Отправить на принтер

“Тонкости” защиты данных для аудиторов

Дата вступления в силу постановления Европейского союза о защите персональных данных (далее - GDPR) уже позади, однако для британских компаний в секторе профессиональных услуг, как говорит по этому поводу глава Управления уполномоченного по вопросам информации (Information Commissioner's Office), “это лишь начало", пишет gaap.ru.

Но в каком смысле “начало”? А в том смысле, что необходимо тщательно обдумать и найти ответ на целый ряд вопросов, как-то:

Будет ли решение по адекватности данных к завершению Brexit?

Великобритании требуется обеспечить необходимый уровень защиты потоков данных, которыми она обменивается с Европой. Комитет по выходу из Европейского союза (далее - ЕС) призвал правительство начать процесс вынесения решения об адекватности данных, потому что если такого согласованного с ЕС решения не будет к концу переходного периода, британским компаниям придется внедрять очень недешевые решения на основе индивидуальных соглашений, чтобы иметь возможность обмениваться данными с Европой.

Аудиторская компания – это "контролер данных" или "обработчик данных"?

Вопрос роли аудиторской компании по отношению к получаемым от клиентов персональным данным, конечно, не так однозначен. Контролер данных - это организация, которая самостоятельно либо в сотрудничестве с другими определяет цели и способы обработки. Обработчик данных занимается, собственно, обработкой от имени контролера. Однако принадлежность либо к той, либо к другой категории будет определять обязанности в рамках требований GDPR, которые отличаются.

Руководство от британского Управления уполномоченного по вопросам информации (правда, выпущенное намного раньше и относящееся еще к Закону о защите персональных данных 1998 года), гласит, что аудиторские компании являются все-таки контролерами в отношении данных своих клиентов, однако контракт определяет услугу, которая должна быть оказана клиенту, и соответственным образом определяются персональные данные, требуемые для проведения работы. Кроме того, у компании есть и профессиональные обязанности помимо простого действия в интересах клиента.

Поскольку и клиент, и компания являются контролерами данных, стоит также подумать, можно ли применить здесь положения GDPR о “совместных” контролерах. Вероятнее всего, что все-таки нет, если принимать во внимание их независимую по отношению друг к другу позицию, то есть они по сути своей независимые контролеры и несут ответственность также на независимой основе.

Но хотя мнение Управления изложено довольно четко, клиенты профессиональных организаций почему-то часто видят их в качестве обработчиков данных и пытаются в рамках договоров навязать условия, соответствующие отношениям “контролер-обработчик”. А GDPR содержит в себе требования, которые накладывают на обработчиков определенные ограничения, что означает, что в этом случае компаниям придется следовать этим дополнительным условиям. Это может оказывать на деловые отношения с клиентами определенное давление.

Обработка данных

Обосновать доступ, например, к медицинским данным, можно с позиции соблюдения законных интересов контролера данных, но этот базис неприменим в случае с особыми данными, требующими выполнения дополнительных условий - например, в случае с профессиональными услугами, которые требуют оценки уровня присутствия персонала компании на рабочем месте и выдачи рекомендаций по устранению этой проблемы. Понятно, что в отношении определенной информации компании-клиенты могут быть чувствительны и не позволять неограниченный доступ к ней.