“Тонкости” GDPR для аудиторских компаний

Дата вступления в силу Общеевропейского регламента о защите персональных данных (GDPR) уже позади, однако для британских компаний секторе профессиональных услуг, как говорит по этому поводу глава Управления уполномоченного по вопросам информации (Information Commissioner's Office), “это лишь начало”. Но в каком смысле “начало”? А в том смысле, что необходимо тщательно обдумать и найти ответ на целый ряд вопросов, как-то:

Будет ли решение по адекватности данных к завершению “Брекзит”?

Великобритании требуется обеспечить необходимый уровень защиты потоков данных, которыми она обменивается с Европой. Комитет по выходу из ЕС призвал правительство начать процесс вынесения решения об адекватности данных, потому что если такого согласованного с ЕС решения не будет к концу переходного периода, британским компаниям придется внедрять очень недешевые решения на основе индивидуальных соглашений, чтобы иметь возможность обмениваться данными с Европой.

Аудиторская компания – это “контролер данных” или “обработчик данных”?

Вопрос роли аудиторской компании по отношению к получаемым от клиентов персональным данным, конечно, не так однозначен. Контролер данных – это организация, которая самостоятельно либо в сотрудничестве с другими определяет цели и способы обработки. Обработчик данных занимается, собственно, обработкой от имени контролера. Однако принадлежность либо к той, либо к другой категории будет определять обязанности в рамках требований GDPR, которые отличаются.

Руководство от британского Управления уполномоченного по вопросам информации (правда, выпущенное намного раньше и относящееся еще к Закону о защите персональных данных 1998 года), гласит, что аудиторские компании являются все-таки контролерами в отношении данных своих клиентов, однако контракт определяет услугу, которая должна быть оказана клиенту, и соответственным образом определяются персональные данные, требуемые для проведения работы. Кроме того, у компании есть и профессиональные обязанности помимо простого действия в интересах клиента.

Поскольку и клиент, и компания являются контролерами данных, стоит также подумать, можно ли применить здесь положения GDPR о “совместных” контролерах. Вероятнее всего, что все-таки нет, если принимать во внимание их независимую по отношению друг к другу позицию, то есть они по сути своей независимые контролеры и несут ответственность также на независимой основе.

Но хотя мнение Управления изложено довольно четко, клиенты профессиональных организаций почему-то часто видят их в качестве обработчиков данных и пытаются в рамках договоров навязать условия, соответствующие отношениям “контролер-обработчик”. А GDPR содержит в себе требования, которые накладывают на обработчиков определенные ограничения, что означает, что в этом случае компаниям придется следовать этим дополнительным условиям. Это может оказывать на деловые отношения с клиентами определенное давление.

Обработка данных

Обработка “обычных” персональных данных - например, медицинских – пример того, что компания сможет без проблем проводить по ходу аудиторского процесса, если ей потребуется информация о состоянии здоровья сотрудников. Обосновать доступ здесь можно с позиции соблюдения законных интересов контролера данных, но этот базис неприменим в случае с особыми данными, требующими выполнения дополнительных условия – например, в случае с профессиональными услугами, которые требуют оценки уровня присутствия персонала компании на рабочем месте и выдачи рекомендаций по устранению этой проблемы. Понятно, что в отношении определенной информации компании-клиенты могут быть чувствительны и не позволять неограниченный доступ к ней.

По материалам: Accountancy Age