GDPR, California Consumer Privacy Act, UK GDPR, ЗУ «О защите персональных данных» — это основные акты с которыми может столкнуться любой бизнес из СНГ, который обрабатывает данные своих пользователей.
Необходимо понимать, что если у вас есть веб-сайт и вы пользуетесь Google аналитикой, то вы уже есть контроллером в терминах, употребленных в GDPR. Прошу обратить внимание, что в дальнейшем, по тексту мы будем сосредотачиваться именно на GDPR, но во многих требованиях и понятиях данный Регламент схож с другими актами в сфере защиты персональных данных, которые действуют в отличных от ЕС юрисдикциях.
Вне зависимости от того оперируете вы уже несколько лет на рынке или только начинаете свою деятельность в онлайн пространстве – вам необходимо провести полноценный аудит на правовое соответствие GDPR (если вы работаете с гражданами ЕС или ваша компания зарегистрирована в ЕС) или же на соответствие другим актам. Данный аудит включает в себя комплексный анализ процессов, происходящих в компании на предмет нарушения положений GDPR с предоставлением дальнейших рекомендаций, которые возможно практически имплементировать, не нарушая целостность бизнес деятельности.
Команда Legarithm всегда стремимся к наилучшему результату, но никогда не приносим в жертву бизнес-процессы, происходящие в компании. Зачастую рекомендации от юристов – это целый список неисполнимых пунктов, но в нашем случае. Понимая, что не всё возможно изменить, мы помогаем модернизировать то взаимодействие с персональными данными, что происходит в вашей компании.
Составными частями аудита является проверка существующих в компании механизмов взаимодействия с персональными данными на:
Здесь мы находим какие виды персональных данных и с какой целью вы обрабатываете. Определяем или есть согласие субъекта ПД на обработку и в случае его отсутствия проверяем возможность применения остальных 5 пунктов в качестве правого основания для получения и обработки персональных данных. Предоставляем рекомендации по распространению на некоторые виды обработки требования касательно согласия и внесения изменений в политики.
В данной части GDPR предписывает «размытые» нормы и лишь юристы, специализирующееся на исполнении его требований способны определить, что означает «актуальность» и «достаточные объёмы». Для этого используются рекомендации EDPB и понимание индустрии, в которой вы работаете.
«Достаточный период» для каждого вида обработки персональных данных разный, поэтому основываясь на целях, закреплённых в политиках, мы определяем какой период будет релевантным в целях GDPR.
Что будет если контролирующие органы попросят вас объяснить почему вы обрабатываете, например, адреса субъектов персональных данных или ваши бизнес партнеры захотят, чтобы вы продемонстрировали соответствие GDPR при покупке у них софта? Для того, чтобы ваши ответы имели правовую подоплеку, мы проведем полный анализ возможности вашей компанией продемонстрировать соответствие GDPR.
Данный пункт охватывает не только юридический анализ, но и технический.
В каждой стране ЕС имеются свои особенности, что касаются защиты персональных данных, особенно выражено это проявляется в отдельных индустриях, например, на Мальте, лицензированные онлайн операторы обязаны придерживаться рекомендаций, изданных MGA. Большинство государств не-участников ЕС также приняли законы о защите персональных данных, которые во многом похожи на GDPR, но имеют свои особенности и как правило не такой высокий уровень контроля за исполнением.
Как итог, после проведение аудита Вы получите полный ответ о всех выявленных нарушениях. Более того, нами будет проведена их градация, давая возможность сконцентрироваться на первостепенных проблемах и минимизировать негативное влияние от изменений в бизнес-процессах.