info@b-152.ru +7 (499) 372-06-52 Заказать звонок

Приведение деятельности компании в соответствие требованиям регламента GDPR

 

Вы выполняете новые правила о защите персональных данных?

С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

2021-02-25_23-20-55-removebg-preview.png

Нужна консультация по GDPR?

Узнайте, как выполнить требования GDPR

Имя *

Ваш телефон *

E-mail *

Нажимая кнопку, вы соглашаетесь с правилами обработки персональных данных

Распространяется ли GDPR на мой бизнес?

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

 

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

  • Ваша компания имеет офисы, представительства либо филиалы на территории ЕС;
  • Один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идет речь не о английском, который признан международным, а о таких языках, как итальянский, голландский, шведский и т.д.;
  • Обратная связь с техподдержкой написана на языке одной из стран Европейского союза;
  • Есть наличие сервисных центров на территории Европы;
  • Есть наличие пунктов выдачи в одной или нескольких странах Евросоюза, либо на сайте компании указано, что доставляете продукцию в ЕС;
  • Об услугах компании пишут местные СМИ, либо Вы рекламируете свои услуги в Европе;
  • Осуществляется мониторинг действий пользователей, например в мобильном приложении.

 

В соответствии с GDPR компании теперь обязаны:

Обеспечить:  конфиденциальность личных данных,  прозрачное уведомление о сборе данных,  правомерное использование данных,  пояснение о целях применения, обозначить одно из 6 разрешенных законных оснований для сбора каждой категории персональных данных, методах обработки, хранения и удаления информации

Проводить обучение сотрудников соблюдению требований GDPR, при необходимости, учредить должность специалиста по защите данных, обновлять политики данных и проводить их аудит 

Проводить оценку рисков новых внедряемых систем и ПО на предмет потенциального риска для конфиденциальности данных субъектов

Уведомлять надзорные органы об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого нарушения.

Назначить официального представителя в Евросоюзе по вопросам обработки персональных данных в случае, если у компании отсутствует юридическое лицо в стране Евросоюза, либо нет сотрудников на территории Евросоюза.

В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом

Уведомлять пользователей о трансграничной передаче их персональных данных за пределы Европейского Союза и получать их информированное согласие

 

Как подготовиться?

  • Проанализировать операции по обработке данных на предмет добросовестности их осуществления, а также пересмотреть существующие формы уведомления субъекта данных.
  • Разработать внутренние регламенты, определяющие политику компании в сфере обработки персональных данных, включая назначение инспектора по защите данных.  
  • Осуществить аудит на предмет правовых оснований обработки, использования, хранения и т.д. персональных данных.
  • Проанализировать порядок осуществления трансграничной передачи данных, включая условия и порядок перемещения персональных данных в третьи государства, в международные организации, а также в рамках группы компаний, осуществляющих совместную экономическую деятельность.
  • Обучить персонал, провести проверки деятельности по обработке данных, создать документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных.
  • Разработать внутренние документы и механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, которые возможны в рамках GDPR.
  • Задокументировать внутренние процессы обработки данных, а также подготовить документацию для предоставления субъектам в момент получения от них персональных данных, например политику конфиденциальности и cookie.

 

Что будет если не принять меры?

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.

 

Наши услуги

  • Какие услуги предоставляет Б-152? В нашей команде работают сертифицированные специалисты CIPP/E, сдавшие экзамен в IAPP на знание европейского законодательства в области Privacy. В случае, если Ваша компания не имеет офисов в Евросоюзе, необходимо назначить Представителя. Компания Б-152 имеет «целую сеть» Представителей по всему Евросоюзу, в таких странах как Латвия, Германия, Нидерланды, Великобритания, Болгария. В рамках услуги по приведению деятельности компании в соответствии GDPR проводится детальный gap-анализ соответствия требованиям Регламенту, в который включается:
    • Приведение в соотвествие  с требованиями GDPR организации:
    • Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
    • Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
    • Проведение оценки воздействия на конфиденциальность (DPIAs);
    • Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по GDPR),
    • Услуги представителя в странах ЕС и Великобритании;
    • Помощь с регистрацией компании в надзорных органах стран Евросоюза;
    • Аудит существующих контрактов с обработчиками и приведение их к стандартам GDPR.