Общий регламент по защите данных GDPR вступил в силу 25 мая 2018, но до сих пор большинство компаний рассматривают его как угрозу бизнесу, рискуя при этом получить существенный штраф (до 20000000 евро) за несоответствие предписаниям. Но, есть и другой подход!

Мы можем помочь вам разобраться в этом сложном законодательном акте и применить его в вашу пользу. Внедряя необходимые меры безопасности вы получите эффективный инструмент для:

  • укрепления доверия клиентов
  • улучшение имиджа и репутации бренда
  • снижение риска утечки данных
  • повышение информационной безопасности
  • получение конкурентного преимущества
    GDPR
    ЗАЩИТА ДАННЫХ
    Самое важное о GDPR
    Необходимо ли моему бизнесу соответствовать регламенту GDPR?
    Да, - если ваша компания расположена в ЕС или за его пределами, и является:
    контроллером данных - собирает данные от субъектов данных (людей) резидентов ЕС, или
    процессором - обрабатывает данные от имени контроллера данных (например, такого как поставщики облачных услуг).
    В обоих случаях, сбор или обработка данных выполняется в связи с профессиональной или коммерческой деятельностью.
    Какие данные компания может собирать или обрабатывать, и как они классифицируются?
    Персональные данные - это информация, принадлежащая физическому лицу (субъекту данных) и с помощью которой его можно идентифицировать. Особенно строгий контроль установлен за обработкой особых категорий, так называемых чувствительных персональных данных.

    Персональные данные:
    • ФИО
    • адрес
    • адрес электронной почты
    • фото
    • идентификационный номер (включая онлайн-идентификаторы и IP-адреса)
    • данные о местонахождении
    • интернет поведение (куки)
    • профилирование и аналитика данных
    • один или несколько факторов, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности физического лица.
    Особые категории персональных данных:
    • расовое или этническое происхождение
    • религиозные или философские верования
    • политические мнения
    • членство в профсоюзе
    • половая жизнь или сексуальная ориентация
    • здоровье
    • биометрические данные (отпечатки пальцев, сканирование сетчатки глаза)
    • генетические данные
      Последствия несоблюдения регламента
      Предусмотрены два уровня административного штрафа:
      штраф в размере до 10 миллионов евро или 2% от годового мирового оборота компании - в зависимости от того, что больше. Может быть применен за нарушение статей:
      • A.8 (условия согласия детей)
      • A.11 (обработка, которая не требует идентификации)
      • A.25 - 39 (общие обязательства процессоров и контроллеров)
      • A.42 (сертификация)
      • A.43 (органы по сертификации)
      до 20 миллионов евро или 4% от годового мирового оборота компании - в зависимости от того, что больше, за нарушение статей:
      • A.5 (принципы обработки данных)
      • A.6 (законность обработки)
      • A.7 (условия для согласия)
      • A.9 (обработка специальных категорий данных)
      • A.12 - 22 (права субъектов данных)
      • A.44 - 49 (передача данных третьим странам или международным организациям)
      При этом, штрафы за нарушение GDPR является дискреционными - определяются по усмотрению регулятора по критериям эффективности, пропорциональности и должны иметь сдерживающий фактор. Некоторые из объявленных штрафов превышают сумму в 200 миллионов евро.

      Кроме штрафов к компаниям могут быть применены другие действия, включая:
      • выдача предупреждений и выговоров
      • введение временного или постоянного запрета на обработку данных
      • требование исправления, ограничения или удаления данных
      • запрет передачи данных третьим странам или международным организациям
      Все санкции могут быть обжалованы в судебном порядке. Однако, это не вернет утраченной репутации, клиентов, времени и денег, потраченных на судебную волокиту.
        Самые частые нарушения
        Большинство нарушений относится к следующим статьям GDPR:
        • A.5 (принципы обработки данных)
        • A.6 (законность обработки)
        • A.32 (безопасность обработки)
        • A.13 (сообщение о конфиденциальности)
        • A.15 (право субъекта данных на доступ к данным)
          Самые громкие штрафы
          Международная авиакомпания Cathay Pacific Airways Limited оштрафована на 500 000 фунтов стерлингов за неспособность защитить личные данные своих клиентов (взлом базы данных пассажиров в результате кибератаки). (Источник ico.org.uk)

