Новый подход к защите персональных данных в Европе
21 мая 2018
Уже совсем скоро, 25 мая, вступит в силу новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR), который весьма значительно перекроит системы внутреннего контроля всех европейских данных, по роду своей деятельности работающих с персональной информацией клиентов.
В связи с тем, что Великобритания на момент вступления его в силу еще будет членом Евросоюза (а принятый впоследствии Акт о защите данных в любом случае закрепил в национальном законодательстве положения GDPR даже после официального завершения "Brexit"), подготовка к переходу как никогда актуальна и для британских компаний. Заботясь о готовности своих членов к грядущим изменениям, Институт присяжных бухгалтеров Англии и Уэльса (ICAEW) выпустил список ключевых рекомендаций.
Изменения, в зависимости от принадлежности организации к той или иной отрасли, ее размера, страны резидентства, текущей налаженности внутренних процессов и других факторов могут быть как очень значительными, так и косметическими. Общеевропейский регламент о персональных данных стал результатом многих лет кропотливой работы над унификацией европейских требований в отношении обеспечения сохранности персональных данных.
Требования стали значительно жестче, например:
Любое нарушение теперь будет караться гораздо большими штрафами. Например, если ранее в Британии в качестве максимального штрафа за это было предусмотрено £500,000, то теперь (как и во всех странах ЕС) можно расстаться с €20 млн. или же 4% оборота, смотря что больше. Желающие вряд ли найдутся, поэтому готовиться лучше начинать как можно раньше, тем более что времени остается немного.
Институт присяжных бухгалтеров Англии и Уэльса рекомендует в этой связи в первую очередь выделить человека на ключевую новую должность ответственного за защиту данных, причем, поскольку защита персональных данных теперь является проблемой не только IT-департамента, но всей организации в целом, это обязательно должен быть человек на высших управляющих должностях. Кроме того, по той же самой причине может потребоваться обучение и рядового персонала, поскольку все должны хотя бы просто осознавать, что теперь это касается и их.
Далее, необходимо, по меньшей мере, просто проанализировать действующую систему кибербезопасности на предмет соответствия новым требованиям. Если организация и раньше уделяла ей достаточно внимания, удастся ограничиться минимальными изменениями и затратами. Придется также заняться систематизацией данных, пересмотреть действующие договоры с клиентами на предмет актуальности условий использования их персональных данных, а также проанализировать действующие процедуры и процессы (в том числе в отношении представления отчетности), поскольку теперь нужно будет не просто выполнять, но и доказывать.
Изменения, в зависимости от принадлежности организации к той или иной отрасли, ее размера, страны резидентства, текущей налаженности внутренних процессов и других факторов могут быть как очень значительными, так и косметическими. Общеевропейский регламент о персональных данных стал результатом многих лет кропотливой работы над унификацией европейских требований в отношении обеспечения сохранности персональных данных.
Требования стали значительно жестче, например:
- вводится официальная должность ответственного за защиту данных;
- расширяется использование принципа согласия клиента на обработку его данных, которое теперь может быть в любой момент отозвано;
- соответствие требованиям GDPR совсем скоро придется не просто обеспечивать, но и доказывать;
- вводится новая обязанность сообщать в регулирующие инстанции все факты имевших место нарушений целостности персональных данных (в Великобритании, например, таким органом является Управление уполномоченного по вопросам информации).
Любое нарушение теперь будет караться гораздо большими штрафами. Например, если ранее в Британии в качестве максимального штрафа за это было предусмотрено £500,000, то теперь (как и во всех странах ЕС) можно расстаться с €20 млн. или же 4% оборота, смотря что больше. Желающие вряд ли найдутся, поэтому готовиться лучше начинать как можно раньше, тем более что времени остается немного.
Институт присяжных бухгалтеров Англии и Уэльса рекомендует в этой связи в первую очередь выделить человека на ключевую новую должность ответственного за защиту данных, причем, поскольку защита персональных данных теперь является проблемой не только IT-департамента, но всей организации в целом, это обязательно должен быть человек на высших управляющих должностях. Кроме того, по той же самой причине может потребоваться обучение и рядового персонала, поскольку все должны хотя бы просто осознавать, что теперь это касается и их.
Далее, необходимо, по меньшей мере, просто проанализировать действующую систему кибербезопасности на предмет соответствия новым требованиям. Если организация и раньше уделяла ей достаточно внимания, удастся ограничиться минимальными изменениями и затратами. Придется также заняться систематизацией данных, пересмотреть действующие договоры с клиентами на предмет актуальности условий использования их персональных данных, а также проанализировать действующие процедуры и процессы (в том числе в отношении представления отчетности), поскольку теперь нужно будет не просто выполнять, но и доказывать.
Подпишитесь на наши новости
Будьте в курсе всех актуальных анонсов, новостей и акций Ассоциации НОВАК
*Отправляя свои данные, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности, согласно 152-ФЗ