Впровадження GDPR та послуги DPO

Золотий стандарт захисту персональних даних для Європи та всього світу

GDPR або General Data Protection Regulation – це Загальний регламент захисту персональних даних і приватності для країн Європейського Союзу (ЄС) і Європейської Економічної Спільноти (ЄЕС). Документ передбачає підвищений рівень вимог з обробки персональних даних суб’єктів-фізичних осіб.

GDPR містить провідні принципи та підходи щодо захисту персональних даних та приватності, які лягли в основу відповідного законодавства Японії, Південної Кореї, Китаю, Бразилії, Аргентини, Чилі, країн СНД тощо. Чинний в штаті Каліфорнія, США, California Consumer Privacy Act (CCPA) також містить багато спільного з GDPR.

GDPR

Багато компаній задаються двома питаннями:

1. А навіщо нам керуватися GDPR, якщо компанія не знаходиться на території ЄС або ЄЕС?

Однією з особливостей GDPR є екстериторіальність його дії. Це означає, що його вимоги поширюються не тільки на компанії, що знаходяться на території ЄС (ЄЕС), а й на будь-яких інших операторів, які обробляють персональні дані фізичних осіб – суб’єктів ЄС (ЄЕС). Незалежно від їхнього місцеперебування. Наприклад, це стосується компаній, що пропонують товари або послуги громадянам на території ЄС, або які здійснюють збір даних і персоніфікований моніторинг поведінки громадян ЄС, включаючи запис IP-адреси та файлів cookie відвідувачів сайтів. Якщо ви працюєте з юридичними особами-резидентами ЄС, і ваша взаємодія потребує отримання доступу до баз даних фізичних осіб Євросоюзу, то ви та ваші європейські партнери теж повинні здійснювати обробку таких даних з дотриманням вимог GDPR.

Принципи GDPR визнані на міжнародному рівні. Багато провідних країн керуються ними при розробці внутрішнього законодавства. Впровадження цих принципів у ваші процеси допоможе вашій компанії стати більш конкурентоспроможною не тільки на європейських ринках. Законодавство про персональні дані країн СНД також значною мірою орієнтоване на положення GDPR.

2. Чим загрожує недотримання вимог GDPR? Чи можуть нас за це оштрафувати?

Так, можуть. За порушення вимог GDPR загрожує штраф, розмір якого в залежності від обставин досягає 4% річного обороту компанії або 20 млн. євро. Штраф може бути застосований як до європейських компаній, так і до іноземних юридичних осіб, в тому числі які не мають свого представництва в ЄС (ЄЕС). І такі приклади вже є.

Для іноземної компанії важливо уникнути ризиків, пов’язаних із неможливістю ведення бізнесу на території ЄС і втратою репутації. Це може виражатися у блокуванні інтернет-ресурсів, що порушують європейське законодавство або у відмові від співпраці з боку європейських партнерів, оштрафувати яких за порушення регулятору простіше, ніж вас.

Юристи, менеджери та інженери безпеки H-X швидко допоможуть вам зрозуміти, чи має ваша організація застосовувати GDPR. Потім ми проведемо аналіз ваших бізнес-процесів, визначимо невідповідності та прогалини, розробимо технологічний та юридичний плани впровадження, а також впровадимо “під ключ” необхідні заходи щодо усунення невідповідностей. Це підвищить вашу впевненість, конкурентоспроможність, а також лояльність партнерів і замовників, не кажучи вже про нові перспективи розвитку вашого бізнесу.

