Услуги, связанные с общим регламентом ЕС по защите данных (GDPR)
25 мая 2018 года вступила в силу общий регламент ЕС по защите данных (General Data Protection Regulation – GDPR), постановление ЕС, с помощью которого Европейский парламент, Совет ЕС и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в ЕС. Постановление также направлено на экспорт данных из ЭС.
GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путем унификации регулирования в рамках ЕС.
Ключевые принципы GDPR:
- Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца о использовании персональных данных;
- Конкретные цели — все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
- Минимизация использованных данных — использование адекватного количества данных для выполнения поставленных целей ограниченных только необходимым количеством;
- Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;
- Ограничение хранения данных — не хранить данные дольше чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
- Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
- Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR включая записи о конфиденциальности; защите, использовании, проверки данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).
Вступление в силу новых правовых норм, внесло множество изменений в законодательство, регулирующее защиту личностных данных и возложила на компании дополнительные обязательства. Неисполнение установленных правовых норм может иметь существенные финансовые и правовые последствия как для самой компании, так и для ее руководителей. За невыполнение закона накладывается штраф до 20 000 000 евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.
Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные, и к тому, кто собирает данные. Тот, кто собирает данные, определяет цель и значение обработки персональных данных, а обработчик ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.
Юридические услуги в области защиты личностных данных
Компания PCFS может предоставить юридические услуги и оказать правовую помощь компаниям, которые осуществляют коммерческую деятельность и обязаны в отношении своих клиентов соблюдать требования GDPR.
Услуги нашей компании включают:
- Проведение правового аудита (due diligence) коммерческой деятельности клиента для выявления несоответствий нормам GDPR;
- Разработка документов и внутренних правил для приведения деятельности компании в соответствие с нормами GDPR;
- Оказание на контрактной основе услуг Data Protection Officer в рамках статьи 39 GDPR.
Услуги Data Protection officer:
- Информирование клиента и его сотрудников о стандартах и нормах GDPR;
- Надзор над деятельностью клиента по соответствию нормам GDPR;
- Предоставление советов и консультаций, необходимых для соответствия нормам GDPR;
- Сотрудничество с государственными регуляторами;
- Разработка внутренних стандартов и правил (инструкций) для компании клиента и его сотрудников в рамках выполнения регуляторных процедур GPDR;
- Исполнение роли контактного лица между клиентом и государственными регуляторами в вопросах обработки данных, а также для получения консультаций и разъяснений;
- Обработка баз данных клиента, содержащих информацию о его конечных клиентах, на соответствие требованиям GPRD, предотвращение рисков.
Состав услуг GDPR
Стадия 1. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ
Данная стадия включает в себя следующие этапы, выполняемые последовательно:
- 1обследование информационных систем и процессов обработки персональных данных;
- 2оценка соответствия требованиям GDPR.
Этап 1.1. Обследование информационных систем и процессов обработки персональных данных
Для выполнения работ с учетом особенностей̆ Заказчика изучается его организационная структура с целью выявления подразделений, функциональное назначение которых предполагает осуществление обработки персональных данных, а также разработки анкет и плана интервьюирования сотрудников с учетом специфики Заказчика.
В качестве методов проведения работ используется:
- анализ предоставленной̆ Заказчиком документации;
- анкетирование и интервьюирование сотрудников Заказчика;
- анализ веб-сайтов и веб-сервисов, принадлежащих Заказчику.
В ходе выполнения обследования осуществляются следующие действия:
- выявление потоков обработки персональных данных (Personal data Flow);
- определение места основного учреждения в Европе;
- определение перечня работников, обработчиков и третьих лиц, участвующих в обработке персональных данных;
- определение перечня и объема обрабатываемых персональных данных;
- анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с третьими лицами, в рамках отношений, с которыми осуществляется передача им или получение от них персональных данных;
- анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с физическими лицами и являющихся законными основаниями для обработки персональных данных;
- определение мест хранения персональных данных;
- выделение информационных систем, в которых обрабатываются персональные данные;
- определение наличия организационно-распорядительной̆ документации, определяющей̆ порядок обработки и защиты персональных данных;
- описание имеющихся мер обеспечения безопасности персональных данных;
- выявление фактов трансграничной̆ передачи персональных данных и составление перечня стран, куда осуществляется трансграничная передача персональных данных.
Отчетные документы
- Протокол сбора информации.
Этап 1.2. Оценка соответствия требованиям GDPR
На основании проведенного обследования информационных систем и процессов обработки определяется степень соответствия требованиям GDPR.
По итогам определения степени соответствия подготавливаются рекомендации по приведению обработки персональных данных в соответствие требованиям GDPR.
При определении степени соответствия требованиям GDPR также применяются документы, изданные рабочей группой по ст.29 GDPR, состоящей из представителей регуляторов в области защиты персональных данных стран-членов ЕС (Article 29 working group).
Отчетные документы
- Отчет о статусе соответствия требованиям GDPR c рекомендациями по приведению обработки персональных данных в организации в соответствие требованиям GDPR;
- План мероприятий по приведению в соответствие требованиям GDPR.
СТАДИЯ 2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ
При разработке проектов организационно-распорядительной документации проводится синтез требований различных нормативно-правовых актов ЕС в области персональных данных с целью структурирования содержания комплекта организационно-распорядительной документации для наиболее эффективного его применения, дальнейшей актуализации и обновления.
Отчетные документы
- Перечень процессов обработки персональных данных;
- Уведомление об обработке персональных данных (Privacy Notice);
- Политика защиты персональных данных;
- Согласия на обработку персональных данных (consent), в случае необходимости;
- Соглашения между оператором персональных данных (controller) и обработчикам персональных данных (processor), в случае необходимости (Data Processing Addendum);
- Регламент реагирования на запросы физических лиц;
- Регламент по уничтожению персональных данных;
- Регламент по переносимости персональных данных в машиночитаемом виде;
- Регламент по реагированию на инциденты информационной безопасности в рамках обработки персональных данных;
- Регламент по уведомлению об утечках персональных данных;
- Инструкция для работников по обработке и обеспечению безопасности персональных данных
СТАДИЯ 3. ПРОВЕДЕНИЕ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (DPIAs)
По итогам реализованных организационных и технических мер и процессов обработки персональных данных производится оценка воздействия на конфиденциальность (DPIAs). Оценка проводится для обеспечения минимального уровня риска для субъектов персональных данных.
Оценка воздействия на конфиденциальность может проводится несколько раз, с коррекцией мер по обеспечению безопасности, если не удается достичь оптимального уровня риска первоначально выработанными мерами по обеспечению безопасности.
Отчетные документы
- Отчет о проведении оценки воздействия на конфиденциальность (DPIAs).
Если Вам интересны наши услуги по GDPR, или у Вас есть какие-либо вопросы, пожалуйста, свяжитесь с нашим специалистом.