Внедрение GDPR и услуги DPO

Золотой стандарт защиты персональных данных для Европы и всего мира

GDPR или General Data Protection Regulation – это Общий регламент защиты персональных данных и приватности для стран Европейского Союза (ЕС) и Европейского Экономического Сообщества (ЕЭС). Документ предполагает повышенный уровень требований по обработке персональных данных субъектов-физических лиц.

GDPR содержит передовые принципы и подходы по защите персональных данных и приватности, которые легли в основу соответствующего законодательства Японии, Южной Кореи, Китая, Бразилии, Аргентины, Чили, стран СНГ и т.д. Действующий в штате Калифорния, США, California Consumer Privacy Act (CCPA) также содержит много общего с GDPR.

Изображение - GDPR

Многие компании задаются двумя вопросами:

1. А зачем нам руководствоваться GDPR, если компания не находится на территории ЕС или ЕЭС?

Одной из особенностей GDPR является экстерриториальность его действия. Это означает, что его требования распространяются не только на компании, находящиеся на территории ЕС (ЕЭС), но и на любых других операторов, которые обрабатывают персональные данные физических лиц – субъектов ЕС (ЕЭС). Вне зависимости от их местонахождения. Например, это относится к компаниям, предлагающим товары или услуги гражданам на территории ЕС, либо осуществляющим сбор данных и персонифицированный мониторинг поведения граждан ЕС, включая запись IP-адресов и файлов cookie посетителей сайтов. Если вы работаете с юридическими лицами-резидентами ЕС, и ваше взаимодействие подразумевает получение доступа к базам данных физических лиц Евросоюза, то вы и ваши европейские партнеры тоже должны осуществлять обработку таких данных с соблюдением требований GDPR.

Принципы GDPR признаны на международном уровне. Многие передовые страны руководствуются ими при разработке внутреннего законодательства. Внедрение этих принципов в ваши процессы поможет вашей компании стать более конкурентоспособной не только на европейских рынках. Законодательство о персональных данных стран СНГ также в значительной степени ориентировано на положения GDPR.

2. Чем грозит несоблюдение требований GDPR? Могут ли нас за это оштрафовать?

Да, могут. За нарушение требований GDPR грозит штраф, размер которого в зависимости от обстоятельств достигает 4% годового оборота компании или 20 млн. евро. Штраф может быть применен как к европейским компаниям, так и к иностранным юридическим лицам, в том числе не имеющим своего представительства в ЕС (ЕЭС). И такие примеры уже есть.

Для иностранной компании важно избежать рисков, связанных с невозможностью ведения бизнеса на территории ЕС и потерей репутации. Это может выражаться в блокировке интернет-ресурсов, нарушающих европейское законодательство или в отказе от сотрудничества со стороны европейских партнеров, оштрафовать которых за нарушения регулятору проще, чем вас.

Юристы, менеджеры и инженеры безопасности H-X быстро помогут вам понять, применим ли GDPR к вашей организации. Затем мы проведем анализ ваших бизнес-процессов, определим несоответствия и пробелы, разработаем технологический и юридический планы внедрения, а также внедрим “под ключ” необходимые мероприятия по устранению несоответствий. Это повысит вашу уверенность, конкурентоспособность, а также лояльность партнеров и заказчиков, не говоря уже о новых перспективах развития вашего бизнеса.

Этапы внедрения GDPR. Сервис DPO

Этап 0. Предварительный – выполняется бесплатно!

Предварительный анализ деятельности вашей компании для определения необходимости соблюдения требований GDPR.

Мы предлагаем вам заполнить опросник. Проводим собеседования с руководством и специалистами на предмет организации бизнес-процессов. По результатам делаем вывод либо о необходимости соблюдения требований GDPR, либо о ее отсутствии.

Этап 1. Аналитический

Анализ бизнес-процессов вашей компании для определения необходимых организационных, технических и правовых мероприятий с целью приведения компании в соответствие требованиям GDPR.

Вы заполняете подробную анкету. Наши представители проводят собеседования с вашим руководством и специалистами. Вы предоставляете нам доступ к системам, договорам и иным документам для анализа. По результатам этой работы мы предлагаем вам выводы о соответствии или несоответствии процессов требованиям GDPR, указываем выявленные недостатки и несоответствия, а также предлагаем организационные, технические и правовые меры для устранения недостатков.

Этап 2. Внедренческий

Имплементация рекомендаций по устранению выявленных недостатков и несоответствий.

Под контролем и при участии наших юристов и технических специалистов реализуется план устранения недостатков и несоответствий бизнес-процессов требованиям GDPR. С целью исключения или минимизации рисков, где применимо, корректируются бизнес-процессы заказчика. При необходимости проводятся тренинги и обучение специалистов заказчика.

Этап 3. Сопроводительный + DPO

Предоставление услуги Должностного лица по защите данных (Data Protection Officer, DPO), контроль соблюдения требований GDPR и предоставление консультаций в процессе текущей деятельности.

Мы выполняем функции DPO согласно GDPR. Осуществляем мониторинг изменений и практики применения GDPR. Предоставляем консультации по соблюдению требований GDPR в ходе вашей текущей деятельности. В случае изменений или дополнений в ваших бизнес-процессах, законодательных требований и правоприменительной практики вносим рекомендации по корректировке мер по соблюдению требований GDPR (комплаенса GDPR).

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа услуг внедрения GDPR. Получите бесплатную консультацию.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)