«Тонкости» GDPR для аудиторских компаний |
Дата вступления в силу Общеевропейского регламента о защите персональных данных (GDPR) уже позади, однако для британских компаний в секторе профессиональных услуг, как говорит по этому поводу глава Управления уполномоченного по вопросам информации (Information Commissioner’s Office), «это лишь начало». Необходимо тщательно обдумать и найти ответы на целый ряд вопросов, как то:
БУДЕТ ЛИ РЕШЕНИЕ ПО АДЕКВАТНОСТИ ДАННЫХ К ЗАВЕРШЕНИЮ «БРЕКЗИТ»?
Великобритании требуется обеспечить необходимый уровень защиты потоков данных, которыми она обменивается с Европой. Комитет по выходу из ЕС призвал правительство начать процесс вынесения решения об адекватности данных, потому что если такого согласованного с ЕС решения не будет к концу переходного периода, британским компаниям придется внедрять очень недешевые решения на основе индивидуальных соглашений, чтобы иметь возможность обмениваться данными с Европой.
АУДИТОРСКАЯ КОМПАНИЯ —ЭТО «КОНТРОЛЕР ДАННЫХ» ИЛИ «ОБРАБОТЧИК ДАННЫХ»?
Вопрос роли аудиторской компании по отношению к получаемым от клиентов персональным данным, конечно, не так однозначен. Контролер данных — это организация, которая самостоятельно либо в сотрудничестве с другими определяет цели и способы обработки. Обработчик данных занимается, собственно, обработкой от имени контролера. Однако принадлежность либо к той, либо к другой категории будет определять обязанности в рамках требований GDPR, которые различаются.
ОБРАБОТКА ДАННЫХ
Обработка «обычных» персональных данных (например, медицинских) — пример того, что компания сможет без проблем проводить по ходу аудиторского процесса, если ей потребуется информация о состоянии здоровья сотрудников. Обосновать доступ здесь можно с позиции соблюдения законных интересов контролера данных, но этот базис неприменим в случае с особыми данными, требующими выполнения дополнительных условий (например, в случае с профессиональными услугами, которые требуют оценки уровня присутствия персонала компании на рабочем месте и выдачи рекомендаций по устранению этой проблемы). Понятно, что в отношении определенной информации компании-клиенты могут быть чувствительны и не позволять неограниченный доступ к ней.
Подробнее читайте в статье.
<...>
Войдите в систему или зарегистрируйтесь