Главная / Услуги / GDPR-compliance / GDPR комплаенс – защита персональных данных

GDPR комплаенс – защита персональных данных

GDPR комплаенс – это Общий Регламент Защиты Персональных Данных. Следующий и очевидный вопрос, который у Вас должен возникнуть, «а должен ли я его придерживаться»? Мы уже отвечали на этот вопрос в публикациях.  Но если очень кратко пересказать, то «да» в случае, если ваша компания зарегистрирована в ЕС или Вы собираете персональные данные (ПД) граждан ЕС.

Для того, чтобы попаcть до категории лиц, которые собирают ПД граждан ЕС достаточно иметь веб-сайт, на котором будут использоваться файлы cookie. Опять же, все очень просто, если вы пользуетесь Google аналитикой, считайте, что вы контроллер в терминах GDPR комплаенс. Конечно же сейчас мы описали наиболее распространённую и простую версию взаимодействия с персональными данными граждан ЕС, у онлайн-ритейлера она уже более сложная, а у провайдеров хостинговых решений или гемблинг-операторов всё куда сложнее. Но здесь точно нечего боятся, ведь даже не смотря на огромные декларируемые штрафы (до 20 млн. евро), у Legarithm есть опыт написания политик и проведения аудита деятельности для бизнесов, оперирующих в разных индустриях.

Аудит на правовое соответствие GDPR

Если у вас уже оперирующая компания, которая не один год на рынке, то первое, что нужно сделать – это провести полноценный аудит на правовое соответствие GDPR. Во время аудита юристы Legarithm проводят комплексный анализ процессов, происходящих в компании на предмет нарушения положений GDPR с предоставлением дальнейших рекомендаций, которые возможно практически имплементировать, не нарушая целостность бизнес деятельности. Мы всегда стремимся к наилучшему результату, но никогда не приносим в жертву бизнес-процессы, происходящие в компании. Зачастую рекомендации от юристов – это целый список неисполнимых пунктов, но в нашем случае. Понимая, что не всё возможно изменить, мы помогаем модернизировать то взаимодействие с персональными данными, что происходит в вашей компании.

Составными частями аудита является проверка существующих в компании механизмов взаимодействия с персональными данными на:

  • Наличие правовых оснований получения и обработки ПД в соответствии со ст. 6 GDPR. Здесь мы находим какие виды персональных данных и с какой целью вы обрабатываете. Определяем или есть согласие субъекта ПД на обработку и в случае его отсутствия проверяем возможность применения остальных 5 пунктов в качестве правого основания для получения и обработки персональных данных. Предоставляем рекомендации по распространению на некоторые виды обработки требования касательно согласия и внесения изменений в политики.
  • Актуальность и соответствие GDPR объёмов ПД, что обрабатываются компанией. В данной части GDPR предписывает «размытые» нормы и лишь юристы, специализирующееся на исполнении его требований способны определить, что означает «актуальность» и «достаточные объёмы». Для этого используются рекомендации EDPB и понимание индустрии, в которой вы работаете.
  • Длительность хранения ПД и их удаление после предвиденного строка. «Достаточный период» для каждого вида обработки персональных данных разный, поэтому основываясь на целях, закреплённых в политиках, мы определяем какой период будет релевантным в целях GDPR.
  • Обеспечение прав субъектов ПД на доступ, забвение, уточнение.

  • Возможность компанией продемонстрировать выполнение норм приватности. Что будет если контролирующие органы попросят вас объяснить почему вы обрабатываете, например, адреса субъектов персональных данных или ваши бизнес партнеры захотят, чтобы вы продемонстрировали соответствие GDPR при покупке у них софта? Для того, чтобы ваши ответы имели правовую подоплеку, мы проведем полный анализ возможности вашей компанией продемонстрировать соответствие GDPR.
  • Система защиты персональных данных есть эффективной и соответствует лучшим практикам. Данный пункт охватывает не только юридический анализ, но и технический.
  • Соответствие национальным законам и другим регуляторным актам в сфере защиты персональных данных. В каждой стране ЕС имеются свои особенности, что касаются защиты персональных данных, особенно выражено это проявляется в отдельных индустриях, например, на Мальте, лицензированные онлайн операторы обязаны придерживаться рекомендаций, изданных MGA. Большинство государств не-участников ЕС также приняли законы о защите персональных данных, которые во многом похожи на GDPR, но имеют свои особенности и как правило не такой высокий уровень контроля за исполнением.

Как итог, после проведение аудита Вы получите полный ответ о всех выявленных нарушениях. Более того, нами будет проведена их градация, давая возможность сконцентрироваться на первостепенных проблемах и минимизировать негативное влияние от изменений в бизнес-процессах.

GDPR и Украина / Закон «О защите персональных данных»

 

Если Вы предприниматель из Украины, мы советуем вам прочитать нашу статью касательно сферы применения GDPR и в случае возникновения любых вопросов обратиться к нам за подробной консультацией на предмет «стоит ли Вам придерживаться GDPR?».

Нормы Закона «О защите персональных данных» во многом повторяют GDPR. Различия между этими документами во многом касаются обработки персональных данных государственными органами, также есть различия в основаниях для обработки персональных данных, в частности, если в случае GDPR это необходимость продвижения интересов контроллера ПД для обработки, то Закон предусматривает необходимость защиты законных интересов, что очевидно есть не таким широким формулированием. Учитывая вышеупомянутый факт, касательно большой схожести GDPR и Закона, и даже более широкой сферы применения GDPR, возможно утверждать, что соответствуя GDPR вы буде соответствовать и Закону.

Success! Thanks for Your Request.
Error! Please Try Again.
click fraud detection