Захист персональних даних
Аналіз і приведення бізнес-процесів Вашої компанії у відповідність до GDPR, CCPA, Закону України "Про захист персональних даних".
Що таке персональні дані?
Як правило, термін “персональні дані” закріплюється на рівні національного законодавства країни. Наприклад, у Європейському союзі обробку персональних даних регулює General Data Protection Regulation (GDPR), у Канаді – The Privacy Act і Personal Information Protection and Electronic Documents Act (PIPEDA), у США (в Каліфорнії) – California Consumer Privacy Act (CCPA).
Це законодавство регулює те, як бізнес має поводитися під час збирання та обробки даних клієнтів і співробітників.
Існують невеликі відмінності у визначенні поняття персональних даних, але для спрощення розуміння, візьмемо визначення згідно з GDPR.
- Персональні дані – це будь-яка інформація, що стосується ідентифікованої або такої, що піддається ідентифікації фізичної особи (“суб’єкта даних”, тобто людини).
- Ідентифікована фізична особа – це людина, ідентифікатор (ім’я, номер телефону, особистий номер, логін тощо) якої наявний серед даних.
- Фізична особа, що піддається ідентифікації– це особа, яку цілком можна ідентифікувати, тобто відрізнити від інших людей.
Персональними даними є не тільки сам ідентифікатор, а й інформація, що стосується людини. Говорячи простими словами, ім’я, номер паспорта, ID посвідчення, логін, нікнейм, адреса електронної пошти, номер телефону, IP-адреса, дані банківських карток – завжди персональні дані, бо є ідентифікаторами. Номер автомобіля, почерк, відеозапис чи фотографія – імовірно персональні дані, бо легко дають змогу ідентифікувати. А адреса, сімейний статус, стать, гендер, відомості з електронних гаманців, інформація про стан здоров’я, відомості про переглянуті сторінки, пошукові запити, пости в соціальних мережах – персональні дані, коли відомо, кому саме вони належать.
Як бізнесу відповідати законодавству щодо захисту персональних даних?
1
Проводимо аудит бізнес-процесів
Проводимо аудит на відповідність законодавству поточних і майбутніх бізнес-процесів.
Складаємо Data Map, щоб визначити можливі порушення.
2
Складаємо політики компанії щодо обробки персональних даних
Складаємо політику конфіденційності, повідомлення про конфіденційність, політику Cookie та інші необхідні документи.
3
Проводимо аудит сайту/додатку (застосунку)
Перевіряємо наявність необхідних форм зі збору згоди користувачів, роботу cookie, розташування юридичних документів і за підсумком даємо рекомендації.
4
Готуємо та укладаємо угоди щодо обробки даних з Вашими контрагентами
У разі передання персональних даних у треті країни, буде необхідно укласти угоди щодо обробки персональних даних (Data Processing Agreements).
5
Призначаємо Data Protection Officer (DPO)
Призначення DPO є обов'язковим, якщо:
(а) обробка здійснюється державним органом або органом, за винятком судів, що має дієздатність судів; або
(b) основна діяльність юридичної особи складається з операцій з обробки даних, які за своїм характером, обсягом та/або цілями вимагають регулярного і систематичного моніторингу суб'єктів даних у великих масштабах; або
(c) основна діяльність юридичної особи складається з великомасштабного опрацювання особливих категорій даних відповідно до статті 9 GDPR і персональних даних, що стосуються кримінальних судимостей і правопорушень, зазначених у статті 10 GDPR.
6
Проводимо Data Protection Impact Assessment (DPIA)
Проведення DPIA на регулярній основі необхідне лише для деяких конкретних дій з обробки, які можуть мати суттєвий вплив на права і свободи суб'єктів даних.
7
Проводимо навчання співробітників
Навчання співробітників щодо безпечної роботи з персональними даними є обов'язковим. Навчимо ваших співробітників реагувати на запити від суб'єктів даних і регуляторів.
Поширені запитання
✔️ Які органи в Україні відповідають за контроль за дотриманням законодавства щодо персональних даних?
В Україні за контроль за дотриманням законодавства про персональні дані відповідає Державна служба України з питань захисту персональних даних (ДСЗПД).
✔️ Які санкції передбачені за порушення законодавства щодо персональних даних?
За порушення законодавства про персональні дані передбачені адміністративні штрафи для осіб та юридичних осіб, а також кримінальна відповідальність у разі тяжких порушень.
✔️ Які вимоги пред'являються до компаній та організацій з обробки персональних даних?
Компанії та організації, що обробляють персональні дані, повинні дотримуватись принципів обробки даних, отримувати згоду суб’єктів даних, забезпечувати їх захист та конфіденційність.
✔️ Які заходи безпеки повинні застосовувати компанії для захисту персональних даних?
Компанії повинні застосовувати технічні та організаційні заходи безпеки, такі як шифрування даних, обмеження доступу, навчання персоналу та аудит систем обробки даних, щоб захистити персональні дані від несанкціонованого доступу та витоків.
Наші переваги
Варіативність
рішень
Завжди пропонуємо декілька варіантів рішень
Клієнтська
підтримка
Швидкі та оперативні відповіді у Telegram або Slack. Регулярні дзвінки в Google Meet/Zoom.
Прозорість
роботи
Повна звітність за витраченим часом
Фінансова
чіткість
Ніяких непередбачених витрат. Усі роботи та вартість за проєктом узгоджуються заздалегідь
Наші клієнти
iGaming
IT
Fintech
iGaming
Наші останні публікації
EST
+3726028480ПН-ПТ 10:00 -19:00
Естонія
Harju maakond, Tallinn, Kesklinna linnaosa, Tuukri tn 19-315, 10152
USA
+13478979183ПН-ПТ 10:00 -19:00
Сполучені Штати
228 Park Ave S PMB 516920 New York, New York 10003-1502 US