Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.

Во время аудита наши эксперты нашли несколько небольших пробелов, которые смогли устранить за три недели.

Срок

5 недель

Компания

IT-платформа в сегменте B2B, разрабатывающая ПО в сфере робототехники.

Размер бизнеса

До 50 человек

Фишка

Компания хотела получить положительное заключение аудита, чтобы показать руководству готовность к выходу на рынок, но была необходимость улучшить уведомления субъектов об обработке.

Задача

Удостовериться в том, что бизнес соответствует GDPR перед продвижением продукта на рынке ЕС.

Результат

Во время аудита наши эксперты нашли несколько небольших пробелов, которые смогли устранить за три недели.

Решение

Провести комплексный аудит, чтобы проверить комплаенс всех процессов.

Тренер и ведущий консультант.

Основатель Data Privacy Office в Германии, ОАЭ, Беларуси и США. Консультирует по европейскому GDPR и эмиратскому PDPL. Автор курсов по защите персональных данных GDPR DPP, Global DPM и UAE DPP. Удостоен почетного звания FIP международной ассоциации IAPP. Главный редактор GDPR-Text.com - справочника по Общему регламенту защиты данных.
Читать подробнее
Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP

Мнение основателя Data Privacy Office

К нам обратилась компания-разработчик ПО робототехники. Команда проекта стремилась продвигать продукт на рынок Европы и была осведомлена о регулировании защиты персональных данных, поэтому заранее начала подготовку. Перед планируемым запуском команда решила обратиться к нам, чтобы консультанты проверили как документы, так и процессы по защите персональных данных.

Исходя из запроса, было понятно, что аудитом не ограничиться, так как нужно залезть во все «углы». Поэтому наши эксперты провели комплексный аудит, который позволил узнать все пробелы в работе с персональными данными.

Во время проверки обнаружили проблемы с уведомлениями пользователей об обработке их данных: cookie-баннер и политика приватности требовали обновления, а cookie policy и вовсе отсутствовала.

Как итог, за две недели провели аудит и за три недели создали с нуля cookie policy, обновили политику приватности и cookie-баннер.

Что в результате получила IT-платформа?

Компания не переживает за легальность продвижения продукта на рынке ЕС. Бизнес уверен в комплаенсе и может, в большей степени, сосредоточить ресурсы на маркетинге и получении прибыли.

Команда получила возможность работы с европейскими партнёрами, ведь одно из требований GDPR по сотрудничеству с контрагентами – это соответствие требованиям Регламента.

Бизнесу можно не бояться вопросов субъектов персональных данных, так как все процессы и документы сделаны согласно принципам приватности.

Мнение нашего эксперта о соответствии GDPR в сфере финансовых услуг

GDPR не ограничивается бумажками, отчетами о проведенных аудитах и политиками приватности. Это всё важно, но за этим всем должны стоять реальные изменения в системе, коде и т.д.

Тем, кто разрабатывает софт, особенно важно изучить 25 статью GDPR “Data protection by design and by default”. Проектируемая приватность предполагает использование определенных принципов, и самый важный из них для разработки – это встроенная приватность. Этот принцип говорит о том, что защиту персональных данных нужно встраивать на начальном этапе разработки ПО. Приватность нужно брать во внимание, начиная от обучения сотрудников (рассказать о том, что такое персональные данные и как с ними обращаться), заканчивая тестированием и дальнейшей поддержкой.

Основная нагрузка во встраивании приватности будет лежать именно на разработчиках – еще на этапе проектирования нужно заложить определенные принципы, чтобы потом не рушить созданное. Сразу нужно будет предусмотреть минимизацию данных, то есть задуматься, какие данные необходимо собирать, а от каких можно отказаться. Чем меньше токсического материала в виде персональных данных, тем безопаснее. Уже на этой стадии нужно будет систематизировать и заранее понять, как с этими данными компания будет обращаться (на каких серверах хранить, сколько баз создавать). Также на этом этапе нужно предусмотреть механизмы шифрования и решить, будут ли данные храниться в анонимизированном виде.

Важно и на этапе кодинга учесть, какие библиотеки и тулы задействованы; убедиться, что не будут загружаться скупленные в даркнете базы данных; использовать только лицензионные версии программ и безопасные устройства. Так зарелизенный продукт будет менее подвержен утечкам.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.