Что такое GDPR (General Data Protection Regulation)

С появлением и развитием технологий люди стали более щедрыми на персональные данные, ведь взамен они получают удобство и комфорт. Мы настолько привыкли к этому, что не можем представить наш мир иначе. Однако означает ли это, что жить теперь безопаснее? Отнюдь. Вся эта информация вполне может быть использована против нас самих. А мы, субъекты данных, потеряли над ними контроль в новой цифровой реальности.

Европейцы всерьез занялись этим вопросом. И, как результат, 27 апреля 2016 года приняли Общий Регламент защиты персональных данных. Начал применяться новый закон только спустя два года (25 мая 2018 года), чтобы у бизнеса был запас времени к нему подготовиться. Правила GDPR внесли дополнения в прежние нормы защиты приватности в Европе, которым было практически два десятилетия. И конечно, это вызвало множество вопросов у бизнеса: что делать? к кому обращаться? насколько опасно несоблюдение требований? Команда Data Privacy Office разобрала самые спорные и популярные вопросы.

Содержание

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

Что такое GDPR?

Вы когда-нибудь задумывались, где хранятся отпечатки пальцев или снимки лица для разблокировки смартфона? Или для чего при оформлении заказа в интернет-магазине вас просят указать дату рождения, что, казалось бы, лишняя информация для покупки? Может ли кто-то получить доступ к вашей медицинской карте в поликлинике? Как организации находят ваш номер телефона, чтобы позвонить и рассказать о выставке или акции? Или что знают социальные сети о своих пользователях?

Каждый день мы делимся с окружающими тем, что принято называть персональными данными. Например, во время знакомства или общения, при поиске работы или записи на прием к доктору, заказывая товары, оплачивая услуги. При этом даже не задумываясь, что будет происходить с этими данными дальше.

what-is-gdpr

Так зачем же нужен GDPR? С появлением и развитием технологий люди стали более щедрыми на персональные данные, ведь взамен они получают удобство и комфорт. Мы настолько привыкли к этому, что не можем представить наш мир иначе. Однако означает ли это, что жить теперь безопаснее? Отнюдь. Вся эта информация вполне может быть использована против нас самих. И, что не есть хорошо, мы, субъекты данных, потеряли над ними контроль в новой цифровой реальности.

Европейцы всерьез занялись этим вопросом. И, как результат, 27 апреля 2016 года был принят Общий Регламент защиты персональных данных (General Data Protection Regulation). Начал применяться новый закон только спустя два года (25 мая 2018 года), чтобы у бизнеса был запас времени к нему подготовиться. Правила GDPR внесли дополнения в прежние нормы защиты приватности в Европе, которым было практически два десятилетия. И конечно, это вызвало множество вопросов: что делать? к кому обращаться? насколько опасно несоблюдение требований?

Что такое персональные данные?

01

Персональные данные

Любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных», т. е. к человеку).

02

Идентифицированное физическое лицо

Человек, идентификатор (имя, номер телефона, личный номер, логин и т. д.) которого имеется среди данных.

03

Поддающееся идентификации физическое лицо

Сергей использует во время обучения не только живые кейсы, но и наглядные диаграммы, блок-схемы, доступ к которым у вас сохранится и после окончания курса.

Персональными данными является не только сам идентификатор, но и относящаяся к человеку информация. Говоря простыми словами, имя, номер паспорта, ID удостоверения, логин, никнейм, адрес электронной почты, номер телефона, IP-адрес, данные банковских карт – всегда персональные данные, потому что являются идентификаторами. Номер автомобиля, почерк, видеозапись или фотография – вероятно персональные данные, потому что легко позволяют идентифицировать. А адрес, семейный статус, пол, гендер, сведения с электронных кошельков, информация о состоянии здоровья, сведения о просмотренных страницах, поисковых запросах, постах в социальных сетях – персональные данные, когда известно к кому именно они относятся.

Здесь существуют свои нюансы.

Без идентификатора информация становится анонимной. Относящаяся информация будет представлять собой персональные данные только в случаях, когда можно провести дополнительное “расследование”, не используя специальные устройства и без чрезмерных затрат времени и сил.

То есть, если у нас нет разумной возможности идентифицировать субъекта данных, то такая информация является не персональной, а анонимной.

Например:

К персональным данным относится информация, описывающая субъекта данных, – Ивану Купале 38 лет и он юрист. В данном случае персональная информация — это не только имя человека, но и его профессия, и возраст.

Если мы не знаем полного имени, но нам известно, что какому-то человеку по имени Иван в нашем городе 38 лет, эта информация для нас будет анонимной.

Однако если нам сказали, что какому-то человеку по имени Иван 38 лет, он живет в нашем городе и работает в маленькой юридической фирме “Адвокатское бюро Купала и партнеры”, мы сможем легко его идентифицировать. Эта информация будет считаться персональными данными.

Важно отметить, что определение персональных данных постепенно меняется. Раньше, до эры компьютеров и мобильных телефонов, для признания данных персональными нужно было, чтобы человек с их помощью мог гипотетически быть идентифицирован кем угодно на земле. Сейчас же этот критерий сужается лишь до круга лиц, которые потенциально могут получить доступ к этим данным и воспользоваться ими для идентификации.

Чтобы наглядно представить все вышенаписанное, наш прайваси-эксперт Сергей Вoрoнкевич, CIPP/E, CIPM, CIPT, MBA, FIP, создал авторскую формулу персональных данных.

Что считать персональными данными, а что нет?

На курсе GDPR Data Privacy Professional мы подробно объясним, как избежать ошибок в обработке данных и защитить вашу организацию от штрафов.

Какие же права получили люди благодаря GDPR?

В первую очередь новый закон принят в связи с развитием технологий, из-за которых люди могут утратить право на личную жизнь. Мы уже рассказывали о том, что такое приватность и как она рассеивается в современном мире. Теперь поговорим о правах, которыми мы, как субъекты данных, можем пользоваться по GDPR.

Право на доступ (статья 15 GDPR)

У каждого человека есть возможность получить свои данные или доступ к ним. Речь идет не только о той информации, которую он сам предоставил, но и о той, которую компания (контролер данных) собрала о нем из других источников или даже создала сама. Кстати, здесь мы подробнее рассказали о роли контролера и процессора. При этом субъект данных может и не подозревать, что такой сбор имел место, а данное право дает возможность субъекту об этом узнать:

Как компания может реализовать это право? Она должна предоставить персональные данные в любой форме, в которой человек их запрашивает (в виде электронного письма или бумажного документа). Также можно предоставить доступ к персональным данным в личном кабинете пользователя. По правилам Регламента они предоставляются бесплатно. Плату можно взимать за дополнительные копии, а также в случае явно необоснованных или чрезмерных запросов. 

Право на уточнение (статья 16 GDPR)

Субъект вправе потребовать корректировку информации, которая утратила достоверность или неточна, но все еще обрабатывается компанией. Такое может случиться, если он поменяет паспорт, фамилию или место жительства, или где-то в его данных была допущена ошибка. Это право становится актуальным, когда для обработки нужна точная и полная информация.

