Det är breven som rör alla vars arbete, vila eller lek involverar datorer och information. Låt oss inse det, det är de flesta av oss nuförtiden, särskilt inom redovisningsområdet (och jag pratar inte om MTD!) De är G.D.P.R. Och de är de allmänna dataskyddsbestämmelserna som kommer i spel den 25 maj 2018.
Det här området är allt annat än så torrt och tråkigt som det låter. Kontroverser och förvirring finns i överflöd. Så här är del ett av Accounting Insight News' no-nonsense, hypefria guide genom GDPR-labyrinten:(Men först ett varningsord... det är en guide, inte ett juridiskt evangelium!)
Mängden digital information har ökat snabbt och massivt under de senaste 20 åren. Befintliga regler som styr hur företag och offentliga organisationer hanterar, bearbetar och i allmänhet tar hand om denna information klarade inte uppgiften i vårt nya, mer teknikdränkta landskap.
Så något måste ge, ungefär som killen som brukade gå framför det motordrivna fordonet och vifta med en röd flagga för att varna medtrafikanter. I ett nötskal, 1995 års dataskyddsdirektiv (man med röd flagga) ersätts av GDPR, Europas nya ramverk för dataskydd. Vi går in i en tidsålder av databromsar och trafikljus!
Åh, och innan vi går på Brexit-vägen inför Storbritannien dataskyddslagstiftningen, som i princip tar ombord GDPR oavsett EU-frågor.
Reglerna kommer att upprätthållas i Storbritannien av Information Commissioner's Office, som är baserat i Cheshire och leds av Elizabeth Denham, som utsågs för en femårsperiod 2016. Hennes uppgift är att "öka den brittiska allmänhetens förtroende för och förtroende för vad händer med deras personuppgifter”.
Inkluderat i det juridiska GDPR-paketet är:
ICO säger att om du för närvarande omfattas av dataskyddslagar så kommer du också att omfattas av GDPR.
Hur du påverkas av lagen beror på om du är databehandlare eller personuppgiftsansvarig. En "kontrollant" bestämmer hur data används, till exempel för en marknadsföringskampanj eller en säljpresentation. Termen "processor" täcker allt annat. Det vill säga att du skaffar, anpassar och behåller data i fil eller i molnet, men du gör inget.
Nästa steg är personliga och känsliga uppgifter. Personlig betyder all information som kan användas för att identifiera en person, såsom namn eller IP-adress. Känslig betyder data som avslöjar saker som sexuell läggning, politiska åsikter, medicinsk historia och liknande.
Som du kan förvänta dig är de flesta stora datadrivna företag uppdaterade med GDPR. De har förmodligen redan uppfyllt kravet att anställa ett dataskyddsombud, till exempel.
Men det finns många mindre företag där ute – bland annat revisorer – som kontrollerar och behandlar mycket personlig och känslig information. Och de måste vara smarta. De måste helt enkelt se till att de vet vilken data de har... om kunder, till exempel. De måste se till att de har tillstånd att använda det på det sätt som de är. Och de måste se till att det är säkert.
Dataintrång – förstörelse, förlust, obehörigt avslöjande – måste rapporteras till ICO inom tre dagar efter ett hack. Överträdelsen måste sannolikt påverka människors rättigheter eller friheter. Så villkoren för rapportering omfattar områden som ekonomisk förlust och sekretess
Grupper med över 250 anställda måste beskriva varför människors personliga och känsliga information samlas in och bearbetas.
Och i vissa situationer måste företag få samtycke för att använda en persons uppgifter. Denna process måste förklaras tydligt och det måste finnas en "positiv opt-in" från den person som uppmanas att göra något.
GDPR ger människor mer makt att få tag på information om sig själva. Och de kommer inte att behöva betala för privilegiet, som de gör nu. Företaget måste också lämna uppgifterna inom en månad. I de flesta fall kommer människor att ha rätt till en förklaring av ett beslut som fattas om dem baserat på användningen av deras data. De kommer också att kunna kräva radering av personlig information som inte längre krävs för ändamålet som den samlades in.
I ett ord. Böter. Om du inte behandlar någons data enligt GDPR (och du blir handlad eller får reda på det), kan du få böter. Häftig. Detsamma gäller för ett datasäkerhetsbrott som inte rapporteras.
ICO har befogenhet att dela ut ekonomiska sanktioner på upp till 10 miljoner euro eller 2 % av ett företags globala omsättning (beroende på vilket som är störst) för mindre brott. Den siffran går upp till 20 miljoner euro eller 4 % för mer allvarliga ärenden. Den siffran brukade vara 500 000 £.
GDPR har resulterat i mycket skrämselpropaganda och undergångens profitörer har varit ute i gott antal. Denham har svarat några av kritikerna så här:
Om böter: "Den här lagen handlar inte om böter. Det handlar om att sätta konsumenten och medborgaren först. Det kan vi inte tappa ur sikte. Att fokusera på stora böter ger stora rubriker, men att tro att GDPR handlar om förödande ekonomiska straff missar poängen. ICO:s åtagande att vägleda, ge råd och utbilda organisationer om hur man följer lagen kommer inte att ändras under GDPR. Vi har alltid föredragit moroten framför pinnen.”
Om samtycke: "För att behandlingen ska vara laglig enligt GDPR måste du identifiera en laglig grund innan du börjar. Lokala myndigheter behandlar kommunalskatteinformation, banker delar data i bedrägeriskyddssyfte, försäkringsbolag behandlar skadeinformation. Vart och ett av dessa exempel använder olika lagliga grunder för att behandla personlig information som inte är samtycke. Den nya lagen tillhandahåller fem andra sätt att behandla data som kan vara lämpligare än samtycke.”
Om GDPR i allmänhet: "GDPR är en evolutionär process för organisationer – 25 maj är det datum då lagstiftningen träder i kraft men ingen verksamhet står stilla. Du kommer att förväntas fortsätta att identifiera och ta itu med nya integritets- och säkerhetsrisker under veckorna, månaderna och åren efter maj 2018. Som sagt, det kommer inte att finnas någon "anståndstid" – det har varit två år att förbereda och vi kommer att reglera från detta datum.”
En annan sak är säker. Vi kommer att återkomma till detta ämne.