Оставьте заявку
Мы свяжемся с вами в ближайшее время.
Write Close
Close
Напишите нам
Telegram
Whatsapp
Messenger
Mail
Phone
Write Close
Close
Напишите нам
Telegram
Whatsapp
Messenger
Phone

GDPR

25 мая 2018 года вступил в силу Регламент Европейского союза
№ 2016/679 GDPR - новые правила обработки персональных данных в Европе для международного IT-рынка

General Data Protection Regulation
1
Что такое GDPR?
25 мая 2018 года вступает в силу новый Регламент Европейского Союза № 2016/679 GDPR (General Data Protection Regulation).

Данный Регламент напрямую регулирует отношения между компаниями и их клиентами по обработке персональных данных физических лиц.
2
Кому это важно?
Регламент GDPR применяется не только к компаниям, имеющим представительства или филиалы на территории ЕС, но и к юридическим лицам, предлагающим услуги или товары жителям Евросоюза, либо отслеживающим поведение жителей ЕС.

Поэтому даже если Вы не имеете каких-либо корпоративных структур в Европе, Вы всё равно попадаете под действие GDPR, предлагая свою продукцию лицам, находящимся в Европейском Союзе.
3
Что делать?
Провести анализ деятельности компании и ее документов на предмет соответствия GDPR, разработать и внедрить внутренние политики по обработке персональных данных физически лиц, обновить политику конфиденциальности для пользователей и избежать штрафа в размере 20 000 000 €
Что изменилось?
Категории персональных данных
Расширен объем информации, который считается персональными данными (онлайн-идентификаторы, геолокация);
Порядок хранения персональных данных и получения согласия
Введен новый порядок
хранения персональных данных, усложнены условия и порядок получения согласия на обработку персональных данных
Объем прав субъекта персональных данных
К переченю прав субъектов персональных данных добавились право на забвение и право на перенос данных
Защита персональных данных от утечки
Введены новые требования к защите персональных данных, мероприятиям на случай утечки
Оценка риска
Мы подготовили ряд вопросов, ответив на которые, сможете самостоятельно оценить свои риски и обратиться в Компанию Versus.legal за оказанием юридической поддержки в ведении бизнеса в Европе.
Какие категории персональных данных Вы обрабатываете?
Для оценки рисков необходимо определить, какие именно персональные данные обрабатывает ваша компания. GDPR вводит понятие «особые категории персональных данных», к которым, например, относятся данные о политических и религиозных убеждениях физического лица или сведения о состоянии его здоровья.

GDPR вводит общий запрет на обработку таких персональных данных. Их обработка возможна только в случаях, предусмотренным GDPR.
Получаете ли Вы от своих клиентов согласие на обработку персональных данных?

GDPR устанавливает ряд требований к форме получения такого согласия.

Например, оно не может быть выражено в форме молчания либо бездействия. Не будет получено согласие и в том случае, если, при установке онлайн приложения за пользователя уже будет поставлена галочка о его согласии с обработкой персональных данных.

GDPR предъявляет ряд требований к обработке персональных данных детей.

Она возможна только в том случае, если согласие на обработку персональных данных получено от законных представителей детей. GDPR требует от компаний контролировать, что согласие было получено именно от законных представителей.

Если форма получения согласия на обработку персональных данных не соответствует требованиям GDPR, такая обработка может повлечь многомилионные иски клиентов и штрафы со стороны органов надзора.

Проинформированы ли Ваши клиенты о своих правах в сфере обработки персональных данных?
Регламент GDPR признает за физическими лицами ряд прав и свобод в сфере обработки персональных данных.
Это, например, право на удаление персональных данных (право на забвение) или право на возражение против обработки персональных данных.

Компания должна проинформировать клиентов об их правах. Кроме того, компания должна предоставить им возможность реализовать права , в том числе, путем внедрения системы обратной связи с компанией.

Если компания не сообщила клиентам о правах и не предусмотрела возможности для их реализации, компания может быть привлечена к административной и
гражданско-правовой ответственности.

Соответствует ли Ваше Пользовательское соглашение и иные документы в области обработки персональных данных требованиям GDPR?
Регламент предусматривает, что политика конфиденциальности компании должна содержать цели и способы обработки персональных данных, а также раскрывать информацию о том, каким третьим лицам и в каких целях могут передаваться персональные данные клиентов.

В случае, если такая информация в Вашей Политике отсутствует, клиент может заявить о нарушении права на информацию и предъявить требование о возмещении убытков. Кроме того, надзорный орган может привлечь компанию к ответственности.
Внедрены ли Вашей компанией технические меры по защите персональных данных от утечек?
GDPR предусматривает, что компании должны внедрить в процесс обработки персональных данных технические и организационные меры по защите от утечек.

Они могут предусматривать средства для обеспечения конфиденциальности и целостности персональных данных, а также систему уведомлений клиентов и надзорных органов об утечках персональных данных.

Если такие меры не внедрены, надзорные органы могут заявить о нарушениях GDPR. Следовательно, есть риск привлечения к административной ответственности и взыскания штрафа до 20 миллионов евро.
Передаете ли Вы персональные данные клиентов из Евросоюза в Россию?
GDPR содержит запрет на передачу персональных данных в третью страну, которой является Российская Федерация.

Передача персональных данных возможна в случае, если третья страна признается Европейской Комиссией «адекватной юрисдикцией», то есть государством, предоставляющим надежные гарантии по защите персональных данных. Однако на данный момент Россия не признана адекватной юрисдикцией.

Ведется ли в Вашей компании учет деятельности по обработке персональных данных?
Согласно GDPR большинство компаний должны вести учет деятельности по обработке персональных данных. Для этого необходимо наладить внутренний документооборот, чтобы фиксировать информацию о действиях по обработке персональных данных.

Если компания обязана вести учет, но не делает этого, она может быть привлечена к административной ответственности.
Почему это важно?
В случае нарушения GDPR с компании может быть взыскан штраф
4%
от годового оборота
20 000 000 €
Выбор в пользу той суммы, которая окажется больше
Что мы предлагаем?
1
Проверка
Проведение анализа деятельности и документов компании на соответствие GDPR
2
Внедрение
  • Разработка форм согласия на обработку персональных данных, внутренних политик компании по обработке персональных данных физических лиц
  • Составление документов, обеспечивающих законность процедуры передачи персональных данных из Европейского Союза в Россию
  • Разработка и внедрение в деятельность компании чеклистов проверки деятельности клиента на предмет соответствия GDPR
3
Консалтинг
Оказываем консультационную поддержку при внедрении процессов обработки и защиты персональных данных