Право на удаление данных (статья 17 GDPR)

Также известное как право быть забытым. Субъект вправе потребовать от компании-контролера удалить его данные. Правда, не всё так просто. GDPR предусматривает лишь несколько обстоятельств, позволяющих воспользоваться этим правом:

Если данные больше не нужны для той цели, для которой они собирались первоначально.

Ведь согласно принципу ограничения хранения – данные и так стоило удалить.

Если данные обрабатываются незаконно.

В противном случае субъект всегда может обратиться с жалобой в надзорные органы.

Если человек отозвал свое согласие на обработку.

Когда правовое основание для обработки– согласие.

Разберем подробнее последний пункт.

В статье 8 GDPR говорится об обработке персональных данных детей, а именно согласия детей при оказании им услуг информационного общества. Согласие ребенка является действительным только если: 1) ребенку исполнилось 16 лет или 2) вместо него получено согласие/разрешение родителя. Дело в том, что дети не всегда понимают, к чему могут привести их действия в интернете. Поэтому при получении запроса на удаление подобных данных нужно немедленно это осуществить.

Например:

22-летняя Мария заметила, что 8 лет назад регистрировалась на различных игровых сайтах, которые собирали и обрабатывали ее персональные данные. Родители подтверждали ее согласие на участие в различных акциях и розыгрышах на этих сайтах. И теперь, когда действует GDPR, Мария может требовать удалить всю информацию о ее участии в акциях и розыгрышах, которая была собрана, когда она ещё была ребенком.

Право быть забытым вовсе не абсолютно. Например, таким ограничением является право свободы слова и печати. Также под исключения попадают варианты, когда обработка данных является необходимой для целей архивирования в интересах общества, научных и исторических исследований.

Право на ограничение обработки (статья 18 GDPR)

Статья 18 GDPR предоставляет субъектам право приостановить использование их персональных данных по нескольким довольно редким причинам. Такие ситуации имеют место, когда:

«Ограничение обработки» было бы правильно перевести как «заморозка обработки». Данные все еще хранятся, но уже никак не используются.

Право на переносимость данных (статья 20 GDPR)

Субъекты данных имеют право на получение своих персональных данных в машиночитаемой форме, если это технически можно осуществить. На первый взгляд кажется, что это не отличается от права на доступ, но здесь речь идет о файлах, которые другая компания-контролер сможет импортировать в свою систему. Для использования этого права необходимы два условия:

Чтобы избежать утечек, субъект данных может попросить одного контролера передать данные напрямую другому контролеру, без посредников. Например, социальная сеть VКontakte по одному клику могла бы передать все ваши альбомы с фотографиями Facebook. Пока же реализовать такой механизм довольно сложно как с технической, так и с финансовой стороны. Сейчас Google, Facebook, Microsoft, Twitter и Apple работают над DataTransfer Project – инициативой с открытым исходным кодом, направленной на разработку инструментов, которые обеспечат перенос данных напрямую.

Надеемся, что в ближайшем будущем все компании смогут осуществлять такую процедуру, соблюдая при этом все необходимые меры защиты.

Право на удаление данных (статья 17 GDPR)

Также известное как право быть забытым. Субъект вправе потребовать от компании-контролера удалить его данные. Правда, не всё так просто. GDPR предусматривает лишь несколько обстоятельств, позволяющих воспользоваться этим правом:

Право на возражение (статья 21 GDPR)

Субъект может возразить против обработки своих персональных данных. Правда, и здесь есть свои “но”. Воспользоваться этим правом можно только в том случае, если основанием для обработки выступает легитимный или публичный интерес.

Контролер обязан рассмотреть возражение, проанализировать ситуацию и принять решение: так ли важна данная обработка для компании или общественности и не превалируют ли интересы человека в данном конкретном случае?

Если субъект возражает против обработки в целях прямого маркетинга, то обработку следует прекратить немедленно.

articles-of-gdpr

Право не быть объектом автоматизированного принятия решений (статья 22 GDPR)

В современном мире, при бурном развитии информационных технологий, многие решения принимаются не конкретным человеком, а с помощью автоматизированных средств. GDPR позволил субъектам возразить против решений, которые принимает компьютер без участия человека, так как в алгоритм могла закрасться ошибка или предубеждение автора.

Однако это право не действует, если:

📎 решение необходимо для заключения или исполнения контракта;

📎 решение основывается на четко выраженном согласии субъекта (explicit consent).

Право подать жалобу в надзорный орган (статья 77 GDPR)

Субъект вправе потребовать защиту у надзорного органа по месту жительства, по месту работы или по месту нарушения. Например, субъект, живущий и работающий в Москве, может обратиться в надзорный орган в Париже, если его права были нарушены французской компанией. Надзорный орган обязан рассмотреть жалобу и проинформировать заявителя о результатах разбирательства. Если субъекта не устраивает решение надзорного органа, он может обжаловать его в суде (статья 78 GDPR).

Право на компенсацию

При нарушении GDPR контролер (или процессор) обязан не только заплатить штраф, но и предоставить субъекту данных компенсацию за любой ущерб, нанесенный в результате обработки его персональных данных.

Все вышеперечисленное подтверждает актуальность и значимость Регламента. Сегодня, при бурном развитии информационных технологий, когда интернет стал неотъемлемой частью жизни практически каждого человека, наши данные находятся далеко не в безопасности. Поэтому очень важно, чтобы каждый знал о тех правах, которыми он обладает благодаря GDPR. В таких условиях во избежание проблем с клиентами и надзорными органами компаниям необходимо информировать пользователей об их правах. Этого требуют статьи 13 и 14 GDPR. Обычно такое информирование подразумевает публикацию Privacy Policy/Notice (политика конфиденциальности или политика приватности). Мы разработали полный чек-лист по GDPR для таких политик/уведомлений.

Принципы обработки данных

Ещё Директива 96/46/ЕС, предшественница Регламента, сильно изменила европейское законодательство о защите персональных данных. Однако в GDPR эти правила были прописаны более подробно. Это касается и шести основных принципов обработки личной информации в самой главной статье закона – статье 5 Регламента. Мы предлагаем разобраться в них более детально.

Принцип законности, справедливости и прозрачности

Персональные данные могут быть получены только законным способом. Существует лишь шесть законных оснований для обработки персональных данных (статья 6 GDPR):

Чтобы избежать утечек, субъект данных может попросить одного контролера передать данные напрямую другому контролеру, без посредников. Например, социальная сеть VКontakte по одному клику могла бы передать все ваши альбомы с фотографиями Facebook. Пока же реализовать такой механизм довольно сложно как с технической, так и с финансовой стороны. Сейчас Google, Facebook, Microsoft, Twitter и Apple работают над DataTransfer Project – инициативой с открытым исходным кодом, направленной на разработку инструментов, которые обеспечат перенос данных напрямую.

Надеемся, что в ближайшем будущем все компании смогут осуществлять такую процедуру, соблюдая при этом все необходимые меры защиты.

Принцип ограничения целью

Для любой обработки компания должна назвать конкретную цель, а потом строго ее придерживаться, не выходя за рамки названной цели. Например, если вы запрашиваете адрес клиента, чтобы доставить ему товар, то вы не вправе отправлять на этот адрес новогодние поздравления, поскольку это уже иная цель, которую вы не заявляли.

