Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
ООО "ЛИГА ЗАКОН"
5 найпоширеніших міфів про GDPR

25 травня у Європі набув чинності новий регламент про захист персональних даних – General Data Protection Regulation (далі – GDPR). Незважаючи на ретельну, заздалегідь проведену підготовку відповідно до нових вимог, просто дивно, як багато ще залишається незрозумілого навколо них. Одна справа – окремі суто практичні аспекти, а зовсім інша – досить поширені міфи, розвіяти верхню п'ятірку яких сьогодні спробує Ієн Кулі (Ian Cooley), фахівець із захисту та персональних даних у GDPR Advisors UK та один із спікерів щорічної конференції Асоціації бухгалтерських фахівців AAT.

1. Перший міф має найбільшу актуальність для мешканців Туманного Альбіону, і звучить він так: "Brexit покладе край GDPR". Це, звісно ж, неправильно. Незважаючи на те що наступного року повинен завершитися формальний процес виходу Великобританії з ЄС, європейський Закон про захист персональних даних уже зараз прописано в її національному законодавстві й "відкочувати" все назад уряд наміру не має.

2. GDPR запровадив у практику два нові поняття – контролер персональних даних та обробник персональних даних. Багато хто вважає: "Ви можете бути або контролером, або обробником даних". Це неправильно – поправляє Ієн Кулі – оскільки ви з легкістю можете виконувати обидві ці ролі. Найчастіше на таке можна натрапити під час одночасної роботи з даними своїх клієнтів і їх роботодавців або постачальників. У цьому випадку стосовно даних клієнтів вас можна вважати контролером, а щодо, наприклад, відомостей про заробітну плату – обробником. Тут від клієнта буде потрібна письмова угода на обробку інформації третьою стороною.

"Це не є чимось незвичайним для людей... але я не роблю з цього події... Контролер вирішує, що він збирає та що з цим далі відбувається, – і це організація або персона, з якою у вас відносини. Постраждає ваша репутація, якщо обробники напартачать із даними, які ви контролюєте", – зауважує експерт.

3. "Бізнес-дані також ураховано GDPR". GDPR покриває тільки персональні дані, що логічно випливає із самої назви. Інвойси, платіжні ордери та інші подібні документи не враховують – але лише доти, поки їх зміст не охоплює персональні дані.

Є, однак, багато підводного каміння. Що якщо юридична адреса компанії збігається з особистою адресою? А що якщо компанія має ім'я її власника? "З партнерствами може бути непросто визначити, чи є обмежена відповідальність. Якщо асоційованої з ними обмеженої відповідальності немає, то вони – фізособи... Це накладає певну відповідальність на персону, яка використовує цю інформацію, у плані проведення невеликого вивчення того, з ким вони взаємодіють. Це змінює все досить значно порівняно з тим, що зараз", – наголошує Ієн Кулі.

4. "Індивідуальним продавцям не потрібно хвилюватися з приводу GDPR". Якщо вони також володіють персональними даними, то ніяких меж щодо розміру організацій новий регламент не обумовлює. Він універсальний для всіх. "Чув, як люди кажуть: "У мене менше ніж 250 співробітників, тому це до нас не може бути застосовано". Ми також чули неправильне твердження від юриста про те, що, оскільки для малого бізнесу є винятки в [британському] Законі про захист персональних даних, те саме буде й у GDPR. Але там немає й не було винятку для малого бізнесу".

Деяка плутанина може виникнути також із тієї причини, що далеко не всім потрібно проходити реєстрацію в ICO – британському Управлінні уповноваженого з питань інформації. Це так, але виконувати вимоги в будь-якому разі доведеться всім. А щоб визначити, чи є потреба реєстрації в ICO, передбачено спеціальну онлайн-перевірку на його сайті.

Ієн Кулі зазначає, що деякі пункти цього списку для самоперевірки можуть вимагати для пояснень аркуша формату А4, не менше – настільки багато там нюансів. Тому доведеться як слід усе проаналізувати. Однак реальність така – зауважує він – якщо тільки це не поштова листівка до Різдва, вимоги GDPR доведеться виконувати, навіть якщо реєстрацію в ICO не виконано.

5. "Комплаєнс – це проставлення "галочок" ще в кількох пунктах". Багато так і підходять до справи, але GDPR – набагато складніше за це. Є безліч елементів, остаточну ясність яких може прояснити лише суд. "Неможливо забезпечити 100%-й комплаєнс, оскільки ви поки що не знаєте правил. І ви не зможете проставити кілька "галочок" і розпочати виконувати все за тиждень". Адже це не як прибити на стіну сертифікат – отримав і забув. GDPR – це процес, спосіб ведення бізнесу. Ключ до всього – поводитися з персональними даними з обережністю й повагою, на які вони заслуговують.

За матеріалами: AAT

Джерело: GAAP.RU

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання Вісник МСФЗ
Контакти редакції:
ifrs@ligazakon.ua
 
Даний функціонал доступний передплатникам в електронному виданні.
Якщо Ви ще не передплачуєте видання, замовте безкоштовний доступ до демо-номера
або підпишіться на видання Вісник МСФЗ