Вы подготовились к вступлению в силу новых правил о защите персональных данных?

 

С 25 мая 2018 года вступает в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Узнайте подробнее о требованиях GDPR
у экспертов по вашей отрасли
Вы подготовились к вступлению в силу GDPR?

Узнайте как выполнить требования Общеевропейского регламента о персональных данных (General Data Protection Regulation, GDPR)

Распространяется ли GDPR на мой бизнес?

 

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

 

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

 

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

 

В соответствии с GDPR компании теперь обязаны:

 

Обеспечить:  конфиденциальность личных данных,  прозрачное уведомление о сборе данных,  правомерное использование данных,  пояснение о целях применения, обозначить одно из 6 разрешенных законных оснований для сбора каждой категории персональных данных, методах обработки, хранения и удаления информации

Проводить обучение сотрудников соблюдению требований GDPR, при необходимости, учредить должность специалиста по защите данных, обновлять политики данных и проводить их аудит 

Проводить оценку рисков новых внедряемых систем и ПО на предмет потенциального риска для конфиденциальности данных субъектов

Зарегистрироваться в надзорных органах, регулирующих обработку персональных данных в стране Евросоюза, в которой находится юридическое лицо компании или происходит наиболее существенная обработка данных резидентов данной страны

Уведомлять надзорные органы об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого нарушения.

Назначить официального представителя в Евросоюзе по вопросам обработки персональных данных в случае, если у компании отсутствует юридическое лицо в стране Евросоюза, либо нет сотрудников на территории Евросоюза.

В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом

Уведомлять пользователей о трансграничной передаче их персональных данных за пределы Европейского Союза и получать их информированное согласие
 

 

Как подготовиться?

 

  • Проанализировать операции по обработке данных на предмет добросовестности их осуществления, а также пересмотреть существующие формы уведомления субъекта данных.
  • Разработать внутренние регламенты, определяющие политику компании в сфере обработки персональных данных, включая назначение инспектора по защите данных.  
  • Осуществить аудит на предмет правовых оснований обработки, использования, хранения и т.д. персональных данных.
  • Проанализировать порядок осуществления трансграничной передачи данных, включая условия и порядок перемещения персональных данных в третьи государства, в международные организации, а также в рамках группы компаний, осуществляющих совместную экономическую деятельность.
  • Обучить персонал, провести проверки деятельности по обработке данных, создать документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных.
  • Разработать внутренние документы и механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, которые возможны в рамках GDPR.
  • Задокументировать внутренние процессы обработки данных, а также подготовить документацию для предоставления субъектам в момент получения от них персональных данных, например политику конфиденциальности и cookie.

 

Что будет если не принять меры?

 

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Штрафные санкции будут назначаться соразмерно доходу компании. Также надзорные органы могут запретить обрабатывать персональные данные компании, на время закрыть ее, или запретить директору занимать директорские должности в течение 3 и более лет.

 

 

Наши услуги

 

  • Приведение в соотвествие  с требованиями GDPR организации:
  • Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
  • Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
  • Проведение оценки воздействия на конфиденциальность (DPIAs);
  • Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по GDPR),
  • Услуги представителя в странах ЕС и Великобритании;
  • Помощь с регистрацией компании в надзорных органах стран Евросоюза;
  • Аудит существующих контрактов с обработчиками и приведение их к стандартам GDPR.

О компании

Icon1

Команда экспертов, работающая с 2011 года

Icon2

Специализация на законе №152-ФЗ "О персональных данных" и GDPR

Icon3

8 000 клиентов
доверяют нам

Icon4

Более 100 успешных проверок Роскомнадзора

Icon6

Лицензия ФСТЭК на проведение работ по технической защите информации

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.