Новое руководство по GDPR от ICAEW

Институт присяжных бухгалтеров Англии и Уэльса (ICAEW) озаботился тем, чтобы обеспечить полное соответствие своих членов требованиям нового Общеевропейского регламента о персональных данных (General Data Protection Regulation, GDPR), который вступает в силу 25 мая. Собственный “контрольный список” Институт представил 8 мая.

Закон прямо не требует обеспечения полного соответствия непосредственно до даты вступления GDPR в силу, однако с учетом масштабности изменений стоит заранее обеспечить хотя бы частичный комплайенс, поскольку нарушение чревато очень высокими штрафами – а они грозят всем, даже благотворительным организациям. Поэтому начинать, конечно, “никогда не поздно”, но начинать лучше пораньше.

Общеевропейский регламент о персональных данных стал результатом пересмотра действующих в ЕС правил по защите персональных данных. В этой связи даже нельзя сказать, что это что-то принципиально новое – скорее масштабное обновление, учитывающее все технологические изменения за последние 20 лет.

Хотя Британия покидает ЕС, в силу GDPR вступает уже буквально вот-вот, поэтому и британским организациям придется вместе со всеми следовать новому режиму. Но и после формального завершения Brexit все останется в силе, поскольку принятый Акт о защите данных официально закрепляет GDPR в британском законодательстве и даже дополнительно добавляет к нему некоторые новые положения.

А вот, собственно, “контрольный список” действий, которые необходимо предпринять абсолютно всем, и желательно уже вчера:

• Назначить руководителя для присмотра за процессом. Поскольку это теперь проблема не только IT-департамента, придется выбирать на эту должность руководителя высшего звена – директора, партнера.
• Пересмотреть действующую систему информационной и кибербезопасности, внести изменения в случае необходимости. Необязательно, что это потребует очень высоких затрат – главное, чтобы все было актуальным и соответствовало сложности вашей организационной структуры.
• Систематизировать данные. Это первое, что необходимо сделать перед оценкой, ведь это позволит вам узнать, какими данными вы вообще владеете, и что следует делать дальше.
• Пересмотреть контракты с клиентами, поставщиками и сотрудниками. Необходимо и здесь обеспечить комплайенс, четко понимать ваш статус и обязательства в отношении корпоративных данных и данных по вашим клиентам.
• Политика и процедуры в отношении защиты данных. GDPR вводит новый принцип “подотчетости”, который означает, что всем организациям придется не просто обеспечить собственный комплайенс, но и продемонстрировать его
• Обучение персонала. Не только ответственные лица должны досконально изучить требования Регламента, но и вообще все ваши сотрудники обязаны хотя бы просто понимать, что защита данных теперь касается всех и каждого.

По материалам: Accountancy Daily