Аналіз і приведення бізнес-процесів Вашої компанії у відповідність до GDPR, CCPA, Закону України "Про захист персональних даних".
Як правило, термін “персональні дані” закріплюється на рівні національного законодавства країни. Наприклад, у Європейському союзі обробку персональних даних регулює General Data Protection Regulation (GDPR), у Канаді – The Privacy Act і Personal Information Protection and Electronic Documents Act (PIPEDA), у США (в Каліфорнії) – California Consumer Privacy Act (CCPA).
Це законодавство регулює те, як бізнес має поводитися під час збирання та обробки даних клієнтів і співробітників.
Існують невеликі відмінності у визначенні поняття персональних даних, але для спрощення розуміння, візьмемо визначення згідно з GDPR.
Персональними даними є не тільки сам ідентифікатор, а й інформація, що стосується людини. Говорячи простими словами, ім’я, номер паспорта, ID посвідчення, логін, нікнейм, адреса електронної пошти, номер телефону, IP-адреса, дані банківських карток – завжди персональні дані, бо є ідентифікаторами. Номер автомобіля, почерк, відеозапис чи фотографія – імовірно персональні дані, бо легко дають змогу ідентифікувати. А адреса, сімейний статус, стать, гендер, відомості з електронних гаманців, інформація про стан здоров’я, відомості про переглянуті сторінки, пошукові запити, пости в соціальних мережах – персональні дані, коли відомо, кому саме вони належать.
Проводимо аудит бізнес-процесів
Проводимо аудит на відповідність законодавству поточних і майбутніх бізнес-процесів.
Складаємо Data Map, щоб визначити можливі порушення.
Складаємо політики компанії щодо обробки персональних даних
Складаємо політику конфіденційності, повідомлення про конфіденційність, політику Cookie та інші необхідні документи.
Проводимо аудит сайту/додатку (застосунку)
Перевіряємо наявність необхідних форм зі збору згоди користувачів, роботу cookie, розташування юридичних документів і за підсумком даємо рекомендації.
Готуємо та укладаємо угоди щодо обробки даних з Вашими контрагентами
У разі передання персональних даних у треті країни, буде необхідно укласти угоди щодо обробки персональних даних (Data Processing Agreements).
Призначаємо Data Protection Officer (DPO)
Призначення DPO є обов'язковим, якщо:
(а) обробка здійснюється державним органом або органом, за винятком судів, що має дієздатність судів; або
(b) основна діяльність юридичної особи складається з операцій з обробки даних, які за своїм характером, обсягом та/або цілями вимагають регулярного і систематичного моніторингу суб'єктів даних у великих масштабах; або
(c) основна діяльність юридичної особи складається з великомасштабного опрацювання особливих категорій даних відповідно до статті 9 GDPR і персональних даних, що стосуються кримінальних судимостей і правопорушень, зазначених у статті 10 GDPR.
Проводимо Data Protection Impact Assessment (DPIA)
Проведення DPIA на регулярній основі необхідне лише для деяких конкретних дій з обробки, які можуть мати суттєвий вплив на права і свободи суб'єктів даних.
Проводимо навчання співробітників
Навчання співробітників щодо безпечної роботи з персональними даними є обов'язковим. Навчимо ваших співробітників реагувати на запити від суб'єктів даних і регуляторів.
Чи потрібно моїй компанії відповідати законодавству про захист даних?
Якщо Ваша компанія збирає дані фізичних осіб, відповідь – так.
Яке саме законодавство щодо захисту персональних даних застосовуватиметься до Вас, залежить від того, де саме Ви збираєте та обробляєте ці дані.
Наприклад, Вам необхідно дотримуватись положень GDPR, якщо:
– Ви обробляєте персональні дані, отримані під час діяльності контролера або процесора, зареєстрованих в ЄС, незалежно від того, чи відбувається обробка в ЄС, чи ні.
– Ви обробляєте персональні дані суб’єктів (фіз. осіб), що перебувають у ЄС, отримані при діяльності контролера або процесора, який не зареєстрований у ЄС, у разі якщо обробка даних пов’язана з: продажем або офертою продажу товарів або послуг суб’єктам, що перебувають у ЄС, незалежно від того, чи вимагається оплата таких товарів або послуг від суб’єкта; або моніторингом поведінки суб’єктів, у разі якщо ця поведінка відбувається всередині ЄС.
– Ви обробляєте персональні дані, що отримані внаслідок діяльності контролера, що не зареєстрований в ЄС, але в місці, де законодавство держав-членів застосовується на підставі публічного міжнародного права.
Чи є штрафи за невідповідність законодавству щодо захисту персональних даних?
Так, штрафи досить суттєві.
У контексті GDPR, менш серйозні порушення можуть призвести до штрафу в розмірі до 10 мільйонів євро або 2% від світового річного доходу компанії за попередній фінансовий рік, залежно від того, яка сума більша.
Серйозніші порушення, ті, що суперечать самим принципам права на недоторканність приватного життя та права на забуття, які лежать в основі GDPR, можуть призвести до штрафу в розмірі до 20 мільйонів євро, або 4% від світового річного доходу компанії за попередній фінансовий рік, залежно від того, яка сума більша.
Чому б мені не скопіювати документи у схожого проекту?
Відповідність компанії законодавству щодо захисту персональних даних – це набагато більше ніж просто документи на сайті. Наявність документів не врятує вас від штрафів і не дасть змоги вам відповісти на запити суб’єктів даних і регуляторів.
Є висока ймовірність, що ваші бізнес-процеси дуже сильно відрізнятимуться від бізнес-процесів компанії конкурента, тут буде потрібен індивідуальний підхід із повним аудитом Вашого проекту і складання документів, які підходитимуть тільки Вам.
Завжди пропонуємо декілька варіантів рішень
Швидкі та оперативні відповіді у Telegram або Slack. Регулярні дзвінки в Google Meet/Zoom.
Повна звітність за витраченим часом
Ніяких непередбачених витрат. Усі роботи та вартість за проєктом узгоджуються заздалегідь
iGaming
Fintech
iGaming
IT
ПН-ПТ 9:00 -18:00
Україна
вул. Євгена Коновальця 36-Е, оф. 137, м. Київ, Україна, 01133
ПН-ПТ 9:00 -18:00
Єстонія
Harju maakond, Tallinn, Kesklinna linnaosa, Tuukri tn 19-315, 10152
ПН-ПТ 9:00 -18:00
Велика Британія
71-75 Shelton Street, Covent Garden, London, United Kingdom, WC2H 9JQ