Услуги по GDPR

Услуги, связанные с общим регламентом ЕС по защите данных (GDPR)

25 мая 2018 года вступила в силу общий регламент ЕС по защите данных (General Data Protection Regulation – GDPR), постановление ЕС, с помощью которого Европейский парламент, Совет ЕС и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в ЕС. Постановление также направлено на экспорт данных из ЭС.

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путем унификации регулирования в рамках ЕС.

Ключевые принципы GDPR:

• Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца о использовании персональных данных;
• Конкретные цели — все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
• Минимизация использованных данных — использование адекватного количества данных для выполнения поставленных целей ограниченных только необходимым количеством;
• Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;
• Ограничение хранения данных — не хранить данные дольше чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
• Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
• Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR включая записи о конфиденциальности; защите, использовании, проверки данных; назначении должностного лица по защите данных (англ. DPO, data protection officer).

Вступление в силу новых правовых норм, внесло множество изменений в законодательство, регулирующее защиту личностных данных и возложила на компании дополнительные обязательства. Неисполнение установленных правовых норм может иметь существенные финансовые и правовые последствия как для самой компании, так и для ее руководителей. За невыполнение закона накладывается штраф до 20 000 000 евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

Важным моментом является то, что GDPR применим и к тому, кто обрабатывает данные, и к тому, кто собирает данные. Тот, кто собирает данные, определяет цель и значение обработки персональных данных, а обработчик ответственен за непосредственную обработку данных, но оба несут ответственность за соблюдение норм GDPR.

Юридические услуги в области защиты личностных данных

Компания PCFS может предоставить юридические услуги и оказать правовую помощь компаниям, которые осуществляют коммерческую деятельность и обязаны в отношении своих клиентов соблюдать требования GDPR.

Услуги нашей компании включают:

• Проведение правового аудита (due diligence) коммерческой деятельности клиента для выявления несоответствий нормам GDPR;
• Разработка документов и внутренних правил для приведения деятельности компании в соответствие с нормами GDPR;
• Оказание на контрактной основе услуг Data Protection Officer в рамках статьи 39 GDPR.

Услуги Data Protection officer:

• Информирование клиента и его сотрудников о стандартах и нормах GDPR;
• Надзор над деятельностью клиента по соответствию нормам GDPR;
• Предоставление советов и консультаций, необходимых для соответствия нормам GDPR;
• Сотрудничество с государственными регуляторами;
• Разработка внутренних стандартов и правил (инструкций) для компании клиента и его сотрудников в рамках выполнения регуляторных процедур GPDR;
• Исполнение роли контактного лица между клиентом и государственными регуляторами в вопросах обработки данных, а также для получения консультаций и разъяснений;
• Обработка баз данных клиента, содержащих информацию о его конечных клиентах, на соответствие требованиям GPRD, предотвращение рисков.

Состав услуг GDPR

Стадия 1. КОМПЛЕКСНОЕ ОБСЛЕДОВАНИЕ

Данная стадия включает в себя следующие этапы, выполняемые последовательно:

• 1обследование информационных систем и процессов обработки персональных данных;
• 2оценка соответствия требованиям GDPR.

Этап 1.1. Обследование информационных систем и процессов обработки персональных данных

Для выполнения работ с учетом особенностей̆ Заказчика изучается его организационная структура с целью выявления подразделений, функциональное назначение которых предполагает осуществление обработки персональных данных, а также разработки анкет и плана интервьюирования сотрудников с учетом специфики Заказчика.

В качестве методов проведения работ используется:

• анализ предоставленной̆ Заказчиком документации;
• анкетирование и интервьюирование сотрудников Заказчика;
• анализ веб-сайтов и веб-сервисов, принадлежащих Заказчику.

В ходе выполнения обследования осуществляются следующие действия:

• выявление потоков обработки персональных данных (Personal data Flow);
• определение места основного учреждения в Европе;
• определение перечня работников, обработчиков и третьих лиц, участвующих в обработке персональных данных;
• определение перечня и объема обрабатываемых персональных данных;
• анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с третьими лицами, в рамках отношений, с которыми осуществляется передача им или получение от них персональных данных;
• анализ договоров, соглашений, согласий, публичных оферт и иных документов, заключаемых с физическими лицами и являющихся законными основаниями для обработки персональных данных;
• определение мест хранения персональных данных;
• выделение информационных систем, в которых обрабатываются персональные данные;
• определение наличия организационно-распорядительной̆ документации, определяющей̆ порядок обработки и защиты персональных данных;
• описание имеющихся мер обеспечения безопасности персональных данных;
• выявление фактов трансграничной̆ передачи персональных данных и составление перечня стран, куда осуществляется трансграничная передача персональных данных.

Отчетные документы

• Протокол сбора информации.

Этап 1.2. Оценка соответствия требованиям GDPR

На основании проведенного обследования информационных систем и процессов обработки определяется степень соответствия требованиям GDPR.

По итогам определения степени соответствия подготавливаются рекомендации по приведению обработки персональных данных в соответствие требованиям GDPR.

При определении степени соответствия требованиям GDPR также применяются документы, изданные рабочей группой по ст.29 GDPR, состоящей из представителей регуляторов в области защиты персональных данных стран-членов ЕС (Article 29 working group).

Отчетные документы

• Отчет о статусе соответствия требованиям GDPR c рекомендациями по приведению обработки персональных данных в организации в соответствие требованиям GDPR;
• План мероприятий по приведению в соответствие требованиям GDPR.

СТАДИЯ 2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ

При разработке проектов организационно-распорядительной документации проводится синтез требований различных нормативно-правовых актов ЕС в области персональных данных с целью структурирования содержания комплекта организационно-распорядительной документации для наиболее эффективного его применения, дальнейшей актуализации и обновления.

Отчетные документы

• Перечень процессов обработки персональных данных;
• Уведомление об обработке персональных данных (Privacy Notice);
• Политика защиты персональных данных;
• Согласия на обработку персональных данных (consent), в случае необходимости;
• Соглашения между оператором персональных данных (controller) и обработчикам персональных данных (processor), в случае необходимости (Data Processing Addendum);
• Регламент реагирования на запросы физических лиц;
• Регламент по уничтожению персональных данных;
• Регламент по переносимости персональных данных в машиночитаемом виде;
• Регламент по реагированию на инциденты информационной безопасности в рамках обработки персональных данных;
• Регламент по уведомлению об утечках персональных данных;
• Инструкция для работников по обработке и обеспечению безопасности персональных данных

СТАДИЯ 3. ПРОВЕДЕНИЕ ОЦЕНКИ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (DPIAs)

По итогам реализованных организационных и технических мер и процессов обработки персональных данных производится оценка воздействия на конфиденциальность (DPIAs). Оценка проводится для обеспечения минимального уровня риска для субъектов персональных данных.

Оценка воздействия на конфиденциальность может проводится несколько раз, с коррекцией мер по обеспечению безопасности, если не удается достичь оптимального уровня риска первоначально выработанными мерами по обеспечению безопасности.

Отчетные документы

• Отчет о проведении оценки воздействия на конфиденциальность (DPIAs).

Если Вам интересны наши услуги по GDPR, или у Вас есть какие-либо вопросы, пожалуйста, свяжитесь с нашим специалистом.