О ПРИМЕНИМОСТИ GDPR

GDPR

1. Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их

оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет

2. Действие GDPR распространяется на «обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС, в тех случаях, когда такая деятельность по обработке относится к:

► Предложение товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе; или

► Отслеживание их действий при условии, что таковые осуществляются в пределах ЕС»

ШТРАФЫ ПРИ НАРУШЕНИИ ТРЕБОВАНИЙ GDPR

GDPR

• За «незначительные» нарушения требований GDPR штраф составляет до 10 миллионов евро или 2% от мирового годового оборота (в зависимости от того,какая из этих сумм окажется выше)

• За «более серьезные» нарушения (например, за несоблюдение принципов защиты данных) предусмотрен более высокий размер штрафа -до 20 миллионов евро или 4%от мирового годового оборота (в зависимости от того, какая из этих сумм окажется выше)

• Штрафные санкции будут применяться в отношении юридических лиц, находящихся в соответствующих странах-участницах ЕС. Если компания-нарушитель не имеет присутствия в ЕС, то штрафные санкции могут быть применены непосредственно в отношении компании, расположенной за пределами ЕС.

НАЗНАЧЕНИЕ ОТВЕТСТВЕННОГО ЗА ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

GDPR

Согласно статье 27 GDPR требует, чтобы контролирующие лица и операторы персональных данных, находящиеся вне территории ЕС, назначали в Европе лицо, ответственное за защиту данных. Ответственное лицо может быть привлечено к ответственности за нарушения контролирующего лица. Также представитель обязан сотрудничать с компетентными надзорными органами, которые уполномочены давать представителю любую информацию, которая может ему потребоваться для эффективного выполнения его задач.

О ПРИМЕНИМОСТИ GDPR

GDPR

В контексте формулировки про «отслеживание» [субъектов ПДн], организации подпадают под действие регламента GDPR в случае, если они будут отслеживать физических лиц в режиме онлайн для создания профилей, в том числе в целях принятия решений для анализа/прогнозирования их личных предпочтений,поведения (например, скоринг, мониторинг транзакций, аналитика данных для целей рекламы)

Таким образом в качестве предпосылок для применимости GDPR можно привести следующие ситуации:

► Мониторинг банковских/телеком транзакций субъекта ПДн (например, в рамках антифрода) в то время, как субъект ПДн находится на территории ЕС

► Услуги по анализу персональных данных субъектов ПДн (например, в рамках банковского скоринга), находящихся на территории ЕС, которые родительская организация вне ЕС предоставляет своим дочерним подразделениям, находящимся в ЕС

► Услуги электронной коммерции (интернет-магазины)

ВЫВОД

GDPR

GDPR — один и важнейший законодательный документ, который существенно повышает уровень защиты персональных данных в ЕС и за его пределами. Он требует очень внимательного изучения и соблюдения. Реформа дает ясность и последовательность правил, которые должны применяться в области защиты данных. Она также восстанавливает доверие пользователя-потребителя, что позволяет бизнесу максимально использовать возможности на едином европейском цифровом рынке.

Сбор, анализ и перемещение персональных данных по всему миру приобрели огромное экономическое значение. Персональные данные – это, безусловно, “валюта” современной экономики. И если вы осуществляете сбор пользовательских данных в каком-либо виде — за их сохранностью надо внимательно следить, чтобы избежать утечек и возможных манипуляций ими третьими лицами.

ОСНОВНЫЕ ТЕРМИНЫ

GDPR

Персональные данные (ПДн)
Любая информация, относящаяся к идентифицированному или идентифицируемому физического лица (субъект ПДн) (включая, IP-адрес)

Идентифицируемое физическое лицо
Физическое лицо, которое может быть идентифицировано прямо или косвенно, в частности с использованием идентификатора, например: имени,идентификационного номера, данных о местоположении, онлайн-идентификатора;или с использованием параметров, характеризующих данное физическое лицо с физиологической, генетической, психологической, экономической, культурной или социальной точки зрения

Обработка ПДн
Любая операция или набор операций, выполняемых с ПДн или с набором ПДн как с использованием средств автоматизации, так и без использования оных, включая:сбор, запись, структурирование, хранение, адаптацию или изменение,использование, распространение, ограничение, уничтожение

Контоллер ПДн (Controller)
Физическое или юридическое лицо, государственный орган, учреждение, которое в одиночку или совместно с другими определяет цели и средства обработки ПДн

Процессор ПДн (Processor)
Физическое или юридическое лицо, государственный орган, учреждение, которое обрабатывает ПДн по поручению оператора ПДн.

ЧТО ДЕЛАТЬ?

GDPR

Если вы входите в зону действия нового европейского регламента о защите данных или планируете расширяться и предоставлять услуги и товары в страны ЕС, то рекомендуется провести:

• комплексную оценку применяемых в компании методов и средств обработки
• персональных данных
• пересмотреть политику конфиденциальности
• пересмотреть положения об обработке персональных данных пользовательских
• соглашений (Terms of use) своих сайтов и онлайн-сервисов, ориентированных на европейских потребителей и пользователей.

Для соответствия требованиям GDPR необходимо

• разработать внутренние политики защиты данных,
• обучить персонал
• проводить проверки деятельности компании
• отрегулировать обработку данных
• вести документацию по процессам обработки
• внедрять меры по встроенной системе конфиденциальности,
• назначить сотрудника ответственного за обработку персональных данных (естественно, с учётом характера и объёмов обрабатываемых персональных данных).

Несмотря на то, что новые требования к обработке персональных данных серьезны, в них есть положительные стороны для вне европейских игроков: легче придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной страны ЕС.

ПОД ТРЕБОВАНИЯ GDPR ПОПАДАЮТ:

GDPR

1. Компании, которые работают с жителями Европы вне зависимости от местонахождения компании.
2. Компании, которые осуществляют мониторинг поведения жителей Европы в целях предложения товаров или услуг
3. Если работаете с любой компанией, которая в свою очередь работает с юридическими или физическими лицами в Европе.
4. Если работаете с любой компанией, которая осуществляют мониторинг поведения жителей Европы в целях предложения товаров или услуг.

ЧТО ПРЕДЛАГАЕТ НАША КОМПАНИЯ

GDPR

Мы приводим деятельность компаний к соответствию требованиям GDPR (General Data Protection Regulation). Профессиональные консультанты по GDPR составляют всю необходимую документацию, работают с технической стороной, начиная с реализации принципа «Privacy by design».

Для успешного результата по внедрению GDPR мы активно взаимодействуем с должностными лицами клиента, ведем переписку, рабочие переговоры, а также проводим совещания в процессе оказания услуг.

ЭТАПЫ РАБОТЫ ПО GDPR COMPLIANCE

GDPR

• Проверка
Проверка применимости GDPR к компании, группе компаний

• Изучение
Изучение структуры компании, группы компаний, вычитка связывающих компании договоров, изучение технических инструментов, используемых для обработки персональных данных и их защиты

• Оценка
Оценка несоответствия, определение планов работ по приведению деятельности компании в соответствие с требованиями GDPR

• Работа
Реализация мероприятий по приведению деятельности компании в соответствие с требованиями GDPR

• Поддержка
Консультационная или абонентская поддержка консультантов по GDPR