Внедрение GDPR и услуги DPO

Золотой стандарт защиты персональных данных для Европы и всего мира

GDPR или General Data Protection Regulation – это Общий регламент защиты персональных данных и приватности для стран Европейского Союза (ЕС) и Европейского Экономического Сообщества (ЕЭС). Документ предполагает повышенный уровень требований по обработке персональных данных субъектов-физических лиц.

GDPR содержит передовые принципы и подходы по защите персональных данных и приватности, которые легли в основу соответствующего законодательства Японии, Южной Кореи, Китая, Бразилии, Аргентины, Чили, стран СНГ и т.д. Действующий в штате Калифорния, США, California Consumer Privacy Act (CCPA) также содержит много общего с GDPR.

Изображение - GDPR

Многие компании задаются двумя вопросами:

1. А зачем нам руководствоваться GDPR, если компания не находится на территории ЕС или ЕЭС?

Одной из особенностей GDPR является экстерриториальность его действия. Это означает, что его требования распространяются не только на компании, находящиеся на территории ЕС (ЕЭС), но и на любых других операторов, которые обрабатывают персональные данные физических лиц – субъектов ЕС (ЕЭС). Вне зависимости от их местонахождения. Например, это относится к компаниям, предлагающим товары или услуги гражданам на территории ЕС, либо осуществляющим сбор данных и персонифицированный мониторинг поведения граждан ЕС, включая запись IP-адресов и файлов cookie посетителей сайтов. Если вы работаете с юридическими лицами-резидентами ЕС, и ваше взаимодействие подразумевает получение доступа к базам данных физических лиц Евросоюза, то вы и ваши европейские партнеры тоже должны осуществлять обработку таких данных с соблюдением требований GDPR.

Принципы GDPR признаны на международном уровне. Многие передовые страны руководствуются ими при разработке внутреннего законодательства. Внедрение этих принципов в ваши процессы поможет вашей компании стать более конкурентоспособной не только на европейских рынках. Законодательство о персональных данных стран СНГ также в значительной степени ориентировано на положения GDPR.

2. Чем грозит несоблюдение требований GDPR? Могут ли нас за это оштрафовать?

Да, могут. За нарушение требований GDPR грозит штраф, размер которого в зависимости от обстоятельств достигает 4% годового оборота компании или 20 млн. евро. Штраф может быть применен как к европейским компаниям, так и к иностранным юридическим лицам, в том числе не имеющим своего представительства в ЕС (ЕЭС). И такие примеры уже есть.

Для иностранной компании важно избежать рисков, связанных с невозможностью ведения бизнеса на территории ЕС и потерей репутации. Это может выражаться в блокировке интернет-ресурсов, нарушающих европейское законодательство или в отказе от сотрудничества со стороны европейских партнеров, оштрафовать которых за нарушения регулятору проще, чем вас.

Юристы, менеджеры и инженеры безопасности H-X быстро помогут вам понять, применим ли GDPR к вашей организации. Затем мы проведем анализ ваших бизнес-процессов, определим несоответствия и пробелы, разработаем технологический и юридический планы внедрения, а также внедрим “под ключ” необходимые мероприятия по устранению несоответствий. Это повысит вашу уверенность, конкурентоспособность, а также лояльность партнеров и заказчиков, не говоря уже о новых перспективах развития вашего бизнеса.

ЗАПРОСИТЬ ЦЕНУ

Этапы внедрения GDPR и ISO 27701. Сервис DPO

0
Этап 0. Предварительный
Этот этап является бесплатным. Предварительный анализ деятельности вашей компании для определения необходимости соблюдения требований GDPR и ISO 27701. Мы предлагаем вам заполнить опросник. Проводим собеседования с руководством и специалистами на предмет организации бизнес-процессов. По результатам делаем вывод либо о необходимости соблюдения требований GDPR и ISO 27701, либо об их отсутствии.
1
Этап 1. Аналитический
Этот этап включает в себя анализ бизнес-процессов вашей компании для определения необходимых организационных, технических и правовых мероприятий с целью приведения компании в соответствие требованиям GDPR и ISO 27701. На этом этапе вы заполняете подробную анкету. Наши представители проводят собеседования с вашим руководством и специалистами, чтобы собрать находки и подготовиться к тренингу по GDPR. Вы предоставляете нам доступ к системам, договорам и иным документам для анализа. По результатам этой работы мы предлагаем вам детальный отчет о соответствии или несоответствии процессов требованиям GDPR и ISO 27701, указываем выявленные недостатки и несоответствия, а также предлагаем организационные, технические и правовые меры для устранения недостатков.
2
Этап 2. Внедренческий
Имплементация рекомендаций по устранению выявленных недостатков и несоответствий. Под контролем и при участии наших юристов и технических специалистов реализуется план устранения недостатков и несоответствий бизнес-процессов требованиям GDPR и ISO 27701. С целью исключения или минимизации рисков, где применимо, корректируются бизнес-процессы заказчика. При необходимости мы тренируем ваших специалистов, предоставляя комплексное обучение GDPR для ваших сотрудников.
3
Этап 3. Сопроводительный + DPO
Постоянная поддержка и услуги специалиста по защите данных являются ключом к стабильному соответствию требованиям сертификации. Предоставление услуги Должностного лица по защите данных (Data Protection Officer, DPO), контроль соблюдения требований GDPR и ISO 27701 и предоставление консультаций в процессе текущей деятельности входят в этот этап. Мы предлагаем функции услуги DPO согласно требованиям GDPR. Осуществляем мониторинг изменений и практики применения GDPR и сертификации ISO 27701. Наша команда также предоставляет консультации по соблюдению требований GDPR и ISO 27701 в ходе вашей текущей деятельности. В случае изменений или дополнений в ваших бизнес-процессах, законодательных требований и правоприменительной практики вносим рекомендации по корректировке мер по соблюдению требований GDPR и требований сертификации ISO 27701 (комплаенса GDPR).

Резюме сервиса

⏳ Продолжительность проекта

Как правило, от 6 до 12 месяцев, в зависимости от размера организации, ее сложности и деятельности по обработке данных.

🎁 Это бесплатно или с тестовым периодом?

Бесплатная консультация и первоначальный анализ бизнес-требований.

💼 Для какого бизнеса это нужно?

Интернет-магазины, поставщики медицинских услуг, финансовые учреждения, маркетинговые агентства и другие предприятия, которые обрабатывают личные данные граждан ЕС.

💡 Когда нужна эта услуга?

Когда ваша организация обрабатывает личные данные граждан ЕС. DPO является обязательным для определенных типов организаций.

📈 Ваша выгода

Снижение затрат, связанных с утечкой данных и штрафами за несоблюдение требований, а также повышение доверия клиентов.

⚙️ Наши методы и инструменты

Выявление и оценка информационных активов и рисков, внедрение средств контроля безопасности и проведение аудитов для обеспечения соответствия требованиям.

📑 Результаты

Политики, отчеты об оценке, элементы управления безопасностью, процедуры защиты прав субъектов данных, уведомления о конфиденциальности, процедуры реагирования на утечки данных и периодические отчеты.

Ознакомьтесь с нашими дополнительными сервисами и бизнес-кейсами. Отправьте форму ниже для заказа услуг внедрения GDPR и ISO 27701. Получите бесплатную консультацию.

ЗАПРОСИТЬ ЦЕНУ

Бизнес-кейсы проектов, выполненых нами

Автоматизация бизнеса
Анализ безопасности исходных кодов программного обеспечения
Аудит смарт-контрактов и блокчейн
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)