Принцип минимизации данных

Из предыдущего принципа следует, что у каждой обработки должна быть конкретная цель и компания не должна выходить за ее рамки. Принцип минимизации же гласит, что компании не могут собирать лишние данные о клиентах. Лишние — это те данные, без которых можно достичь цель. То есть, им запрещено обрабатывать данные, которые не нужны для выполнения цели. Если вы запрашиваете информацию, чтобы доставить клиенту товар, то адреса и телефона для оперативной связи достаточно, а дата рождения будет излишней.

principles-of-data-processing-gdpr

Принцип точности

Персональные должны быть точны и актуальны в той мере, в которой это необходимо для достижения заявленной цели. Следуя Регламенту, компания должна принять все необходимые меры для обновления или удаления неверной информации. Например, если постоянный клиент меняет адрес, то мы должны исправить его в своей системе, чтобы посылка нашла адресата.

Принцип ограничения хранения

После достижения всех заявленных целей информацию следует удалить. Принцип означает, что персональные данные не могут быть использованы дольше, чем они нужны для реализации цели обработки. Например, если в вашем ресторане кто-то заказал пиццу, то уже завтра этого адреса в системе быть не должно, ведь пицца доставлена (цель достигнута).

Принцип целостности и конфиденциальности

Личные данные всегда представляли угрозу для своих обладателей. Но в эпоху информационного общества количество данных и уровень угроз выросли, и поэтому Регламент обязует защищать персональные данные от несанкционированного или случайного доступа, повреждения или уничтожения. И, конечно, выстраивать такую систему информационной безопасности, при которой не произойдет утечки информации, что особенно актуально в 21 веке. 

Например, доставляя медицинские препараты на дом, мы обязаны скрыть от получателя имена других покупателей в списке (например, достаточно закрыть их листком бумаги, когда клиент расписывается за доставку).

Принцип подотчетности

Согласно статье 5(2) GDPR контролер обязан в любой момент времени быть способным продемонстрировать выполнение всех вышеперечисленных принципов. Более того, отсутствие доказательств равнозначно невыполнению (презумпция виновности).

Например, если контролер не способен посредством внутренней документации, технического задания или демонстрации функционала ПО доказать, что наша система удаляет адреса, по которым мы доставляли пиццу, то мы нарушили принцип подотчетности. Надзорный орган может выписать нам штраф, не углубляясь в расследование того, действительно ли мы храним данные дольше, чем необходимо.

Надеемся, сейчас у вас сформировалось представление обо всех принципах GDPR. Однако это только первый шаг. Регламент – это не просто свод правил, которые можно выучить и универсально применять. Он включает множество исключений, поэтому при необходимости не бойтесь обратиться к профессионалам, которые помогут во всем разобраться и построить верный маршрут на пути к правильно выстроенной системе защиты персональных данных согласно GDPR.

Территория действия GDPR

Задуматься о соответствии GDPR стоит каждой компании, деятельность которой так или иначе связана с Евросоюзом. При этом, чтобы находиться под действием Регламента, даже не обязательно иметь офисы в странах ЕС.

Сейчас объясним, как вы можете определить, нужно ли вашей компании соблюдение требований GDPR в том или ином бизнес-процессе.

Всё верно, GDPR не действует на компании, а применяется к отдельным процессам (“обработкам”) с персональными данными. Для одних компаний под GDPR окажутся все обработки, а для других – лишь некоторые процессы. Давайте выясним какие.

Сначала задайте себе вопрос: 

“Используются ли в данном процессе персональные данные?”

Положительный ответ? Тогда впереди еще пять шагов. Тем не менее, в некоторых случаях вам достаточно лишь одного “да”, чтобы правила GDPR были применимы к соответствующему процессу в вашей компании.

Шаг 1. Есть ли у вашей компании организационные единицы на территории ЕС?

Прежде чем ответить на этот вопрос, следует разобраться в понятии “организационная единица” (establishment). Согласно преамбуле 22, организационной единице не обязательно иметь статус юридического лица. Это может быть не только филиал или представительство, но и офис, удаленное рабочее место или даже один сотрудник. Если у вашей компании есть организационная единица в одной из стран Евросоюза и обработка данных связана с деятельностью этой единицы, к такой обработке применяются правила GDPR.

В качестве примера приведем дело Weltimmo (WELTIMMO S.R.O. V. NEMZETI A DATVEDELMI ES INFORMACIOSZABADSAGH ATOSAG (венгерский надзорный орган)). Есть компания, зарегистрированная в Словакии, которая осуществляет свою деятельность в том числе на территории Венгрии, где у нее есть почтовый ящик, банковский счет и представитель. Зашел вопрос о том, право какой страны – Словакии или Венгрии – действует в отношении деятельности компании через представителя в Венгрии в этом случае. После разбирательства Европейский суд (CJEU) решил, что всё же применимо венгерское право. Обосновали тем, что организация имеет представителя в Венгрии, пусть и не зарегистрированного в качестве филиала, отправляет и принимает почту по венгерскому адресу, пользуется банковским счетом, оформленным в местном банке, а значит осуществляет регулярную работу на территории Венгрии.

Также GDPR применим для обработок за пределами ЕС в контексте деятельности этой оргединицы, то есть процессов в вашей неевропейской компании (дочерней или материнской), тесно связанных с деятельностью европейской оргединицы. Например, в кейсе «González v. Google Spain» суд признал, что поисковая индексация как обработка персональных данных, которую производили на территории США, находится в контексте деятельности испанской оргединицы «Google Spain», а следовательно, должна соответствовать европейским нормам.

Если на вопрос этого Шага вы ответили “да”, то GDPR действует на вашу обработку персональных данных и проходить остальные Шаги схемы вам не нужно. Теперь вы можете проводить через схему следующую обработку.

Шаг 2. Есть ли у вашей компании организационные единицы на территории ЕС?

Речь идет не о гражданстве, а именно о месте нахождения субъектов. Если вы работаете с данными людей из ЕС, то переходите к Шагу 3. Если ваши субъекты находятся за пределами ЕС, то GDPR не действует, но может применяться законодательство страны, где находится человек (например, российское, китайское или американское законодательство)

Поэтому если в вашем московском офисе работает гражданин Испании, к обработке его персональных данных будет применяться российское законодательство, но не GDPR. Остальные шаги схемы для данной обработки проходить не нужно.

Если же кто-то из субъектов данных физически находится в Евросоюзе, то переходите к Шагу 3.

Territory-of-application-of-the-GDPR

Шаг 2. Есть ли у вашей компании организационные единицы на территории ЕС?

Вы окажетесь на этом шаге схемы, если ваша компания, не имеющая организационных единиц в Евросоюзе, продает товары или оказывает услуги европейцам, например, через Интернет. При этом, товары и услуги необязательно должны быть платными. К примеру, мобильное приложение, которое вы скачали в бесплатной версии, – тоже услуга.

Поскольку речь идет не о применении Регламента к компании, а к отдельной ее обработке, нужно анализировать отдельный процесс. И процессы могут быть разными, например:

В указанном выше перечне ретаргетинг/ремаркетинг является непосредственным предложением товара или услуги, оценочная анкета и восстановление пароля – связаны с оказанием услуги. Следовательно, по данным обработкам на вопрос №3 мы отвечаем «да» и переходим к Шагу 4.

