Соответствие требованиям GDPR у деятельности компаний

Вы выполняете новые правила о защите персональных данных?

С 25 мая 2018 года вступил в силу Общеевропейский регламент по защите персональных данных - GDPR (General Data Protection Regulation). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Нужна консультация по GDPR?

Узнайте, как выполнить требования GDPR

Распространяется ли GDPR на мой бизнес?

На операции по обработке персональных данных GDPR распространяется в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

Все организации, вне зависимости от своей юрисдикции, должны соблюдать требования GDPR, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Вот несколько конкретных условий применимости GDPR:

Владение офисами, представительствами либо филиалами на территории Евросоюза;
Реализация одной из версий веб-ресурса на языке, считающимся государственным в любой стране Евросоюза (данный случай не распространяется на англоязычную версию);
Деятельность канала технической поддержки на языке, считающимся государственным в любой стране Евросоюза;
Работа сервисных центров на территории Европы;
Наличие находящихся в ЕС пунктов выдачи, а также указание на интернет-ресурсе доступности доставки товаров в Евросоюз;
Публикация информационного или рекламного контента в европейских СМИ;
Мониторинг за действиями пользователей (посредством мобильных приложений или умных устройств).

В соответствии с GDPR компании обязаны:

Конфиденциально и правомерно использовать личные данные, явно уведомлять о сборе данных, прозрачно сообщать цели обработки данных, указать законное основание обработки данных для каждой цели.
Обучать персонал компании требованиям и принципам GDPR, назначить ответственного за защиту данных (DPO), регулярно проводить мероприятия на соответствие GDPR и обновлять политику обработки данных (Privacy Policy).
Оценивать потенциальные риски интегрируемых IT-систем и программных модулей на предмет обеспечения конфиденциальности персональных данных и стараться их нейтрализовать.
При обнаружении инцидентов информационной безопасности информировать об этом надзорные органы в течение 72 часов с момента выявления.
Назначить представителя в ЕС для реагирования на запросы надзорных органов, если ваша компания не находится в Евросоюзе.
В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом
Оповещать субъекта личных данных о необходимости их трансграничной передачи и выполнять ее только при получении согласия.

Чтобы достичь соответствия General Data Protection Regulation (GDPR), бизнесу необходимо:

Проверить процессы обработки данных, на отсутствие злоупотреблений при их осуществлении, и модернизировать используемые формы оповещения субъектов личных данных.
Установить правила внутренней политики бизнеса по отношению к обработке данных и назначить ответственного за защиту данных (DPO).
Выполнить аудит всех бизнес-процессов, связанных с обработкой личных данных.
Подробно исследовать процессы трансграничной передачи данных (выявить, в том числе, условия и порядок их проведения в третьи страны, международные органы, внутри подразделений компании).
Провести обучение персонала, наладить контроль над процессами обработки данных, создать инструкцию по их выполнению, запустить систему поддержания конфиденциальности, назначить ответственное за перечисленную деятельность лицо.
Подготовить инструкции для внутреннего пользования и создать механизмы исполнения запросов (могут исходить от европейских регуляторов или субъектов личных данных), связанных с требованиями GDPR к данным.

Документально оформить процедуры обработки данных и создать документальные материалы (Cookie Policy, Privacy Privacy и др.), предъявляемые субъектам при получении от них личных данных.

Что будет если не принять меры?

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими требования GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел не соответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.

Наши услуги

Какие услуги предоставляет Б-152? В нашей команде работают сертифицированные специалисты CIPP/E, сдавшие экзамен в IAPP на знание европейского законодательства в области Privacy. В случае, если Ваша компания не имеет офисов в Евросоюзе, необходимо назначить Представителя. Компания Б-152 имеет «целую сеть» Представителей по всему Евросоюзу, в таких странах как Латвия, Германия, Нидерланды, Великобритания, Болгария. В рамках услуги по приведению деятельности компании в соответствии требованиям GDPR проводится детальный gap-анализ соответствия требованиям Регламенту, в который включается:
- Приведение организации в соотвествие требованиям GDPR :
- Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
- Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
- Проведение оценки воздействия на конфиденциальность (DPIAs);
- Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по требованиям GDPR),
- Услуги представителя в странах ЕС и Великобритании;
- Помощь с регистрацией компании в надзорных органах стран Евросоюза;
- Аудит существующих контрактов с обработчиками и приведение их к стандартам данных GDPR.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b-152.ru через форму «Обсудить ваш проект», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b-152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: обсуждение возможного проекта
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении проекта или до заключения договора на проект, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Запрос на демо Privacy Box», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; место работы; информация о том, откуда человек пришел на сайт (метка).
Цель обработки персональных данных: демонстрация работы сервиса Privacy Box с возможностью дальнейшего заключение договора
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении Privacy Box или до заключения договора на лицензию Privacy Box, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Подпишитесь на рассылку», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: проведение информационных и рекламных рассылок
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в Согласии цели.
Персональные данные обрабатываются до перехода по ссылке «Отписаться от рассылки», которое располагается в каждом рассылаемом письме.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.