          Шотландская компания CRDNN Limited получила штраф в размере 500 000 фунтов стерлингов за совершение более 193 миллионов автоматических телефонных вызовов без клиентской согласия. (Источник ico.org.uk)

          Национальный ритейлер DSG Retail Limited оштрафован на 500 000 фунтов стерлингов за неспособность защитить информацию как минимум 14 миллионов клиентов (взлом системы продаж в результате кибератаки). Ранее, в января 2018 года оштрафована Carphone Warehouse, которая является частью той же группы компаний, на 400 000 фунтов стерлингов за аналогичные уязвимости системы безопасности. (Источник ico.org.uk)

          Лондонская аптечная компания Doorstep Dispensaree Ltd оштрафована на 275 000 фунтов стерлингов за неспособность обеспечить безопасность данных специальной категории (оставила около 500 000 документов в незакрытых контейнерах на заднем дворе своего офиса). (Источник ico.org.uk)

          Намерение оштрафовать гостиничную сеть Marriott International Inc на 99 000 000 фунтов стерлингов за нарушение законодательства о защите персональных данных (в результате киберинцидента в период с 2014 по 2018 годы были раскрыты персональные данные, содержащиеся примерно в 339 миллионах гостевых записей во всем мире). (Источник ico.org.uk)
          Недавно Marriott International Inc на своем официальном сайте новостей сообщил о повторном случае связанным с утечкой
          5,2 миллионов персональных данных клиентов сети. Инцидент произошел в период с середины января до конца февраля 2020 года, когда утечка была обнаружена. Судя по данной статистике, штрафа им не избежать. (Источник news.marriott.com)

          Намерение оштрафовать British Airways на 183 390 000 фунтов стерлингов за нарушение законодательства о защите персональных данных в результате которого были скомпрометированы персональные данные 500000 пассажиров. (Киберинцидент частично связан с перенаправлением трафика пользователей с сайта British Airways на мошеннический сайт). (Источник ico.org.uk)

          Национальная комиссия по защите данных Франции CNIL наложила финансовый штраф в размере 50 000 000 евро на компанию GOOGLE LLC согласно Общих правил защиты данных (GDPR) за отсутствие прозрачности, неадекватную информацию и отсутствие действительного согласия по персонализации рекламы. (Источник cnil.fr)