А вот наем сотрудников в офис – это обработка персональных данных, не связанная непосредственно с предложением товаров и услуг европейцам. Предложение работы не является ни товаром, ни услугой. Поэтому по схеме мы переходим сразу к Шагу 5, где будем проверять, мониторим ли мы поведение кандидатов на должность.

Например:

Украинская платформа онлайн-образования продаёт свои курсы программирования на английском языке по всему миру, включая ЕС. Вопрос: нужно ли платформе соответствовать GDPR? Онлайн-курсы на данной платформе – это услуги и на вопрос №3 мы говорим: «да». Поэтому необходимо перейти на Шаг 4, чтобы выяснить, нацелена ли деятельность хотя бы на одну страну ЕС.

Шаг 4. Предусматриваете ли вы возможность предоставления товаров и услуг субъектам в ЕС?

Фактически, это вопрос про присутствие на европейском рынке. Иногда может быть непонятно, применим ли GDPR, когда к вам поступил заказ от субъекта на территории ЕС. В таком случае нужно задать вопрос: “Собирались ли вы предлагать товары или услуги на территории ЕС или заказ случайный?” Ответ на этот вопрос не всегда очевиден.

Например, магазин из Москвы продает дизайнерскую одежду. Сайт компании доступен на русском и английском языках. Заказ можно оплатить в любой валюте (в том числе в евро), при этом товары доставляются по всему миру. Можно предположить, что есть таргетинг на рынок ЕС. Значит, если поступит заказ от человека, проживающего в Европейском союзе, то при его обработке нужно будет соблюдать требования GDPR.

Рассмотрим другой пример. Магазин расположен в Санкт-Петербурге и доставляет цветы по городу за российские рубли. В то же время житель Польши заказал цветы на сайте магазина, чтобы доставить их своей девушке из России. Поскольку магазин изначально ориентируется только на россиян и не предполагает выходить за пределы страны, то сделавший заказ поляк не будет находиться под защитой GDPR.  

Таким образом, если ваш ответ на вопрос про присутствие на рынке ЕС на Шаге 4 – “да”, то к вашей обработке будут применяться положения GDPR. Если же ваш ответ – “нет”, то переходите к Шагу 5.

Шаг 5. Связана ли обработка с мониторингом поведения физических лиц, которые находятся на территории ЕС (например, с помощью Google Analytics)?

«Мониторинг поведения» включает наблюдение и последующий поведенческий анализ/профилирование физических лиц. В основном неевропейские компании делают это через Интернет с целью предсказать личные предпочтения людей, их поведение и отношение к чему-либо.

Следовательно, если вы осуществляете мониторинг ваших европейских потребителей, то этот процесс регулируется GDPR. Примером мониторинга будет отслеживание поведения пользователей на сайте с помощью файлов куки. Это позволяет предлагать им более подходящие товары или услуги, чем нередко пользуются владельцы интернет-магазинов.

Рассмотрим еще несколько ситуаций, описанных в руководстве надзорного органа:

Например:

Американская консалтинговая компания консультирует торговый центр во Франции по вопросам планировки розничной торговли. Для этого с помощью WiFi она анализирует перемещения людей по этому центру. В данном случае анализ перемещений покупателей и есть мониторинг их поведения. Поскольку торговый центр расположен во Франции, то и мониторинг относится к поведению покупателей во Франции. И к данной обработке будет применим GDPR.

Например:

Разработчик мобильных фитнес-приложений в Канаде анализирует физическую активность пользователей по всему миру для оптимизации работы и улучшения качества обслуживания. Данная обработка также регулируется европейским Регламентом.

Таким образом, если на вопрос о мониторинге вы ответили положительно, то к обработке будет применяться GDPR. Если же отрицательно, то применять GDPR к обработке не нужно. Однако всегда стоит помнить и о местном законодательстве. 

Как мы видим, область применения GDPR очень широкая. Регламента попадает большое количество малых, средних и крупных бизнесов как в Евросоюзе, так и за его пределами, которые обрабатывают персональные данные своих клиентов. Мы выделили топ организаций, которым точно стоит обратить внимание на соответствие GDPR:

Хотя Регламент – это один из самых актуальных вопросов, который волнует предпринимателей по всему миру, соответствие GDPR можно рассматривать не как проблему, а как конкурентное преимущество. С одной стороны, компания вкладывает ресурсы в соблюдение GDPR, а с другой – получает заслуженное доверие и уважение со стороны клиентов и партнеров.

Соблюдение GDPR: с чего начать?

Очевидно, если вы дошли до этого пункта, вопрос “внедрять или не внедрять GDPR?” у вас не стоит. Давайте поговорим о конкретных действиях, которые необходимо выполнить компании, чтобы достичь compliance.

GDPR-compliance – это прежде всего выстраивание бизнес-процессов компании в соответствии с правилами Регламента. При внедрении GDPR компании зачастую используют план действий, который содержится в стандарте ISO 27701 (Управление информационной безопасностью). В него входят следующие мероприятия.

📎 Выявлять контекст организации, определять потребности организации в защите персональных данных, привлекаемых и заинтересованных в этом лиц, охвата работ. Иными словами, необходимо провести рекогносцировку на местности, выбрать союзников и сформулировать цель.

📎 Заручиться поддержкой руководства компании (а здесь рассказали, как уговорить босса дать деньги на внедрение GDPR), поскольку потребуется значительное изменение в процессах и существенные затраты. Кроме того, не редки случаи, когда компании вынуждены ограничить себя в маркетинговой деятельности, умерить свой аппетит к объемам персональных данных.

📎 Спланировать мероприятия по защите персональных данных, определить зоны ответственности различных департаментов, сотрудников (к слову, наша команда всегда поможет помочь с организацией корпоративного обучения для вашей команды). 

📎 На берегу договориться, как будет оцениваться эффективность программы по защите персональных данных. То есть, сформулировать индикаторы успеха, KPI.

📎 Провести инвентаризацию персональных данных и информационных систем, заполнив Реестр обработок персональных данных по ст. 30 GDPR (RoPA).

📎 Оценить, какие есть риски для компании в связи с GDPR (штрафы, потери контрактов, сложности на отдельных рынках, лояльность клиентов). Определить, от каких именно процессов (обработок персональных данных) исходит большинство этих рисков.

📎 Разработать локальные нормативные правовые акты (политики информационной приватности и безопасности) исходя из уровня рисков, вида деятельности, корпоративной культуры, организационной структуры, рынка, потребностей и других характеристик компании.

Привести информационную безопасность компании к должному уровню. Для этого необходимо не только разработать положение об информационной безопасности, но и:

📎 назначить ответственных за безопасность лиц, наделить их необходимыми полномочиями либо выделить отдел по информационной безопасности;

📎 выстроить работы по контролю за информационными активами;

📎 разработать правила использования мобильных устройств и удаленной работы;

📎 обеспечить управление доступами к персональным данным;

📎 проводить скрининг сотрудников, внутренних и внешних аудитов;

📎 шифровать данные;

📎 управлять инцидентами;

📎 обеспечить физическую защиту данных;

📎 согласовать приобретение новых систем управления безопасностью, персональными данными и т.д.;

📎 подключать новых подрядчиков и вести их мониторинг.

📎 Выделить, структурировать и задокументировать все цели обработок персональных данных. Необходимо сформулировать цели не юридическим, а “человеческим” языком, причем настолько конкретно и ясно,

    • чтобы можно было выделить в процессах различные обработки (processing activities) по GDPR;
    • чтобы можно было подобрать одно-единственное правовое основание под каждую обработку;
    • чтобы типичный представитель вашей целевой аудитории мог понять из формулировки, что будет происходить с его персональными данными.

📎 Правильно подобрать одно из шести правовых оснований для каждой цели/обработки персональных данных, проставив в Реестре обработок (RoPA) по одному правовому основанию напротив каждой строки/обработки. В случае, если основание – согласие, необходимо сформулировать и задокументировать его. Потом также придется выполнить требования ISO27701.7.2.4, запустив процесс сбора согласия, ISO27701.3.4 – изменения или отзыва, и ISO27701.2.3 – процесс доказывания его предоставления. Если же основание – легитимный интерес, необходимо очертить его рамки, усилить с помощью мер предосторожности (safeguards) и задокументировать данный интерес, проведя Оценку легитимного интереса (Legitimate Interest Assessment) и затем реализовав меры предосторожности, выбранные в Оценке. Если основание – требование закона, необходимо найти соответствующую норму, обязывающую обрабатывать персональные данные, и сослаться на нее в Реестре обработок.

📎 Если среди обрабатываемой информации есть также биометрические, медицинские и другие специальные категории персональных данных, то наряду с правовыми основаниями обработки необходимо найти одно из исключений по ст. 9(2) GDPR, которое позволяет снять запрет на обработку персональных данных для данной цели.

📎 Среди всего перечня обработок, которые ведет компания, необходимо найти все обработки, в которых правовым основанием является согласие. Далее необходимо убедиться, что компания будет способна продемонстрировать надзорному органу, аудитору или субъекту данных получение согласия на обработку. Также потребуется фиксировать обстоятельства этого (время, место дачи согласия, а также его содержание).

📎 Получать и регистрировать согласия от субъектов. Они могут быть получены в электронной, бумажной или устной формах. Но даже в случае устного согласия необходима их регистрация в соответствующем логе, журнале или карточке клиента. Учтите, что согласие получается не для всех обработок. Это не единственное основание, и отказ о другого правового основания (вроде контракта или легитимного интереса) в пользу согласия может быть нарушением GDPR.

📎 Проводить оценку воздействия на защиту персональных данных (DPIA) для отдельной обработки персональных данных, когда в ее результате скорее всего материализуется серьезный с точки зрения последствий риск. Причем учтите, что риск оценивается не для вашей компании, а с точки зрения последствий для субъекта персональных данных, его прав и свобод. Необходимо руководствоваться ст.35 GDPR и гайдлайнсом о DPIA.

📎 Связывать обязательствами всех подрядчиков, которым передаются персональные данные. Для этого нужно подписать Data Processing Agreement в соответствии со ст.28 GDPR. Соглашение должно содержать все положения, упомянутые в ст.28(3), а также перечень мер информационной безопасности, чтобы обеспечить целостность, конфиденциальность и доступность передаваемых персональных данных.

📎 Выявить процессы, в которых компания совместно с кем-то еще определяет цели и средства обработки, и заключить один или несколько договоров для со-контролеров. Роли и обязанности со-контролеров должны быть задокументированы в контракте или любом аналогичном обязательном документе, который содержит условия совместной обработки данных.

📎 Разработать, наполнить и поддерживать в актуальном состоянии Реестр обработок персональных данных по ст.30 GDPR (RoPA). Он представляет собой каталог целей обработки данных, а также содержит в себе сведения о собираемых данных, процессорах, сроках удаления и т.п. С просмотра Реестра обычно начинаются проверки и аудиты по GDPR. Он помогает оперативно отвечать на запросы субъектов данных, так как облегчает поиск их данных среди департаментов и информационных систем.

📎 Определить и задокументировать в каких точках субъект данных может ознакомиться с privacy notice / privacy policy для каждой обработки. Это не сводится лишь к политике на сайте. Необходимо предусмотреть способы информирования при оффлайн-взаимодействии (в офисе или на мероприятиях), а также при разговорах по телефону. Аналогично необходимо определить какие из прав GDPR есть у субъекта для каждой из обработок (каждого процесса) и каким образом субъект сможет реализовать свои права онлайн на сайте, в приложении, при получении мэйлов, смс, push-уведомлений, бумажных рассылок, либо когда ваш сотрудник беседует с ним по телефону. Например, необходимо определить имеется ли у человека право быть забытым в данном процессе и каким образом он будет при необходимости запрашивать копию своих персональных данных.

📎 Если вы принимаете исключительно автоматизированные серьезные решения в отношении субъектов данных, вам необходимо определить какие обязательства возникают у вас перед людьми в связи с тем, что эти значимые решения были автоматизированы. Необходимо выполнять эти обязательства. Например, 1) уведомлять субъектов о существовании и логике автоматизированных решений, 2) снижать риски причинения вреда правам и интересам людей, 3) предоставлять им право возражать против автоматизированного решения.

📎 Определить о чем компания должна информировать людей в связи с обработкой их персональных данных. Этот перечень потребуется для наполнения политик приватности и уведомлений информацией о ваших процессах. По нему мы будем проверять, насколько полную информацию мы предоставляем субъектам данных. В GDPR эта информация указана в ст.13 и 14 GDPR, а также Guidelines on transparency. Кроме того субъекты данных могут запрашивать информацию индивидуально. В GDPR перечень такой информации содержится в ст.15(1).

📎 Предоставить с помощью политики приватности и других уведомлений четкую и легкодоступную информацию об обработке персональных данных. Например, среди всего прочего указанного в ст.1314 GDPR нужно сообщать о цели, правовых основаниях, длительности каждой обработки, получателях персональных данных. Требуется назвать компанию, контакты ее DPO, а также наименования других компаний, с которыми она совместно контролирует обработку данных. Политики приватности должны быть понятны типичному представителю целевой аудитории, а значит, нужно сделать перевод политики приватности для каждого языка в интерфейсе, избавиться от юридического сленга, публиковать информацию в визуально наглядной форме, например, форматировать и структурировать текст, добавлять иконки, картинки, видео, таблицы и подсказки. Также придется перевести содержание с юридического языка на “человеческий”, сделать удобную навигацию, разделить бесконечную простынь текста на связные кусочки, чтобы показывать их в подходящий момент (just in time notice).

📎 Разработать и внедрить процесс для отзыва согласий на обработку персональных данных. В рамках процессно-ориентированного подхода необходимо определить “клиентов” процесса, его цели и результаты, показатели эффективности и необходимые ресурсы, поставщиков, исполнителей и владельца процесса отзыва или изменения согласия.

📎 Разработать и внедрить процесс обработки возражений против обработки, которая ведется на основании легитимного или публичного интересов. В отличие от процесса отзыва согласия предполагается рассмотрение индивидуальных запросов и возможность отказа в реализации данного права, если запрос необоснованный.

📎 Разработать и внедрить бизнес-процесс реализации прав на доступ, корректировку и удаление персональных данных.

