Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
ООО "ЛИГА ЗАКОН"
5 самых распространенных мифов о GDPR

25 мая в Европе вступил в силу новый регламент о защите персональных данных – General Data Protection Regulation (далее – GDPR). Несмотря на тщательнейшую, заранее проведенную подготовку в соответствии с новыми требованиями, просто удивительно, как много еще остается неясного вокруг них. Одно дело – отдельные чисто практические аспекты, а совсем другое – довольно распространенные мифы, развеять верхнюю пятерку которых сегодня попробует Иэн Кули (Ian Cooley), специалист по защите и персональным данным в GDPR Advisors UK и один из спикеров ежегодной конференции Ассоциации бухгалтерских специалистов AAT.

1. Первый миф имеет наибольшую актуальность для жителей Туманного Альбиона, и звучит он следующим образом: "Brexit положит конец GDPR". Это, конечно же, неверно. Несмотря на то что в следующем году должен закончиться формальный процесс выхода Великобритании из ЕС, европейский Закон о защите персональных данных уже сейчас прописан в ее национальном законодательстве и "откатывать" все назад правительство намерения не имеет.

2. GDPR ввел в практику два новых понятия – контролер персональных данных и обработчик персональных данных. Многие считают: "Вы можете быть либо контролером, либо обработчиком данных". Это неверно – поправляет Иэн Кули – так как вы с легкостью можете выполнять обе эти роли. Чаще всего такое можно встретить в случае одновременной работы с данными своих клиентов и их работодателей либо поставщиков. В этом случае касательно данных клиентов вас можно считать контролером, а в отношении, например, сведений о заработной плате – обработчиком. Здесь от клиента потребуется письменное соглашение на обработку информации третьей стороной.

"Это не является чем-то необычным для людей... но я не делаю из этого события... Контролер решает, что он собирает и что с этим далее происходит, – и это организация или персона, с которой у вас отношения. Пострадает ваша репутация, если обработчики напортачат с данными, которые вы контролируете", – говорит эксперт.

3. "Бизнес-данные также учитываются GDPR". GDPR покрывает только персональные данные, что логично следует из самого названия. Инвойсы, платежные ордера и тому подобные документы не учитываются – но лишь до тех пор, пока их содержание не включает персональные данные.

Есть, однако, много подводных камней. Что если юридический адрес компании совпадает с личным адресом? А что если компания носит имя ее собственника? "С партнерствами может быть непросто определить, есть ли ограниченная ответственность. Если ассоциированной с ними ограниченной ответственности нет, то они – физлица... Это налагает определенную ответственность на использующую данную информацию персону в плане проведения небольшого изучения того, с кем они взаимодействуют. Это меняет все довольно значительно по сравнению с тем, что сейчас", – говорит Иэн Кули.

4. "Индивидуальным продавцам не нужно волноваться насчет GDPR". Если они также владеют персональными данными, то никаких рамок по размеру организаций новый регламент не оговаривает. Он универсальный для всех. "Слышал, как люди говорят: "У меня менее 250 сотрудников, так что это к нам не применимо". Мы также слышали неверное утверждение от юриста о том, что, поскольку для малого бизнеса есть исключения в [британском] Законе о защите персональных данных, то же будет и в GDPR. Но там нет и не было исключения для малого бизнеса".

Некоторая путаница может возникнуть также по той причине, что далеко не всем необходимо проходить регистрацию в ICO – британском Управлении уполномоченного по вопросам информации. Это так, но выполнять требования в любом случае придется всем. А чтобы определить, есть ли необходимость регистрации в ICO, предусмотрена специальная онлайн-проверка на его сайте.

Иэн Кули отмечает, что некоторые пункты данного списка для самопроверки могут потребовать для объяснений листа формата А4, не меньше – настолько много там нюансов. Так что придется как следует все проанализировать. Но реальность такова – говорит он – если только это не почтовая открытка к Рождеству, требования GDPR придется выполнять, даже если регистрация в ICO не произведена.

5. "Комплаенс – это проставление "галочек" еще в нескольких пунктах". Многие так и подходят к делу, но GDPR – намного сложнее этого. Есть множество элементов, окончательную ясность которых может прояснить только суд. "Невозможно обеспечить 100%-й комплаенс, поскольку вы пока не знаете правил. И вы не сможете проставить несколько "галочек" и начать выполнять все за неделю". Это ведь не как прибить на стену сертификат – получил и забыл. GDPR – это процесс, способ ведения бизнеса. Ключ ко всему – обращаться с персональными данными с осторожностью и уважением, которых они заслуживают.

По материалам: AAT

Источник: GAAP.RU

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание Вестник МСФО
Контакты редакции:
ifrs@ligazakon.ua
 
Данный функционал доступен подписчикам в электронном издании.
Если Вы еще не выписываете издание, закажите бесплатный доступ к демо-номеру
или подпишитесь на издание Вестник МСФО