Вы выполняете новые правила о защите персональных данных?

 

С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Узнайте подробнее о требованиях GDPR
у экспертов по вашей отрасли
Вы подготовились к выполнению требования GDPR?

Узнайте как выполнить требования Общеевропейского регламента о персональных данных(General Data Protection Regulation, GDPR)

Распространяется ли GDPR на мой бизнес?

 

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

 

Под требования GDPR попадают все компании, работающие с персональными данными европейцев:

 

  • Ваша компания имеет офисы, представительства либо филиалы на территории ЕС;
  • Один из языков, на котором написан сайт, является государственным в одной из стран ЕС. Сейчас идет речь не о английском, который признан международным, а о таких языках, как итальянский, голландский, шведский и т.д.;
  • Обратная связь с техподдержкой написана на языке одной из стран Европейского союза;
  • Есть наличие сервисных центров на территории Европы;
  • Есть наличие пунктов выдачи в одной или нескольких странах Евросоюза, либо на сайте компании указано, что доставляете продукцию в ЕС;
  • Об услугах компании пишут местные СМИ, либо Вы рекламируете свои услуги в Европе;
  • Осуществляется мониторинг действий пользователей, например в мобильном приложении.

 

В соответствии с GDPR компании теперь обязаны:

 

Обеспечить:  конфиденциальность личных данных,  прозрачное уведомление о сборе данных,  правомерное использование данных,  пояснение о целях применения, обозначить одно из 6 разрешенных законных оснований для сбора каждой категории персональных данных, методах обработки, хранения и удаления информации

Проводить обучение сотрудников соблюдению требований GDPR, при необходимости, учредить должность специалиста по защите данных, обновлять политики данных и проводить их аудит 

Проводить оценку рисков новых внедряемых систем и ПО на предмет потенциального риска для конфиденциальности данных субъектов

Зарегистрироваться в надзорных органах, регулирующих обработку персональных данных в стране Евросоюза, в которой находится юридическое лицо компании или происходит наиболее существенная обработка данных резидентов данной страны

Уведомлять надзорные органы об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого нарушения.

Назначить официального представителя в Евросоюзе по вопросам обработки персональных данных в случае, если у компании отсутствует юридическое лицо в стране Евросоюза, либо нет сотрудников на территории Евросоюза.

В течение 30 дней реагировать на запросы субъектов данных по обеспечению их прав, таких как, право на доступ к информации, право на коррекцию, право на забвение, право на блокировку обработки, право на возражение определенным типам обработки, право на переносимость данных и права, связанные с автоматической обработкой и профайлингом

Уведомлять пользователей о трансграничной передаче их персональных данных за пределы Европейского Союза и получать их информированное согласие
 

 

Как подготовиться?

 

  • Проанализировать операции по обработке данных на предмет добросовестности их осуществления, а также пересмотреть существующие формы уведомления субъекта данных.
  • Разработать внутренние регламенты, определяющие политику компании в сфере обработки персональных данных, включая назначение инспектора по защите данных.  
  • Осуществить аудит на предмет правовых оснований обработки, использования, хранения и т.д. персональных данных.
  • Проанализировать порядок осуществления трансграничной передачи данных, включая условия и порядок перемещения персональных данных в третьи государства, в международные организации, а также в рамках группы компаний, осуществляющих совместную экономическую деятельность.
  • Обучить персонал, провести проверки деятельности по обработке данных, создать документацию по процессам обработки, внедрить меры по встроенной системе конфиденциальности, а также назначить сотрудника ответственного за обработку персональных данных.
  • Разработать внутренние документы и механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, которые возможны в рамках GDPR.
  • Задокументировать внутренние процессы обработки данных, а также подготовить документацию для предоставления субъектам в момент получения от них персональных данных, например политику конфиденциальности и cookie.

 

Что будет если не принять меры?

 

За нарушение правил обработки персональных данных резидентов ЕС предусмотрен штраф до 20,000,000 € или 4% от годовой прибыли Вашей компании, в зависимости от того, какая сумма больше. Фактически, взыскания имеют сложную градацию и Ваш бизнес безусловно их ощутит в случае выявления несоответствий регуляторами и вовремя не устраненных нарушений, но не приведет к закрытию. Существует дополнительные санкции – потеря клиентской базы. Европейское законодательство устроено таким образом, что компанию, которая работает с контрагентами, несоблюдающими GDPR штрафуют за работу с неблагонадежными компаниями. Если же Вы работаете с физическими лицами, то возможен следующий сценарий: пользователь Вашего сайта увидел несоответствие GDPR и сообщил об этом регулирующему органу. Регулятор может опубликовать на своем web-сайте информацию о Вашем несоответствии Регламенту и, как следствие, снова потеря клиентов.

 

 

Наши услуги

 

    Какие услуги предоставляет Б-152? В нашей команде работают сертифицированные специалисты CIPP/E, сдавшие экзамен в IAPP на знание европейского законодательства в области Privacy. В случае, если Ваша компания не имеет офисов в Евросоюзе, необходимо назначить Представителя. Компания Б-152 имеет «целую сеть» Представителей по всему Евросоюзу, в таких странах как Латвия, Германия, Нидерланды, Великобритания, Болгария. В рамках услуги по приведению деятельности компании в соответствии GDPR проводится детальный gap-анализ соответствия требованиям Регламенту, в который включается:
    • Приведение в соотвествие  с требованиями GDPR организации:
    • Комплексное обследование обработки персональных данных и определение степени соответствия с формированием перечня рекомендаций;
    • Разработка организационно-распорядительной документации и мер по обеспечению защиты прав субъектов персональных данных и их персональных данных;
    • Проведение оценки воздействия на конфиденциальность (DPIAs);
    • Гарантийное сопровождение: периодическая переоценка и актуализация соответствия (опционально по GDPR),
    • Услуги представителя в странах ЕС и Великобритании;
    • Помощь с регистрацией компании в надзорных органах стран Евросоюза;
    • Аудит существующих контрактов с обработчиками и приведение их к стандартам GDPR.

О компании

Icon1

Команда экспертов, работающая с 2011 года

Icon2

Специализация на законе №152-ФЗ "О персональных данных" и GDPR

Icon3

8 000 клиентов
доверяют нам

Icon4

Более 100 успешных проверок Роскомнадзора

Icon6

Лицензия ФСТЭК на проведение работ по технической защите информации

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.