📎 Разработать и внедрить процесс уведомления сторонних организаций и лиц получивших от нас персональные данные, что субъект данных воспользовался своим правом на отзыв, корректировку данных или возражение против их обработки. Это требуется, чтобы получатели данных могли самостоятельно решить нужно ли им также удалять, блокировать или корректировать данные.

📎 Подготовиться к запросам субъекта на 1) доступ к своим персональным данным (обращению за их копией) в человеко-читабельном виде, а также 2) переносимость данных в машино-читабельной форме: определить объем выгрузки и задействованные информационные системы, а также внедрить соответствующий бизнес-процесс.

📎 Разработать и задокументировать процедуры того, как компания будет отвечать на запросы субъектов персональных данных без неоправданной задержки, но не позже одного месяца. Запросы могут касаться права на доступ, корректировку, удаление, блокирование персональных данных, а также право, не быть объектом решений, принятых автоматически, и право отозвать согласие и возражать против обработки.

📎 Исходя из заявленной цели обработки требуется свести объем собираемых данных к минимально нужному.

📎 При работе с данными, которые оказались в информационной системе организации, необходимо своевременно удалить ненужные сведения, сократить круг лиц, имеющих к ним доступ.

📎 Определить, какая точность необходима для каждой из обрабатываемых категорий персональных данных с точки зрения заявленной организацией цели. Для тех данных, точность которых важна, следует разработать процедуру уточнения (например, ошибок в именах) и регулярной актуализации устаревающих данных (например, адресов жительства или телефонов).

📎 По возможности использовать анонимные данные или как можно быстрее переходить на них с персональных. С помощью реестра обработок компания должна навести порядок в информации: какие из сведений для каких конкретных целей используются. После этого требуется проследить, чтобы эти сведения не использовались для иных целей.

📎 Необходимо предусмотреть технические или организационные механизмы удаления или полной анонимизации персональных данных после истечения сроков хранения данных.

📎 Выявлять, в каких местах информационной системы, каких подразделениях организации в результате регулярной обработки персональных данных могут появляться дубликаты или временные файлы, содержащие личную информацию. Затем необходимо разработать процедуры и правила удаления этих файлов, как только они перестали быть нужны.

📎 Для каждой обрабатываемой категории персональных данных необходимо установить срок обработки или критерий его определения. Эти сроки формируют Графики или Расписания удаления данных.

📎 Внедрить и задокументировать процедуры утилизации носителей с персональными данными.

📎 Использовать надежные каналы для передачи персональных данных, чтобы не допустить потерю личной информации или ее попадание в чужие руки.

📎 Оформить трансграничную передачу персональных данных (в том числе доступа к ним) за пределы Европейского Союза. Самый эффективный механизм передачи в нашем случае – это подписание Standard Contractual Clauses (приложение к Data Protection Agreement) при условии ведения регулярного контроля за подписывающими соглашения поставщиками (опросники и выборочные аудиты).

📎 Вести учет стран, в которые компания отправляет персональные данные.

📎 Регистрировать передачу персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.) и обеспечить, чтобы они содействовали выполнению запросов субъектов данных. Например, запросов на доступ, удаление, корректировку и т.д.

📎 Необходимо регистрировать раскрытие персональных данных каким-либо третьим лицам (процессорам, партнерам, аудиторам госорганам и т.д.).

Назначить ответственного за защиту персональных данных (в отдельных случаях это обязательное условие). Процесс приведения компании к соответствию GDPR требует грамотного подхода. Для достижения эффективности, лучше всего обратиться к профессионалу. Но в некоторых случаях Регламент требует наличие DPO (data protection officer) в штате.

Кажется, что всё это сложно и непонятно? Давайте разберем некоторые вещи подробнее.

У каждой обработки должна быть цель. Например, человек решил приобрести билет на самолет. Вы должны четко и понятно объяснить: мы собираем ваши паспортные данные (обработка), чтобы вы смогли приобрести билет (цель №1) и, чтобы проверить, не находитесь ли вы в черном списке для въезда в эту страну (цель №2). Для каждой цели должно быть свое правовое основание. ! Подумайте, какое правовое основание подходит для цели №1, а какое для цели №2. Цель нужно сообщить субъектам данных в политике приватности (так называемой «политике конфиденциальности»). Затем нужно строго придерживаться заявленной цели, чтобы выполнить принцип «ограничения целью» (см. выше). В зависимости от цели находится правовое основание.

Есть следующие варианты правовых оснований обработок:

📎 Жизненный интерес – обработка данных необходима, чтобы спасти кого-то от тяжелого увечья или смерти. Угроза должна быть реальна и актуальна на момент обработки;

📎 Контракт – без обработки персональных данных невозможно исполнение предмета договора, оказание услуги;

📎 Требование закона – когда обработка данных необходима в силу предписаний правовых актов;

📎 Публичный интерес – в случае, если общественно значимая обработка данных возложена на государственный орган, а лицо, обрабатывающее данные, помогает такому органу в обработке. Важным условием является, что орган не справится без нашей помощи;

📎 Легитимный интерес – когда законные интересы компании превалируют над правами и свободами субъекта данных. Например, когда компания окажется под угрозой, если перестанет обрабатывать данные для данной цели;

📎 Согласие субъекта данных – разрешение человека обрабатывать данные для какой-то малозначимой для него цели, которое он дает компании. Оно должно быть добровольным, конкретным, даваться под конкретную цель. При этом человек должен быть информирован обо всех значимых аспектах использования его данных Согласие должно быть выражено активным действием.

В примере про покупку билета на самолет и проверку по «черному списку» используются два разных правовых основания: для цели 1 – контракт, для цели 2 – требование закона.

А лучше доверьте работу экспертам!

Внедрение GDPR — сложный процесс. Доверьте его нашим консультантам и начните с уверенности в соблюдении всех требований!

Документы по GDPR

Какие из документов должны присутствовать в компании, чтобы выполнить требования GDPR? Такой вопрос часто задают нашим консультантам. Ответа на него нет и быть не может. Дело в том, что документация отражает принятые компанией меры и не требуется каким-либо нормативным актом сама по себе (“бумажка ради бумажки”). Не все из мер обязательны для компаний, хотя есть и такие, которые необходимы большинству из них.

Data Processing Agreement (DPA)

DPA – это соглашение об обработке данных, в котором должны быть прописаны следующие моменты (ст. 28 GDPR):

Standard Contractual Clauses (SCC)

Дополнением к DPA или его заменой в случае трансграничной передачи данных служат Standard Contractual Clauses (SCC)– стандартные контрактные условия.

Когда мы собираемся передать данные из ЕС за его пределы, одного DPA может оказаться недостаточно. Для того, чтобы осуществить трансграничную передачу, сначала нужно узнать, обеспечивает ли страна адекватный (достаточный) уровень защиты данных. Если страна “неадекватная”, то здесь можно узнать, как оформить трансграничную передачу данных.

Если кратко, то там написано, что можно использовать эти самые SCC, утвержденные Еврокомиссией. Стандартные контрактные условия (SCC) – типовой договор, который заключается между контролером и процессором. Его форму нельзя изменить, т.к. он типовой. Однако могут возникнуть ситуации, когда необходимо прописать дополнительные условия, например, про распределение расходов на аудиты защиты персональных данных. Тогда поступаем следующим образом: компания заключает DPA с этими условиями, а SCC идёт приложением к нему.

Privacy notice (policy)

Privacy notice (policy) или политика приватности – это открытый документ, рассказывающий про судьбу персональных данных, которые доверяет нам клиент. В нем, например, объясняется, какие персональные данные обрабатываются компанией, а также кому они передаются. Споры о том, какой перевод вернее: политика приватности или политика конфиденциальности, идут до сих пор. Мы считаем, что термин “политика конфиденциальности” неправильный, поэтому рекомендуем не называть так свои документы.

Раньше, до широкого распространения GDPR, понять текст документа могли только юристы: уж слишком много сложных терминов и конструкций. Сегодня, согласно одному из требований Регламента (ст. 12 GDPR), компания обязана проинформировать пользователей не юридическими канцеляризмами, а кратко, прозрачно, понятно и без использования сложной терминологии (интерактивность только приветствуется). Что и как нужно писать в политиках приватности, читайте более подробно в 1213 и 14 статьях GDPR либо далее по тексту.

Существуют небольшие различия в требованиях в зависимости от того, собирает ли компания персональные данные напрямую от субъекта данных или через посредников (получателей). Рассмотрим каждый из случаев.

Если компания собирает персональные данные от физического лица напрямую, она обязана включить в политику следующую информацию:

Если же организация получает ваши данные косвенно (через другую компанию), в политике приватности должна быть указана вся та же информация, за исключением последнего пункта. Плюс перечисляем виды (категории) персональных данных, которые получены о человеке из стороннего источника.

Политика приватности – индивидуальный документ для каждой компании, поэтому шаблон политики приватности не подойдет (и уж точно не стоит копировать его у конкурентов). “Дата Прайваси Офис” разработал специальный чек-лист составления политики приватности, который не позволит вам что-то упустить, когда вы составляете privacy policy “с нуля”, или проверить правильность уже созданного документа.

Data Protection Impact Assessment (DPIA)

DPIA – это способ систематически и всесторонне анализировать риски, вызываемые обработкой данных, а также подбирать меры защиты.

Причем мы смотрим не на риски для компании, а на риски нарушения прав и свобод людей. Сюда относится, в том числе, угроза причинения психологического, физического, социального и экономического вреда субъектам данных.

Если вы понимаете, что обработка данных скорее всего приведет к серьезному риску, то прежде, чем ее начинать, обязательно сделайте DPIA. В ст. 35(3) GDPR приведены примеры, когда серьезные негативные последствия наступят с большой вероятностью. В этих случаях обязательно проведение DPIA. Это, например:

Таким образом, Data Protection Impact Assessment является своеобразной подушкой безопасности, позволяющей выявить риски и предотвратить их. Это станет правильным вложением в будущее компании, так как защитит от проблем с надзорными органами, партнерами и клиентами.

Если вы хотите глубже разобраться в проведении оценки воздействия на защиту данных (DPIA) и научиться системно выявлять и снижать риски для прав и свобод субъектов данных, приглашаем пройти Мини-курс “Риски в приватности: учимся применять DPIA на практике” от Юлии Богдановой, CIPP/E, CIPP/US, Strategic Privacy by Design. 

Этот курс поможет вам понять, когда и как правильно проводить DPIA, а также как применять результаты для защиты вашей компании и клиентов. DPIA — это важный инструмент для предупреждения проблем с надзорными органами и минимизации рисков.

Legitimate Interest Assessment (LIA)

Если вы работаете с персональными данными на базе такого правового основания, как легитимный интерес, то обязательно нужно делать его оценку. Это и формальная процедура, и документ с четко регламентированным содержанием. В нем нужно взвесить все “за” и “против” обработки как для компании, так и для субъекта данных.

LIA проводится в три этапа:

📎 Оценка наличия легитимного интереса,

📎 Определение необходимости обработки,

📎 Баланс интересов (интересы субъекта данных VS интересы компании).

Легитимные интересы компании стоит периодически пересматривать. Со временем, в зависимости от внешних и внутренних факторов, цель, характер или контекст обработки могут измениться. Есть большая вероятность, что это повлияет на баланс между вами и субъектом данных. Следовательно, следует обновить LIA соответствующим образом.

Эта процедура помогает избежать проблем в будущем и укрепить доверие со стороны клиентов, при этом не в ущерб самой организации.

C чего начать?

После того, как вы определили, что…

📎  вы обрабатываете персональные данные,

📎 ваши действия охвачены GDPR,

📎 вы контролер или процессор…

… наступила пора выполнить вышеописанные правила как на уровне отдельных процессов (обработок), так и на уровне всей организации.

 Давайте теперь посмотрим, что именно нужно сделать в первую очередь.

Сначала необходимо определить наилучший маршрут к соответствию GDPR для вашей компании: обучить команду или подключить внешнего эксперта.

Обучение

Пройдя через него, ваши сотрудники смогут выполнять бóльшую часть задач, а компания сможет самостоятельно внедрить GDPR. Это произойдет с меньшим темпом и меньшей эффективностью, но компания удержит при этом все знания и весь опыт внутри себя. К тому же, это самый недорогой вариант. Учтите, однако, что выполнение GDPR – дело всей компании, а не отдельных сотрудников. Один или несколько специалистов все равно не смогут обеспечить внедрение GDPR во всей компании. Им может не хватить времени, рабочих рук, поддержки руководства, а порой – и компетенций. Недостаток компетенций может компенсировать помощь консультантов. Чуть ниже мы расскажем про варианты обучения.

Консалтинг

Он нужен, когда у вас четко определен объем работ, который нужно выполнить к какому-то дедлайну, например, к заключению договора о партнерстве, прохождению аудита или запуску продукта на европейский рынок. В такой ситуации вы хотите действовать наверняка и получить реальные результаты в самые сжатые сроки. Консалтинг подходит вам, если нужно решить вопрос соответствия GDPR как можно быстрее и вы не располагаете собственными кадровыми ресурсами для этого, но готовы привлечь стороннего специалиста.

Обучение + Консалтинг

Этот вариант для вас, если объем работ по защите персональных данных большой, времени очень мало, а работа над GDPR горит. Тем не менее, для вас важно сохранить опыт и знания внутри организации для реализации будущих проектов по защите персональных данных. Здесь потребуется мобилизация персонала компании, а также привлечение сторонних консультантов.

В рамках программы Privacy Roadmap формируется команда по приватности, включающая ваших сотрудников и опытных консультантов Data Privacy Office. Вместе они разрабатывают индивидуальную стратегию внедрения GDPR и создают устойчивую систему защиты данных в вашей компании.

Обучение

На сегодняшний день не существует единой международной сертификации по статье 42 GDPR, поэтому различные сертификаты о «100% соответствии GDPR», размещаемые компаниями, чаще всего являются маркетинговым ходом. Такие «подтверждения» часто выдаются сомнительными организациями и могут вызвать вопросы у надзорных органов.

Однако сертификат может получить специалист — это реальный способ повысить уровень GDPR-Compliance в компании. Обучая сотрудников и руководителей, работающих с персональными данными, вы снижаете риски и укрепляете доверие клиентов.

