Положение о защите данных (The General Data Protection Regulation (GDPR)) вступило в силу в мае 2018 года, и в соответствии с буквой закона, практически каждый бизнес в Великобритании должен его соблюдать. Тем не менее, существуют некоторые заблуждения относительно закона и его значения для организаций. Это может привести к сложным ситуациям, в которых могут быть допущены ошибки.
Вот шесть мифов о GDPR, которые некоторые люди и бизнес до сих пор считают правдой.
Миф: большие штрафы — просто угроза
В течение длительного времени в начале 2018 года статьи о GDPR появлялись в заголовках газет, прежде чем правила вступили в силу. За это время многое было сделано из страха перед чрезвычайно тяжелыми штрафами, которые могли быть наложены на предприятия, которые не соблюдали правила. По имеющимся данным, они составляют до 20 миллионов евро или 4 процента мирового оборота, в зависимости от того, какая цифра больше.
Эти цифры явно огромны, и некоторые компании по-прежнему считают, что они представляют собой не что иное, как угрозу, которую невозможно осуществить. Однако важно помнить, что в прошлом крупные компании сталкивались с огромными штрафами за защиту данных. Например, в 2016 году WhatsApp был выдан штраф в размере 10 000 евро за каждый день несоблюдения голландского законодательства о данных.
Это было еще до того, как GDPR вступил в силу, но с момента принятия против Google было вынесено чрезвычайно суровое наказание за несоблюдение компанией правил. Действительно, французское агентство по защите данных CNIL оштрафовало технологического гиганта на 50 миллионов евро . Похоже, что Google не соблюдает ключевую часть правил и не предоставила своим клиентам информацию об использовании их данных. Расхождение между 10 000 евро в день и 50 миллионами евро огромно, и оно показывает, насколько сильно все изменилось.
Миф: GDPR не будет применяться в Великобритании после Brexit
Существует распространенное заблуждение, которое может быть чем-то вроде желанного размышления со стороны владельцев бизнеса, которые не хотят хлопот по достижению соответствия нормативам GDPR. Дело в том, что британским предприятиям не нужно будет соблюдать GDPR после Brexit, потому что это закон ЕС и что этот стандарт не будет применяться к Великобритании.
Тем не менее, важно отметить, что Великобритания перенесла все правила GDPR в Закон о защите данных 2018 года . Это означает, что британские компании будут иметь те же самые требования соответствия после Brexit, как и раньше. Кроме того, следует отметить, что любой британский бизнес, имеющий дело с гражданами ЕС, все равно должен будет напрямую соблюдать GDPR.
Миф: если вы согласны, вы можете перестать беспокоиться
Вы можете предположить, что, как только ваш бизнес будет совместим с GDPR, вы можете просто забыть о проблеме и вернуться к обычному бизнесу. Но важно отметить, что соблюдение GDPR на самом деле является непрерывным процессом, а не тем, чего вы достигнете навсегда. Предприятия должны регулярно предпринимать шаги для обеспечения безопасности личных данных.
Миф: это просто способ наказать организации
Некоторые предприятия считают, что GDPR — это просто метод наказания организаций и поиска новых способов оштрафовать их. Правда заключается в том, что положения и правила, касающиеся защиты данных, чрезвычайно устарели, и что GDPR это существенное улучшение того, что было раньше.
Хотя верно то, что GDPR предоставил регулирующим органам более широкие полномочия для штрафных организаций, он также создал непротиворечивую основу для работы компаний, чтобы они могли понять, что от них требуется .
Миф: согласие должно быть получено явно
Возможно, вы помните, когда GDPR вступил в силу в мае 2018 года, в ваш почтовый ящик попало огромное количество электронных писем с просьбой дать согласие на то, на что вы ранее подписались. Это было связано с мифом о согласии на рассылку маркетинговых материалов. Некоторые организации полагали — и продолжают верить — что согласие должно быть получено явно.
Однако при этом не учитывается тот факт, что предприятия могут использовать пункт в GDPR, который позволяет организациям связываться с отдельными лицами, если у них есть законные интересы .
Миф: организациям необходимо назначить DPO
В GDPR упоминается о важности сотрудника по защите данных (DPO), который заставил многие организации предположить, что DPO требуется для всех предприятий. Это неверно. Фактически DPO обычно требуется только в том случае, если вы являетесь государственным органом, который обрабатывает данные, ваши основные действия включают регулярный мониторинг субъектов данных или вы обрабатываете конфиденциальные данные в больших масштабах.
Заключение
Соблюдение GDPR не является обязательным — это юридическое требование для любой организации, которая ведет бизнес с клиентами, клиентами, партнерами или поставщиками из ЕС. Если вы обеспокоены тем, что не понимаете GDPR и не уверены, что ваш бизнес полностью соответствует требованиям, стоит проконсультироваться с экспертами. Правильное соблюдение правил поможет вам избежать риска крупных штрафов и обеспечит дополнительную безопасность вашего бизнеса.