ЗАПРОСИТИ ЦІНУ

Етапи впровадження GDPR та ISO 27701. Сервіс DPO

0
Етап 0. Попередній
Цей етап безкоштовний. Попередній аналіз діяльності вашої компанії для визначення необхідності дотримання вимог GDPR. Ми пропонуємо вам заповнити опитувальник. Проводимо співбесіди з керівництвом і фахівцями на предмет організації бізнес-процесів. За результатами робимо висновок або про необхідність дотримання вимог GDPR та ISO 27701, або про її відсутність.
1
Етап 1. Аналітичний
Цей етап включає аналіз бізнес-процесів вашої компанії для визначення необхідних організаційних, технічних і правових заходів із метою приведення компанії у відповідність до вимог GDPR та ISO 27701. На цьому етапі ви заповнюєте детальну анкету. Наші представники проводять співбесіди з вашим керівництвом і фахівцями, щоб зібрати знахідки та підготуватися до навчання GDPR. Ви надаєте нам доступ до систем, договорів та інших документів для аналізу. За результатами цієї роботи ми пропонуємо вам детальний звіт про відповідність або невідповідність процесів вимогам GDPR та ISO 27701, вказуємо виявлені недоліки та невідповідності, а також пропонуємо організаційні, технічні та правові заходи для усунення недоліків.
2
Етап 2. Впровадження
Імплементація рекомендацій щодо усунення виявлених недоліків і невідповідностей. Під контролем і за участю наших юристів і технічних фахівців реалізується план усунення недоліків та невідповідностей бізнес-процесів вимогам GDPR та ISO 27701. З метою виключення або мінімізації ризиків, де це можливо, коригуються бізнес-процеси замовника. При необхідності ми тренуємо ваших спеціалістів, проводячи комплексне навчання GDPR для ваших співробітників.
3
Етап 3. Супровідний + DPO
Постійна підтримка та послуги спеціаліста із захисту даних є ключем до стабільної відповідності вимогам сертифікації. Надання послуги Посадової особи із захисту даних (Data Protection Officer, DPO), контроль дотримання вимог GDPR та ISO 27701, і надання консультацій у процесі поточної діяльності включені в цей етап. Ми пропонуємо функції послуги DPO згідно з вимогами GDPR. Здійснюємо моніторинг змін і практики застосування GDPR та сертифікації ISO 27701. Наша команда також надає консультації щодо дотримання вимог GDPR та ISO 27701 у ході вашої поточної діяльності. У разі змін або доповнень до ваших бізнес-процесів, законодавчих вимог і правозастосовчої практики вносимо рекомендації щодо коригування заходів щодо дотримання вимог GDPR та вимогам сертифікації ISO 27701 (комплаєнсу GDPR).

Резюме сервісу

⏳ Тривалість проєкту

Зазвичай, від 6 до 12 місяців, залежно від розміру організації, складності та діяльності з обробки даних.

🎁 Це може бути безкоштовним чи мати тестовий період?

Безкоштовна консультація та первинний аналіз бізнес-вимог.

💼 Для якого типу бізнесу це потрібно?

Онлайн-магазини, постачальники медичних послуг, фінансові установи, маркетингові агентства та інші підприємства, які обробляють особисті дані громадян ЄС.

💡 Коли потрібна ця послуга?

Коли ваша організація обробляє особисті дані громадян ЄС. DPO є обов’язковим для певних типів організацій.

📈 Ваша вигода

Зменшення витрат, пов’язаних із витоком даних і штрафами за недотримання вимог, а також підвищення довіри клієнтів.

⚙️ Наші методи та інструменти

Виявлення та оцінка інформаційних активів і ризиків, впровадження заходів безпеки та проведення аудитів для забезпечення відповідності.

📑 Результати

Політики, звіти про оцінку, засоби контролю безпеки, процедури захисту прав суб’єктів даних, повідомлення про конфіденційність, процедури реагування на витоки даних і періодичні звіти.

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для замовлення послуг впровадження GDPR та ISO 27701. Отримайте безкоштовну консультацію.

ЗАПРОСИТИ ЦІНУ

Бізнес-кейси проектів, виконаних нами

Автоматизація бізнесу
Аналіз безпеки вихідних кодів програмного забезпечення
Аудит смарт-контрактів та блокчейн
Аудити безпеки та тести на проникнення
Кейси з впровадження центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування