Про GDPR, практика (7): британский ICO и платная регистрация
Британский регулятор хочет денег. Если вы там есть, платить скорее всего придется. Вопрос за что, и сколько; давайте смотреть.
Британский регулятор (ICO) который выступает как орган для GDPR UK, уже какое-то время назад (2019) ввел механизм регистрации. Реестр реестров, ага.
Там есть fee, в смысле деньги, которые надо этому самому ICO ежегодно заплатить.
В 2026 вот с мест доносится, что начали народу приходить «письма счастья». О том, что надо бы регистрацию, и взносики будь добр занести в кассу.
— Размер взносиков от 5000 руб до 376 000 руб (от 52 до 3763 в фунтах), в год.
— Штрафы соизмеримые, до 400 000 руб (до 4000 в фунтах). Не запредельно, но все равно неприятно.
То есть, когда я ранее писал о том, что бегать и показываться европейскому регулятору вроде как по своей инициативе не надо — получается, для UK-юрисдикции это не так. Надо идти, регаться и платить денег.
Кого касается
Тех, кто зарегистрирован как компания в UK.
Тех, кто просто в евросоюзе, вроде как (пока) не касается. Тех, у кого клиенты из UK при этом, вроде бы тоже не касается, но если вы работаете на UK-рынке, бизнесовый регулятор UK (не ICO) может убедительно попросить открыть представительство.
И вот тогда будет касаться точно.
Где описано
Нормальным языком вот тут https://ico.org.uk/for-organisations/data-protection-fee/faqs-data-protection-fee-payment-and-online-registration/
Юридическим языком вот тут https://www.legislation.gov.uk/uksi/2018/480/contents/made и вот тут (изначальный документ) https://www.legislation.gov.uk/uksi/2018/480/made/data.pdf.
Within the first 21 days of each charge period a data controller must pay a charge to the Information Commissioner, determined in accordance with regulation 3
Ценник с 2019 года поменялся в сторону увеличения.
За что платим
За то, чтобы регулятору было что кушать. Больше никаких содержательных плюшек оплата тарифа для заплатившего не несет.
It is the law to pay the fee, which funds the ICO’s work, but it also makes good business sense because whether or not you have paid could have an impact on your reputation.
Being listed as a fee payer on the ICO’s website sends a strong message to all those seeking to do business with you: it shows that you are aware of your data protection obligations, and that you run a tight ship.
If you need to pay and do not pay, you could be fined up to £4,000. Between May 2021 and January 2022, we issued 126 monetary penalties to organisations that have not paid the data protection fee.
Детский сад, короче.
С вас чисто хотят денег, потому что могут по закону.
Кто должен платить
Если коротко — все, кто обрабатывает информацию о физиках (включая своих же клиентов) любым электронным образом.
Подпадает даже тупо сбор и каталогизация. Отдельной строкой у них везде прописана видеозапись: даже если у вас на машине с развозкой стоит видеорегистратор — это уже CCTV и все вытекающие последствия.
Using information electronically means using any kind of device to handle information. This includes: surveillance equipment (recording or not recording); computers; smart phones; laptops; tablets; and cloud systems. It also covers things like digital cameras, emails, messaging apps, call logs, and systems that record or store audio and video.
Про видеозапись у них какой-то больной вопрос, подробнее тут https://ico.org.uk/for-organisations/advice-for-small-organisations/cctv-and-dashcams/dashcams-and-uk-gdpr-what-small-businesses-need-to-know/
Сколько платим
На вебсайтике можно протыкать опрос https://ico.org.uk/for-organisations/data-protection-fee/data-protection-fee-self-assessment/
- Всякая мелкота обычно попадает в категорию за 52…78 фунтов (tier 1). Мелкота это если у вас оборот за год меньше 632000 фунтов или меньше 10 сотрудников. Для всяких представительств и локальных branches вроде бы нормально, вряд ли у вас вся контора зарегана в UK-юрисдикции (а если да, то зачем?)
- Если условия выше не выполняются, хоть одно, тогда tier 2 и точно не менее 78 фунтов, но есть мелким шрифтом условия по характеру данных и их обработки. Для всякой медицины, юридической практики, кредитного скоринга и финансовых организаций — будет больше. Общие условия для tier 2 — до 36 млн фунтов годового оборота и до 250 сотрудников
- Все кто крупнее и в это не попал — tier 3, 3763 фунта в год.
Юридические и финансовые услуги (которые tier 2) где-то там прописаны. Коротко, legal or financial services = accountancy and auditing, consultancy, credit referencing, debt administration, insurance, or mortgage broking.
Если несколько офисов и представительств: считается по тому, кто там из них data controller (то есть принимает решения об обработке данных), и сколько их. Обьединять несколько в один платеж, если они части одной конторы — точно можно. Разделять на несколько мелких, чтобы заплатить с каждого минималку — сложнее, но иногда тоже можно, надо им писать и показывать какие-то документы, которые определяют взаимодействие мелко-контор. Сам не подскажу, не пробовал.
Если вы зачем-то public authority, то тоже правила другие. Это про госконторы, организации здравоохранения, полицию и армию, различные советы и организации, регуляторка, общественный транспорт, fire and rescue, образовательные организации (включая частные). Скорее всего это не про вас, если что, юристы должны быть в курсе.
Штрафы: если вы (по мнению регулятора) должны были платить, и за 12 месяцев не почесались, то надо будет И оплатить горчичник, И сам тариф. Насколько я могу видеть, размер штрафа регулятор выставляет соизмеримый платежу по предполагаемому tier.
То есть если коротко, за просранные обязательства (за истекший год) надо будет заплатить в двойном размере — сам тариф + похожий на него штраф. Но заранее не узнаешь.
Перед штрафом вам шлют Notice of Intent, и на реакцию дается 2 недели.
Кому можно не платить
Есть список исключений. Но обычная нормальная коммерческая компания туда ни фига не попадает, даже если там один человек и продажа спичек через интернет. Хотя для таких fee будет минимальный (52 фунта = 5000 руб), регистрироваться и платить все равно придется.
Если у вас некоммерческая организация (то есть, конкретно nonprofit по устанавливающим документам), то список правил такой:
— only process information necessary to establish or maintain membership or support
— only process information necessary to provide or administer activities for people who are members of the organisation or have regular contact with it;
— you only hold information about individuals whose data you need to process for this exempt purpose
— the personal data you process is restricted to personal information that is necessary for this exempt purpose.
Безопасность и внутренние нужды сюда не входят (включая fraud prevention), а также сбор инфы с потенциально расширяемыми целями. Регулятор отдельно указывает, что даже видеокамера наблюдения сюда уже не подпадает. Мне кажется, это список для «чисто бумажных» нонпрофитов, которые даже реально не существуют физически в UK, а просто используют регистрационный адрес (они по закону обязаны).
Оговорка про благотворительность тоже есть, специфика соединенного королевства, но надо быть в charity-реестрах.
A «charity» in England, Wales and Northern Ireland is an institution set up for charitable purposes only. In Scotland, it means a body entered in the Scottish Charity Register. This includes some schools such as multi academy trusts (MATs).
For a full description of what qualifies as an exempt charity, see Section 1 of the Charities Act 2011 (a) or the Charities Act (Northern Ireland) 2008 (b).
Разводы и скам
Разумеется, у них в UK уже тоже отросли мамкины разводилы, которые пишут агрессивный скам на почту компаниям, и требуют чего-то оплатить, иначе атата и все земные кары.
Все письма, которые нормальные настоящие, должны исходить от ico.org.uk. Вся оплата — тоже, только на их вебсайте https://ico.org.uk/for-organisations/data-protection-fee/register/
There are some private companies who offer to complete the data protection fee payment on behalf of your organisation, often charging more than the standard cost.
Be aware that these agencies have no official standing or powers under data protection law, and there is no connection between them and the ICO — we recommend you pay the ICO directly.
Так что если вам пришли другие, левые васяны и чего-то хотят — скорее всего это говнопрокладка, которая хочет впарить вам свои «юридические сервисы» и тупо развести на бабло.
Что еще
Из их гайдов следует, что если регулятор за вас схватился, вне зависимости от оплат-положений-оценок, вас еще и прогонят на общую оценку соответствия GDPR compliance. Наличие data policy, контактов, всех необходимых правил и так далее.
Лишний повод убедиться, что у вас там всё хорошо — или они хотя бы существуют. Ну, об этом фестивале я как раз в прошлых статьях писал.
— Про GDPR, практика (1): закон, регулятор, data policy
— Про GDPR, практика (2): консенты, запросы от дкома, identity check
— Про GDPR, практика (3): удаление данных, деперс, контент
— Про GDPR, практика (4): получение данных, изменение, гайдлайны
— Про GDPR, практика (5): реклама, куки, tag managers
— Про GDPR, практика (6): байдизайны, DPIA, статистика и полезное
— Про GDPR, практика (7): британский ICO и платная регистрация