С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).
Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).
Обеспечить: конфиденциальность личных данных, прозрачное уведомление о сборе данных, правомерное использование данных, пояснение о целях применения, обозначить одно из 6 разрешенных законных оснований для сбора каждой категории персональных данных, методах обработки, хранения и удаления информации
Проводить обучение сотрудников соблюдению требований GDPR, при необходимости, учредить должность специалиста по защите данных, обновлять политики данных и проводить их аудит
Проводить оценку рисков новых внедряемых систем и ПО на предмет потенциального риска для конфиденциальности данных субъектов
Зарегистрироваться в надзорных органах, регулирующих обработку персональных данных в стране Евросоюза, в которой находится юридическое лицо компании или происходит наиболее существенная обработка данных резидентов данной страны
Уведомлять надзорные органы об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого нарушения.
Назначить официального представителя в Евросоюзе по вопросам обработки персональных данных в случае, если у компании отсутствует юридическое лицо в стране Евросоюза, либо нет сотрудников на территории Евросоюза.
В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом
Уведомлять
пользователей о трансграничной передаче их персональных данных за пределы Европейского Союза и получать их
информированное согласие
За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.
Команда экспертов, работающая с 2011 года
Специализация на законе №152-ФЗ "О персональных данных" и GDPR
8 000 клиентов
доверяют нам
Более 100 успешных проверок Роскомнадзора
Лицензия ФСТЭК на проведение работ по технической защите информации
Узнайте как выполнить требования Общеевропейского регламента о персональных данных(General Data Protection Regulation, GDPR)