          Управление по защите персональных данных Польши (UODO) наложило штраф на компанию контроллера (название которой не уточняется) в размере более 943 000 злотых (208 000 евро) за нарушение законодательства о защите персональных данных. (Источник uodo.gov.pl)
            Перечень основных требований
            1. Подотчетность и управление
            Вы должны иметь возможность продемонстрировать соответствие GDPR. Это включает:
            • создание структуры управления с ролями и обязанностями
            • ведения детального учета всех операций по обработке данных
            • документирование политики и процедур защиты данных
            • проведение DPIA (оценки воздействия на защиту данных) для операций по обработке с высоким риском
            • внедрение соответствующих мер по защите персональных данных
            • проведение тренингов по повышению осведомленности персонала
            • при необходимости назначения должностного лица по защите данных
              2. Шесть принципов обработки данных
              GDPR перечисляет шесть принципов обработки данных, которым должны следовать контроллеры данных. Личные данные должны:
              • обрабатываться законно, справедливо и прозрачно
              • собираться только для конкретных законных целей
              • собираться адекватно, соответственно и ограничено тем, что необходимо
              • быть точными и, при необходимости, актуализированными
              • храниться лишь столько, сколько нужно
              • обрабатываться таким образом, чтобы обеспечивать надлежащую безопасность
                  3. Законная обработка
                  За исключением специальных категорий персональных данных, не подлежащих обработке, за исключением определенных обстоятельств, личные данные могут быть обработаны, только если применяется одно из следующего:
                  • если субъект данных дал свое согласие
                  • для выполнения договорных обязательств
                  • необходимость соблюдать юридические обязательства
                  • для защиты жизненно важных интересов субъекта данных
                  • выполнения задачи в интересах общества
                  • соблюдение законных интересов организации
                      4. Права на конфиденциальность физических лиц
                      Права физических лиц расширяются на ряд важных направлений. Субъекты данных имеют:
                      • право быть информированными про сбор, обработку или хранение данных
                      • право доступа к данным
                      • право на исправление
                      • право на стирание/удаление
                      • право ограничивать обработку
                      • право на переносимость данных
                      • право на возражение
                      • права относительно автоматизированного принятия решений и профилирования
                        5. Действительное согласие
                        GDPR вводит более жесткие правила получения согласия:
                        • согласие должно быть дано свободно, конкретно, информировано и однозначно
                        • просьба о согласии должна быть понятной и четкой
                        • молчание, предварительно поставлены галочки и бездействие больше не являются достаточными для согласия
                        • согласие может быть отозвано в любое время
                        • согласие на интернет-услуги от ребенка до 13 лет действует только с разрешения родителей или опекуна
                        • организации должны иметь возможность подтверждать согласие и отозвать согласие
                          6. Защита данных по дизайну и по умолчанию
                          Контроллеры и обработчики данных должны реализовывать технические и организационные мероприятия, разработанные для эффективного внедрения принципов обработки данных.
                          • в обработку должны быть включены соответствующие гарантии
                          • защиту данных необходимо учитывать на этапе проектирования любого нового процесса, системы или технологии
                          • DPIA (оценка воздействия на защиту данных) является неотъемлемой частью конфиденциальности в дизайне
                            7. Уведомление о прозрачности и конфиденциальности
                            Организации должны быть четкими и прозрачными в отношении того, как личные данные будут обрабатываться, кем и почему.
                            • когда персональные данные собираются непосредственно от субъектов данных, контроллеры данных должны предоставить уведомление о конфиденциальности во время сбора
                            • если личные данные не получаются непосредственно от субъектов данных, контроллеры данных должны прислать уведомление о конфиденциальности без лишних задержек, не позднее чем в течение месяца (это нужно предоставить при первом общении с субъектом данных, но не позднее чем через месяц после получения персональных данных)
                            • для всех операций по обработке, контроллеры данных должны решить, как информировать субъектов данных, и соответственно разработать сообщение о конфиденциальности (сообщения могут выдаваться поэтапно)
                            • сообщения о конфиденциальности должны предоставляться субъектам данных в сжатой, прозрачной и легкодоступной форме, используя четкий и понятный язык

                              8. Передача данных за пределы ЕС
                              Передача персональных данных международным организациям и странам, не входящим в ЕС, разрешается только:
                              • там, где ЕС определил страну такой, что обеспечивает надлежащий уровень защиты данных
                              • через типовые договоры или обязательные корпоративные правила, или
                              • соблюдая утвержденный механизм сертификации, например. EU-US Privacy Shield
                              9. Отчетность о нарушении данных
                              Нарушение связанное с персональными данными определяется как "нарушение безопасности, что приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, которые передаются, хранятся или обрабатываются другим образом".
                              • процессоры (обработчики) данных обязаны сообщать обо всех нарушениях связанных с персональными данными контролерам данных
                              • контроллеры данных обязаны сообщать о нарушениях Комиссии по защите данных (DPC) в течение 72 часов после их выявления, если есть риск для прав и свобод субъектов данных
                              • сами субъекты данных должны быть уведомлены без лишних задержек, если существует высокий риск для их прав и свобод
                                10. DPO (офицер защиты данных)
                                Назначение DPO является обязательным, если:
                                • обработку осуществляет государственный орган
                                • основная деятельность организации требует регулярного и систематического мониторинга субъекта данных в больших масштабах, или
                                • основная деятельность организаций предполагает широкомасштабную обработку специальных категорий данных и персональных данных, касающихся уголовных судимостей и правонарушений

