Впровадження GDPR та послуги DPO

Золотий стандарт захисту персональних даних для Європи та всього світу

GDPR або General Data Protection Regulation – це Загальний регламент захисту персональних даних і приватності для країн Європейського Союзу (ЄС) і Європейської Економічної Спільноти (ЄЕС). Документ передбачає підвищений рівень вимог з обробки персональних даних суб’єктів-фізичних осіб.

GDPR містить провідні принципи та підходи щодо захисту персональних даних та приватності, які лягли в основу відповідного законодавства Японії, Південної Кореї, Китаю, Бразилії, Аргентини, Чилі, країн СНД тощо. Чинний в штаті Каліфорнія, США, California Consumer Privacy Act (CCPA) також містить багато спільного з GDPR.

GDPR

Багато компаній задаються двома питаннями:

1. А навіщо нам керуватися GDPR, якщо компанія не знаходиться на території ЄС або ЄЕС?

Однією з особливостей GDPR є екстериторіальність його дії. Це означає, що його вимоги поширюються не тільки на компанії, що знаходяться на території ЄС (ЄЕС), а й на будь-яких інших операторів, які обробляють персональні дані фізичних осіб – суб’єктів ЄС (ЄЕС). Незалежно від їхнього місцеперебування. Наприклад, це стосується компаній, що пропонують товари або послуги громадянам на території ЄС, або які здійснюють збір даних і персоніфікований моніторинг поведінки громадян ЄС, включаючи запис IP-адреси та файлів cookie відвідувачів сайтів. Якщо ви працюєте з юридичними особами-резидентами ЄС, і ваша взаємодія потребує отримання доступу до баз даних фізичних осіб Євросоюзу, то ви та ваші європейські партнери теж повинні здійснювати обробку таких даних з дотриманням вимог GDPR.

Принципи GDPR визнані на міжнародному рівні. Багато провідних країн керуються ними при розробці внутрішнього законодавства. Впровадження цих принципів у ваші процеси допоможе вашій компанії стати більш конкурентоспроможною не тільки на європейських ринках. Законодавство про персональні дані країн СНД також значною мірою орієнтоване на положення GDPR.

2. Чим загрожує недотримання вимог GDPR? Чи можуть нас за це оштрафувати?

Так, можуть. За порушення вимог GDPR загрожує штраф, розмір якого в залежності від обставин досягає 4% річного обороту компанії або 20 млн. євро. Штраф може бути застосований як до європейських компаній, так і до іноземних юридичних осіб, в тому числі які не мають свого представництва в ЄС (ЄЕС). І такі приклади вже є.

Для іноземної компанії важливо уникнути ризиків, пов’язаних із неможливістю ведення бізнесу на території ЄС і втратою репутації. Це може виражатися у блокуванні інтернет-ресурсів, що порушують європейське законодавство або у відмові від співпраці з боку європейських партнерів, оштрафувати яких за порушення регулятору простіше, ніж вас.

Юристи, менеджери та інженери безпеки H-X швидко допоможуть вам зрозуміти, чи має ваша організація застосовувати GDPR. Потім ми проведемо аналіз ваших бізнес-процесів, визначимо невідповідності та прогалини, розробимо технологічний та юридичний плани впровадження, а також впровадимо “під ключ” необхідні заходи щодо усунення невідповідностей. Це підвищить вашу впевненість, конкурентоспроможність, а також лояльність партнерів і замовників, не кажучи вже про нові перспективи розвитку вашого бізнесу.

Етапи впровадження GDPR. Сервіс DPO

Етап 0. Попередній – виконується безкоштовно!

Попередній аналіз діяльності вашої компанії для визначення необхідності дотримання вимог GDPR.

Ми пропонуємо вам заповнити опитувальник. Проводимо співбесіди з керівництвом і фахівцями на предмет організації бізнес-процесів. За результатами робимо висновок або про необхідність дотримання вимог GDPR, або про її відсутність.

Етап 1. Аналітичний

Аналіз бізнес-процесів вашої компанії для визначення необхідних організаційних, технічних і правових заходів із метою приведення компанії у відповідність до вимог GDPR.

Ви заповнюєте детальну анкету. Наші представники проводять співбесіди з вашим керівництвом і фахівцями. Ви надаєте нам доступ до систем, договорів та інших документів для аналізу. За результатами цієї роботи ми пропонуємо вам висновки про відповідність або невідповідність процесів вимогам GDPR, вказуємо виявлені недоліки та невідповідності, а також пропонуємо організаційні, технічні та правові заходи для усунення недоліків.

Етап 2. Впровадження

Імплементація рекомендацій щодо усунення виявлених недоліків і невідповідностей.

Під контролем і за участю наших юристів і технічних фахівців реалізується план усунення недоліків та невідповідностей бізнес-процесів вимогам GDPR. З метою виключення або мінімізації ризиків, де це можливо, коригуються бізнес-процеси замовника. При необхідності проводяться тренінги та навчання фахівців замовника.

Етап 3. Супровідний + DPO

Надання послуги Посадової особи із захисту даних (Data Protection Officer, DPO), контроль дотримання вимог GDPR і надання консультацій у процесі поточної діяльності.

Ми виконуємо функції DPO згідно GDPR. Здійснюємо моніторинг змін і практики застосування GDPR. Надаємо консультації щодо дотримання вимог GDPR у ході вашої поточної діяльності. У разі змін або доповнень до ваших бізнес-процесів, законодавчих вимог і правозастосовчої практики вносимо рекомендації щодо коригування заходів щодо дотримання вимог GDPR (комплаєнсу GDPR).

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення послуг впровадження GDPR. Отримайте безкоштовну консультацію.

Бізнес-кейси проектів, виконаних нами

Аналіз безпеки вихідних кодів програмного забезпечення
Аудити безпеки та тести на проникнення
Кейси з впровадженню центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування