Соответствие требованиям GDPR у деятельности компаний

Вы выполняете новые правила о защите персональных данных?

С 25 мая 2018 года вступил в силу Общеевропейский регламент по защите персональных данных - GDPR (General Data Protection Regulation). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Нужна консультация по GDPR?

Узнайте, как выполнить требования GDPR

Распространяется ли GDPR на мой бизнес?

На операции по обработке персональных данных GDPR распространяется в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

Ваша компания имеет офисы, представительства либо филиалы на территории ЕС;
Один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идет речь не о английском, который признан международным, а о таких языках, как итальянский, голландский, шведский и т.д.;
Обратная связь с техподдержкой написана на языке одной из стран Европейского союза;
Есть наличие сервисных центров на территории Европы;
Есть наличие пунктов выдачи в одной или нескольких странах Евросоюза, либо на сайте компании указано, что доставляете продукцию в ЕС;
Об услугах компании пишут местные СМИ, либо Вы рекламируете свои услуги в Европе;
Осуществляется мониторинг действий пользователей, например в мобильном приложении.

В соответствии с GDPR компании теперь обязаны:

Обеспечить: конфиденциальность личных данных, прозрачное уведомление о сборе данных, правомерное использование данных, пояснение о целях применения, обозначить одно из 6 разрешенных законных оснований для сбора каждой категории персональных данных, методах обработки, хранения и удаления информации

Проводить обучение сотрудников соблюдению требований GDPR, при необходимости, учредить должность специалиста по защите данных, обновлять политики данных и проводить их аудит

Проводить оценку рисков новых внедряемых систем и ПО на предмет потенциального риска для конфиденциальности данных субъектов

Уведомлять надзорные органы об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого нарушения.

Назначить официального представителя в Евросоюзе по вопросам обработки персональных данных в случае, если у компании отсутствует юридическое лицо в стране Евросоюза, либо нет сотрудников на территории Евросоюза.

В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом

Уведомлять пользователей о трансграничной передаче их персональных данных за пределы Европейского Союза и получать их информированное согласие

Как подготовиться?

Проанализировать операции по обработке данных на предмет добросовестности их осуществления, а также пересмотреть существующие формы уведомления субъекта данных.
Разработать внутренние регламенты, определяющие политику компании в сфере обработки персональных данных, включая назначение инспектора по защите информации и данных.
Осуществить аудит на предмет правовых оснований обработки, использования, хранения и т.д. персональных данных.
Проанализировать порядок осуществления трансграничной передачи данных, включая условия и порядок перемещения персональных данных в третьи государства, в международные организации, а также в рамках группы компаний, осуществляющих совместную экономическую деятельность.
Обучить персонал, провести проверки деятельности по обработке данных, создать документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных.
Разработать внутренние документы и механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, которые возможны в рамках требований GDPR.
Задокументировать внутренние процессы обработки данных, а также подготовить документацию для предоставления субъектам в момент получения от них персональных данных, например политику конфиденциальности и cookie.

Что будет если не принять меры?

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими требования GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел не соответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.

Наши услуги

Какие услуги предоставляет Б-152? В нашей команде работают сертифицированные специалисты CIPP/E, сдавшие экзамен в IAPP на знание европейского законодательства в области Privacy. В случае, если Ваша компания не имеет офисов в Евросоюзе, необходимо назначить Представителя. Компания Б-152 имеет «целую сеть» Представителей по всему Евросоюзу, в таких странах как Латвия, Германия, Нидерланды, Великобритания, Болгария. В рамках услуги по приведению деятельности компании в соответствии требованиям GDPR проводится детальный gap-анализ соответствия требованиям Регламенту, в который включается:
- Приведение организации в соотвествие требованиям GDPR :
- Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
- Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
- Проведение оценки воздействия на конфиденциальность (DPIAs);
- Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по требованиям GDPR),
- Услуги представителя в странах ЕС и Великобритании;
- Помощь с регистрацией компании в надзорных органах стран Евросоюза;
- Аудит существующих контрактов с обработчиками и приведение их к стандартам данных GDPR.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b-152.ru через форму «Обсудить ваш проект», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b-152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; сведения о месте работы; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: обсуждение возможного проекта
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении проекта или до заключения договора на проект, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Запрос на демо Privacy Box», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; место работы; информация о том, откуда человек пришел на сайт (метка).
Цель обработки персональных данных: демонстрация работы сервиса Privacy Box с возможностью дальнейшего заключение договора
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в согласии цели.
Персональные данные обрабатываются до отказа в дальнейшем обсуждении Privacy Box или до заключения договора на лицензию Privacy Box, смотря что произойдет быстрее.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физическое лицо, оставляя заявку на веб-сайте b152.ru через форму «Подпишитесь на рассылку», действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, предоставляет свое согласие на обработку персональных данных (далее – Согласие) Обществу с ограниченной ответственностью «Б152» (ИНН 5050091524, info@b-152.ru, +7(499)372-06-52), которому принадлежит веб-сайт b152.ru и которое зарегистрировано по адресу 141170, Московская область, Щелковский район, пгт. Монино, ул. Алксниса, д. 34, кв. 45, на обработку своих персональных данных со следующими условиями:

Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
Согласие дается на обработку следующих моих персональных данных:
- персональные данные, не относящиеся специальной категории персональных данных или к биометрическим персональным данным: адрес электронной почты (e-mail); имя; номер мобильного телефона; информация о том, откуда пришел на сайт (метка).
Цель обработки персональных данных: проведение информационных и рекламных рассылок
В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение.
Третьи лица не обрабатывают персональные данные по поручению ООО «Б152» для указанной в Согласии цели.
Персональные данные обрабатываются до перехода по ссылке «Отписаться от рассылки», которое располагается в каждом рассылаемом письме.
Согласие может быть отозвано вами или вашим представителем путем направления ООО «Б152» письменного заявления или электронного заявления, подписанного согласно законодательству Российской Федерации в области электронной подписи, по адресу, указанному в начале Согласия.
В случае отзыва вами или вашим представителем Согласия ООО «Б152» вправе продолжить обработку персональных данных без него при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
Согласие действует все время до момента прекращения обработки персональных данных, указанных в п.6 и п.7 Согласия.