                                задачи DPO:
                                • поставьте и проконсультируйте организацию по своим обязательствам
                                • обеспечьте контроль за соблюдением требований, включая повышение осведомленности, обучение персонала и проведение аудита
                                • предоставьте советы по оценке воздействия на защиту данных
                                • сотрудничайте с Комиссией по защите данных (DPC) и выступайте как контактный пункт как для DPC, так и для субъектов данных
                                  ЧТО МЫ ПРЕДЛАГАЕМ
                                  • онлайн или офлайн консультирование по любым вопросам относительно регламента GDPR и соответствия его требованиям
                                  • это быстро и удобно, достаточно лишь выбрать способ связи с нашим специалистом
                                  • вы можете выбрать почасовую консультацию по фиксированной цене
                                  • или сотрудничать в формате месячной, квартальной или годовой подписки от 10 часов, чтобы получить эксклюзивный прайс
                                  *90.00 /час
                                  без НДС
                                  Начать диалог
                                  • вы можете выбрать любую из 3-х проектных услуг
                                  • быстрая оценка - анализ какого-либо одного артефакта необходимого для соответствия GDPR (документа, процесса, процедуры, решения и т.д.)
                                  • гэп-анализ - анализ недостатков в существующих документах, процессах, процедурах и решениях касающихся соответствия регламента GDPR
                                  • аудит - дает возможность взглянуть на все со стороны и получить экспертную оценку на соответствие GDPR
                                  • каждый из отчетов содержит: полный перечень несоответствий по уровням критичности; рекомендации по улучшениям; дорожную карту внедрения изменений
                                  Свяжитесь с менеджером, чтобы получить коммерческое предложение
                                  Начать диалог
                                  • реализация проекта по соблюдению требований регламента GDPR под ключ
                                  • проект включает:
                                    - гэп-анализ или аудит, для понимания текущего состояния, и для оценки соответствия с GDPR, если какие-то документы или процессы уже были внедрены;
                                  • - разработка плана проекта и дорожной карты внедрения или улучшений;
                                  • - разработка документации: политик, процессов, процедур, DPIA, тренингов, программ осведомленности;
                                  • - помощь в выборе систем и решений по лучшим практикам;
                                  • - контроль и отчетность на всех этапах проекта;
                                  • - обучение персонала
                                  Свяжитесь с менеджером, чтобы получить коммерческое предложение
                                  Начать диалог
                                  • вы можете выбрать месячную, квартальную или годовую подписку на поддержку надлежащего состояния документов, процессов, процедур и решений для соответствия регламенту GDPR
                                  • может содержать:
                                    - пакет часов консультаций необходимого специалиста, рассчитанный согласно вашим потребностям;
                                  • - пакет быстрая оценка / гэп-анализ / аудит, с выбранной вами периодичностью;
                                  • - пакет сопровождение, помощь и контроль в вашем самостоятельном проекте по внедрению изменений или улучшений;
                                  • - пакет улучшения, в котором мы улучшаем артефакты необходимые для соответствия GDPR, если ваша компания в этом нуждается;
                                  • - все необходимые отчеты и проектную документацию
                                  Свяжитесь с менеджером, чтобы получить коммерческое предложение
                                  Начать диалог
                                  Не нашли то, что искали?
                                  Мы всегда готовы помочь с решением Вашей проблемы или ответить на срочные вопросы.
                                  Для этого Вам необходимо только выбрать удобное средство связи с нашими специалистами.
                                  СОВЕТ ЭКСПЕРТА
                                  Этот сайт использует файлы cookie для анализа нашего трафика, персонализации контента и рекламы, а также предоставления доступа к функциям социальных сетей.

                                  Информация о вашем использовании этого сайта доступна нашим партнерам из социальных сетей, рекламным партнерам и партнерам по аналитике.
                                  Они могут сочетать эту информацию с другими данными о вас, которые они собрали во время вашего пользования их услугами.

                                  Узнайте больше об условиях использования файлов cookie ознакомившись с Политикой конфиденциальности.
                                  ОК
                                  Made on
                                  Tilda