Это письма, которые касаются всех, чья работа, отдых или игра связаны с компьютерами и информацией. Посмотрим правде в глаза, это большинство из нас в наши дни, особенно в области бухгалтерского учета (и я не говорю о MTD!). И это общие положения о защите данных, вступающие в силу 25 мая 2018 года.
Эта область совсем не такая сухая и скучная, как кажется. Споров и путаницы предостаточно. Итак, вот первая часть серьезного и свободного от шумихи руководства по лабиринту GDPR от Accounting Insight News:(но сначала предупреждение… это руководство, а не юридическое евангелие!)
Объем цифровой информации быстро и значительно увеличился за последние 20 лет. Существующие правила, определяющие, как предприятия и общественные организации обрабатывают, обрабатывают и вообще хранят эту информацию, не соответствовали задачам в нашей новой, более технологичной среде.
Так что что-то должно было дать, как парень, который шел перед моторизованным транспортным средством, размахивая красным флажком, чтобы предупредить других участников дорожного движения. Короче говоря, директива о защите данных 1995 года (человек с красным флагом) заменяется GDPR, новой европейской системой защиты данных. Мы вступаем в эпоху информационных тормозов и светофоров!
Да, и, прежде чем мы пойдем по пути Brexit, Великобритания представляет законопроект о защите данных, который в основном учитывает GDPR независимо от вопросов ЕС.
За соблюдением правил в Великобритании будет следить Управление Комиссара по информации, которое базируется в Чешире и возглавляется Элизабет Денхэм, которая была назначена на пятилетний срок в 2016 году. что происходит с их личными данными».
В юридический пакет GDPR входят:
В ICO говорится, что если вы в настоящее время подпадаете под действие законов о защите данных, вы также подпадаете под действие GDPR.
То, как на вас распространяется действие закона, зависит от того, являетесь ли вы обработчиком или контролером информации. «Контролер» решает, как использовать данные, например, для маркетинговой кампании или коммерческого предложения. Термин «процессор» охватывает все остальное. То есть вы получаете, адаптируете и храните данные в файле или в облаке, но не управляете ими.
Далее идут личные и конфиденциальные данные. Личные данные означают любую информацию, которая может быть использована для идентификации человека, например, имя или IP-адрес. Конфиденциальные данные — это данные, раскрывающие такие вещи, как сексуальная ориентация, политические взгляды, история болезни и т. п.
Как и следовало ожидать, большинство компаний, работающих с большими данными, соответствуют требованиям GDPR. Например, они, вероятно, уже выполнили требование о найме сотрудника по защите данных.
Но существует множество небольших компаний, в том числе бухгалтеров, которые контролируют и обрабатывают большое количество личных и конфиденциальных данных. И они должны быть умными. Просто им нужно убедиться, что они знают, какие данные у них есть… например, о клиентах. Они должны убедиться, что у них есть разрешение на его использование таким образом, как они есть. И они должны убедиться, что это безопасно.
О нарушениях данных — уничтожении, потере, несанкционированном раскрытии — необходимо сообщать ICO в течение трех дней после взлома. Нарушение должно с большой вероятностью затрагивать права и свободы людей. Таким образом, условия сообщения включают такие области, как финансовые потери и конфиденциальность
Группы с более чем 250 работниками должны указать, почему собирается и обрабатывается личная и конфиденциальная информация людей.
И в определенных ситуациях фирмы должны получить согласие на использование данных человека. Этот процесс должен быть четко объяснен, и должно быть «позитивное согласие» человека, которого просят что-то сделать.
GDPR дает людям больше возможностей для получения информации о себе. И им не придется платить за привилегию, как сейчас. Бизнес также должен будет предоставить детали в течение месяца. В большинстве случаев люди будут иметь право на объяснение решения, принятого в их отношении на основании использования их данных. Они также смогут потребовать удаления личной информации, которая больше не требуется для цели, для которой она была собрана.
Одним словом. Штрафы. Если вы не обрабатываете чьи-то данные в соответствии с GDPR (и вас купили или узнали), вас могут оштрафовать. Здорово. То же самое касается нарушения безопасности данных, о котором не сообщается.
ICO имеет право налагать финансовые штрафы в размере до 10 миллионов евро или 2% от глобального оборота фирмы (в зависимости от того, что больше) за более мелкие правонарушения. Эта цифра доходит до 20 млн евро или 4 % в более серьезных случаях. Раньше эта цифра составляла 500 000 фунтов стерлингов.
GDPR привел к большому количеству паники, и спекулянтов гибелью было много. Денхэм ответил некоторым критикам следующим образом:
О штрафах: «Этот закон не о штрафах. Речь идет о том, чтобы поставить потребителя и гражданина на первое место. Мы не можем упускать это из виду. Сосредоточение внимания на больших штрафах вызывает большие заголовки, но мысль о том, что GDPR касается финансового наказания, не имеет смысла. Обязательство ICO направлять, консультировать и обучать организации о том, как соблюдать закон, не изменится в соответствии с GDPR. Мы всегда предпочитали пряник кнуту».
При согласии: «Чтобы обработка была законной в соответствии с GDPR, вам необходимо определить законное основание, прежде чем начать. Местные органы власти обрабатывают информацию о муниципальных налогах, банки обмениваются данными в целях защиты от мошенничества, страховые компании обрабатывают информацию о претензиях. В каждом из этих примеров используется различное законное основание для обработки личной информации, которая не является согласием. Новый закон предусматривает пять других способов обработки данных, которые могут быть более подходящими, чем согласие».
О Общем регламенте по защите данных в целом: «GDPR — это эволюционный процесс для организаций:25 мая — дата вступления закона в силу, но ни один бизнес не стоит на месте. Ожидается, что вы продолжите выявлять и устранять возникающие риски для конфиденциальности и безопасности в течение нескольких недель, месяцев и лет после мая 2018 года. При этом «льготного» периода не будет — на подготовку ушло два года, и мы будем регулировать с этой даты».
Несомненно и другое. Мы еще вернемся к этой теме.