info@b-152.ru +7 (499) 372-06-52 Заказать звонок

Соответствие требованиям GDPR у деятельности компаний

Вы выполняете новые правила о защите персональных данных?

С 25 мая 2018 года вступил в силу Общеевропейский регламент по защите персональных данных - GDPR (General Data Protection Regulation). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

2021-02-25_23-20-55-removebg-preview.png

Нужна консультация по GDPR?

Узнайте, как выполнить требования GDPR

Имя *

Ваш телефон *

E-mail *

Нажимая кнопку, вы соглашаетесь с правилами обработки персональных данных

Распространяется ли GDPR на мой бизнес?

На операции по обработке персональных данных GDPR распространяется в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

Все организации, вне зависимости от своей юрисдикции, должны соблюдать требования GDPR, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Вот несколько конкретных условий применимости GDPR:

  • Владение офисами, представительствами либо филиалами на территории Евросоюза;
  • Реализация одной из версий веб-ресурса на языке, считающимся государственным в любой стране Евросоюза (данный случай не распространяется на англоязычную версию);
  • Деятельность канала технической поддержки на языке, считающимся государственным в любой стране Евросоюза;
  • Работа сервисных центров на территории Европы;
  • Наличие находящихся в ЕС пунктов выдачи, а также указание на интернет-ресурсе доступности доставки товаров в Евросоюз;
  • Публикация информационного или рекламного контента в европейских СМИ;
  • Мониторинг за действиями пользователей (посредством мобильных приложений или умных устройств).

 

В соответствии с GDPR компании обязаны:

  • Конфиденциально и правомерно использовать личные данные, явно уведомлять о сборе данных, прозрачно сообщать цели обработки данных, указать законное основание обработки данных для каждой цели.
  • Обучать персонал компании требованиям и принципам GDPR, назначить ответственного за защиту данных (DPO), регулярно проводить мероприятия на соответствие GDPR и обновлять политику обработки данных (Privacy Policy).
  • Оценивать потенциальные риски интегрируемых IT-систем и программных модулей на предмет обеспечения конфиденциальности персональных данных и стараться их нейтрализовать.
  • При обнаружении инцидентов информационной безопасности информировать об этом надзорные органы в течение 72 часов с момента выявления.
  • Назначить представителя в ЕС для реагирования на запросы надзорных органов, если ваша компания не находится в Евросоюзе.
  • В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом
  • Оповещать субъекта личных данных о необходимости их трансграничной передачи и выполнять ее только при получении согласия.
Лидеры отраслей
Наши клиенты и партнеры
Самая большая библиотека электронных книг
Сервис массовой email рассылки
Крупнейшая русскоязычная биржа удаленной работы
Международный бренд гаджетов и сервисов
Библиотека электронных книг по подписке
Лидер среди сервисов автоматизации маркетинга
Производство товаров и медицинского оборудования
Быстрая доставка свежих и вкусных продуктов
ГБУ Малый бизнес Москвы
Экспертная медицина с максимальным комфортом
Мужская и женская одежда, обувь и аксессуары

Чтобы достичь соответствия General Data Protection Regulation (GDPR), бизнесу необходимо:

  • Проверить процессы обработки данных, на отсутствие злоупотреблений при их осуществлении, и модернизировать используемые формы оповещения субъектов личных данных.
  • Установить правила внутренней политики бизнеса по отношению к обработке данных и назначить ответственного за защиту данных (DPO).
  • Выполнить аудит всех бизнес-процессов, связанных с обработкой личных данных.
  • Подробно исследовать процессы трансграничной передачи данных (выявить, в том числе, условия и порядок их проведения в третьи страны, международные органы, внутри подразделений компании).
  • Провести обучение персонала, наладить контроль над процессами обработки данных, создать инструкцию по их выполнению, запустить систему поддержания конфиденциальности, назначить ответственное за перечисленную деятельность лицо.
  • Подготовить инструкции для внутреннего пользования и создать механизмы исполнения запросов (могут исходить от европейских регуляторов или субъектов личных данных), связанных с требованиями GDPR к данным.

Документально оформить процедуры обработки данных и создать документальные материалы (Cookie Policy, Privacy Privacy и др.), предъявляемые субъектам при получении от них личных данных.

 

Что будет если не принять меры?

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими требования GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел не соответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.

 

Наши услуги

  • Какие услуги предоставляет Б-152? В нашей команде работают сертифицированные специалисты CIPP/E, сдавшие экзамен в IAPP на знание европейского законодательства в области Privacy. В случае, если Ваша компания не имеет офисов в Евросоюзе, необходимо назначить Представителя. Компания Б-152 имеет «целую сеть» Представителей по всему Евросоюзу, в таких странах как Латвия, Германия, Нидерланды, Великобритания, Болгария. В рамках услуги по приведению деятельности компании в соответствии требованиям GDPR проводится детальный gap-анализ соответствия требованиям Регламенту, в который включается:
    • Приведение организации в соотвествие требованиям GDPR :
    • Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
    • Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
    • Проведение оценки воздействия на конфиденциальность (DPIAs);
    • Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по требованиям GDPR),
    • Услуги представителя в странах ЕС и Великобритании;
    • Помощь с регистрацией компании в надзорных органах стран Евросоюза;
    • Аудит существующих контрактов с обработчиками и приведение их к стандартам данных GDPR.
Кейсы
Работаем с лучшими компаниями в своих отраслях
Задача

Клиент работает на рынке Польши и нуждался в приведении сайта и мобильного приложения в соответствие GDPR. Сэкономили предположительно 20 млн руб.

Провели

Аудит, подготовку документации, локализацию данных и внедрили систему Privacy Box для удобной работы с новыми данными

Подробнее
Задача

Выполнение GDPR при выходе в Германию

Провели

Проведён аудит деятельности в России, на его основе подготовлены рекомендации для бизнес-процессов, которые планируется реализовать в Германии.

Подробнее
Задача

Клиент вышел на рынок Эстонии и хотел получить рекомендации для минимизации рисков по GDPR, связанных с сайтом и мобильным приложением

Провели

Подготовлены документы (Privacy Policy, Cookie Policy), даны рекомендации для email-маркетинга

Подробнее
Задача

Клиент запускает пилотные продажи в Лондоне

Провели

Проведён аудит соответствия требованиям GDPR и подготовлены рекомендацию по устранению нарушений, подготовлена документация для сайта и взаимодействия с клиентами (Privacy Policy, Data Processing Agreement, Legitimate Interests Assessment)

Подробнее
Задача

Клиент выходил на рынок Европы и хотел получить рекомендации для минимизации рисков по GDPR

Провели

Проведён аудит деятельности в России, на основе которого подготовлены рекомендации для бизнес-процессов, которые планируется реализовать в Европе

Подробнее
Ещё больше кейсов
Почему мы?

За счет фокусировки по персональным данным мы обладаем исключительным опытом для решения ваших вопросов по защите персональных данных

Обсудить ваш проект