Новый подход к защите персональных данных в Европе

21 мая 2018
Уже совсем скоро, 25 мая, вступит в силу новый Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR), который весьма значительно перекроит системы внутреннего контроля всех европейских данных, по роду своей деятельности работающих с персональной информацией клиентов.
В связи с тем, что Великобритания на момент вступления его в силу еще будет членом Евросоюза (а принятый впоследствии Акт о защите данных в любом случае закрепил в национальном законодательстве положения GDPR даже после официального завершения "Brexit"), подготовка к переходу как никогда актуальна и для британских компаний. Заботясь о готовности своих членов к грядущим изменениям, Институт присяжных бухгалтеров Англии и Уэльса (ICAEW) выпустил список ключевых рекомендаций.

Изменения, в зависимости от принадлежности организации к той или иной отрасли, ее размера, страны резидентства, текущей налаженности внутренних процессов и других факторов могут быть как очень значительными, так и косметическими. Общеевропейский регламент о персональных данных стал результатом многих лет кропотливой работы над унификацией европейских требований в отношении обеспечения сохранности персональных данных.

Требования стали значительно жестче, например:

  • вводится официальная должность ответственного за защиту данных;
  • расширяется использование принципа согласия клиента на обработку его данных, которое теперь может быть в любой момент отозвано;
  • соответствие требованиям GDPR совсем скоро придется не просто обеспечивать, но и доказывать;
  • вводится новая обязанность сообщать в регулирующие инстанции все факты имевших место нарушений целостности персональных данных (в Великобритании, например, таким органом является Управление уполномоченного по вопросам информации).
Доступ к своим данным предоставляется клиенту после подачи запроса в течение месяца (вместо прежних 40 дней) и абсолютно бесплатно

Любое нарушение теперь будет караться гораздо большими штрафами. Например, если ранее в Британии в качестве максимального штрафа за это было предусмотрено £500,000, то теперь (как и во всех странах ЕС) можно расстаться с €20 млн. или же 4% оборота, смотря что больше. Желающие вряд ли найдутся, поэтому готовиться лучше начинать как можно раньше, тем более что времени остается немного.

Институт присяжных бухгалтеров Англии и Уэльса рекомендует в этой связи в первую очередь выделить человека на ключевую новую должность ответственного за защиту данных, причем, поскольку защита персональных данных теперь является проблемой не только IT-департамента, но всей организации в целом, это обязательно должен быть человек на высших управляющих должностях. Кроме того, по той же самой причине может потребоваться обучение и рядового персонала, поскольку все должны хотя бы просто осознавать, что теперь это касается и их.

Далее, необходимо, по меньшей мере, просто проанализировать действующую систему кибербезопасности на предмет соответствия новым требованиям. Если организация и раньше уделяла ей достаточно внимания, удастся ограничиться минимальными изменениями и затратами. Придется также заняться систематизацией данных, пересмотреть действующие договоры с клиентами на предмет актуальности условий использования их персональных данных, а также проанализировать действующие процедуры и процессы (в том числе в отношении представления отчетности), поскольку теперь нужно будет не просто выполнять, но и доказывать.


Подпишитесь на наши новости
Будьте в курсе всех актуальных анонсов, новостей и акций Ассоциации НОВАК
*Отправляя свои данные, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности, согласно 152-ФЗ