем. А чтобы определить, есть ли необходимость регистрации в ICO, предусмотрена специальная онлайн-проверка на его сайте.
Йен Кули говорит, что некоторые пункты этого списка для самопроверки могут потребовать для объяснений листа формата А4, не меньше – настолько много там нюансов. Так что придется как следует все проанализировать. Но реальность такова – говорит он – если только это не почтовая открытка к Рождеству, требования GDPR придется выполнять, даже если регистрация в ICO не произведена.
5. “Комплайенс – это проставление “галочек” еще в нескольких пунктах”. Многие так и подходят к делу, но GDPR – намного сложнее этого. Есть очень много элементов, окончательную ясность которых может прояснить только суд. “Невозможно обеспечить 100%-й комплайенс, поскольку вы пока не знаете правил. И вы не сможете проставить несколько “галочек” и начать выполнять все за неделю”. Это ведь не как прибитым на стену сертификатом – получил и забыл. GDPR – это процесс, способ ведения бизнеса. Ключ ко всему – обращаться с персональными данными с осторожностью и уважением, которых они заслуживают.
По материалам: AAT