В Data Privacy Office вы найдете широкий выбор обучающих курсов и корпоративных программ, включая:

📌Курс GDPR Data Privacy Professional (GDPR DPP) — для специалистов, желающих получить фундаментальные знания по защите данных.

📌 Курс Global Data Protection Manager (GDPR DPM) — для менеджеров и руководителей, отвечающих за внедрение GDPR.

📌 Корпоративное обучение по GDPR и защите персональных данных — адаптированное под задачи вашей компании с учетом специфики отрасли и юрисдикций.

Все наши программы помогают повысить квалификацию DPO и специалистов по защите данных, получить официальные сертификаты и обеспечить соответствие компании требованиям GDPR. Начните обучение с Data Privacy Office и сделайте первый шаг к эффективному внедрению GDPR, корпоративной культуре приватности и минимизации рисков.

Консалтинг

Обращение к консультантам особенно важно при сжатых сроках и отсутствии права на ошибку. Наши специалисты не только гарантируют правильность и обоснованность каждого шага, но и учитывают специфику вашего бизнеса, доступные ресурсы и внутренние процессы. Это помогает избежать рисков и ускорить внедрение требований GDPR и других норм.

Часто клиенты выбирают комплексные решения, которые охватывают все ключевые аспекты защиты данных и создают прочный фундамент для соответствия:

📌 Privacy Roadmap — индивидуальная стратегия внедрения GDPR и других требований, позволяющая выстроить системный и поэтапный план работ, избежать ошибок и сэкономить ресурсы компании.

📌 Аутсорс Global DPO — профессиональная передача функций DPO на аутсорсинг с охватом международных юрисдикций. Это выгодно тем, кто хочет получить доступ к опытным специалистам без затрат на найм и обучение, а также обеспечить непрерывное соответствие требованиям GDPR и локальных законов.

📌 Комплексный аудит — детальная оценка соответствия компании GDPR и другим нормативам, выявление уязвимостей и разработка рекомендаций по их устранению.

📌 Оценка соответствия требованиям EU AI Act — подготовка вашей компании к новым правилам регулирования искусственного интеллекта, помощь в оценке рисков и выработке стратегий по обеспечению этичности и безопасности ИИ.

Мы помогаем компаниям соблюдать международные и локальные требования по защите данных, включая GDPR (ЕС), CCPA (Калифорния), PDPA (Сингапур), PIPL (Китай) и другие.

Готовы обсудить, как именно мы можем помочь вам? Свяжитесь с нами — вместе найдём оптимальное решение!

Штрафы за нарушение GDPR: почему это важно

General Data Protection Regulation (GDPR) — это серьёзный нормативный акт с прямым применением в странах Европейского Союза. Нарушение требований GDPR по защите персональных данных грозит крупными штрафами и другими санкциями.

Размер штрафов по статье 83 GDPR может достигать до 10 или 20 миллионов евро, в зависимости от характера нарушения. Для компаний с годовым оборотом свыше 500 миллионов евро штрафы рассчитываются в процентах от мирового годового оборота и могут составлять от 2% до 4%. Административные штрафы могут быть наложены как на контролёров, так и на процессоров персональных данных, при этом санкции могут применяться как отдельно, так и в совокупности с другими мерами, предписанными надзорными органами.

Чаще всего бизнес получает штрафы по следующим причинам:

  • 📎 Некорректным или недостаточно прозрачным информированием пользователей (например, запутанные политики приватности).
  • 📎 Неправильным оформлением согласий на обработку данных (например, предустановленные галочки).
  • 📎 Нарушениями в области мониторинга сотрудников и сбора чувствительных данных.
  • 📎 Недостаточной защитой персональных данных и отсутствием мер безопасности.
  • 📎 Нарушениями сроков хранения и обработки данных.
  • 📎 Несоблюдением правил маркетинговых коммуникаций и обработки запросов субъектов данных.
Fines-for-failure-to-comply-with-GDPR-rules

Почему соблюдение GDPR выгоднее штрафов — реальные причины, которые нельзя игнорировать

1. Миллионы евро штрафов и прямые убытки.
Штрафы по GDPR могут достигать десятков и даже сотен миллионов евро — реальные истории Google, Amazon и других компаний показывают, что игнорирование правил оборачивается колоссальными финансовыми потерями. Такие санкции зачастую разрушают бюджеты и ведут к масштабным сокращениям.

2. Репутационные риски, которые трудно исправить.
Каждый скандал с утечкой или нарушением приватности мгновенно становится достоянием СМИ и социальных сетей. Потеря доверия клиентов приводит к снижению продаж, уходу партнёров и падению рыночной стоимости. Восстановить репутацию зачастую невозможно или занимает годы.

3. Реальные кейсы потери клиентов и бизнеса.
Компании, попавшие под расследования за нарушения GDPR, теряли крупных клиентов, которые предпочитали работать с более ответственными конкурентами. Это не гипотеза — это бизнес-реальность на рынке.

4. Снижение операционных рисков и внутренних затрат.
Внедрение GDPR помогает систематизировать процессы работы с персональными данными, избежать дублирования, утечек и ошибок. Это снижает затраты на аварийное восстановление после инцидентов и повышает общую эффективность бизнеса.

5. Маркетинговое преимущество и рост доверия.
Современный клиент выбирает компанию, которая отвечает за безопасность его данных. GDPR-соответствие становится инструментом привлечения и удержания клиентов, а также способом выделиться на фоне конкурентов.

Топ-6 крупнейших штрафов за нарушение GDPR

Google — €50 млн (2019)
Штраф за сложную и непонятную политику приватности, а также предустановленные галочки согласия, не соответствующие требованиям GDPR.

H&M — €35,3 млн
Нарушения при мониторинге сотрудников, включая сбор и распространение данных о личной жизни работников.

TIM (Италия) — €27,8 млн
Нарушения в маркетинговой деятельности, недействительные согласия и отсутствие мер безопасности для персональных данных.

Marriott International — €20,5 млн
Утечка данных 339 млн клиентов из-за уязвимости в системе безопасности, выявленной спустя годы после её возникновения.

Amazon — €746 млн
Рекордный штраф за манипуляции с клиентами и нарушение приватности, наложенный Управлением по защите данных Люксембурга.

Эти примеры показывают, что соблюдение GDPR — это не просто формальность, а реальный инструмент защиты бизнеса, клиентов и репутации.

В заключении

Мы понимаем, что вопросы защиты персональных данных и соблюдения требований законодательства могут казаться сложными и запутанными. Но вы не одиноки в этом пути. Data Privacy Office стремится стать вашим надёжным партнёром по приватности — тем, к кому можно обратиться с любой задачей или проблемой в сфере защиты данных. Независимо от масштабов и специфики вашего бизнеса, мы готовы предложить эффективные решения и поддержку на каждом этапе.

Обращаясь к нам, вы получаете не просто консультантов, а партнёров, которые внимательно выслушают, помогут выстроить индивидуальную стратегию и реализовать её с максимальной эффективностью. Мы поможем вам не только избежать рисков и штрафов, но и превратить защиту данных в конкурентное преимущество.

Пусть вопросы приватности станут для вас не проблемой, а надёжной опорой для развития и роста бизнеса. Свяжитесь с нами — вместе мы найдём лучшее решение для вашей компании.

Остались вопросы по защите данных?

обучение по защите данных

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.