Соответствие GDPR в России

Общий регламент о защите данных (General Data Protection Regulation)

Влияние GDPR на российский бизнес

В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Закон расширил сферу действия европейского законодательства, детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.

Теперь обязательства по соблюдению GDPR распространяются не только на компании, ведущие деятельность на территории 28 стран ЕС, но также и на любые компании вне зависимости от их местонахождения.

Российским компаниям стоит обратить внимание на то, что соответствие отечественному законодательству не обеспечивает автоматического соблюдения GDPR, так как многие процессы и требования введены европейским законом впервые.

Физическое лицо на территории ЕС автоматически имеет право на защиту своих персональных данных по GDPR вне зависимости от гражданства. Мы рекомендуем российским компаниям, ведущим деятельность на территории ЕС или сотрудничающим с европейскими партнерами, провести оценку применимости GDPR.

GDPR применим, если для компании выполняется хотя бы один из критериев:

Компания ведет деятельность в ЕС через филиал, аффилированную компанию, компанию-партнера, привлеченного агента или представителя, и благодаря их деятельности получает и обрабатывает персональные данные.

Компания предлагает товары или услуги физическим лицам, находящимся на территории ЕС, и в рамках этой деятельности обрабатывает персональные данные.

Компания осуществляет мониторинг поведения или активности физических лиц, находящихся на территории ЕС на момент мониторинга. Мониторингом может являться, например, использование cookie-файлов, видеонаблюдение, сбор данных геолокации, регулярный контроль данных о здоровье.

Обязана ли ваша компания соблюдать требования GDPR?

Мы разработали короткий тест, чтобы помочь вам определить, обязана ли ваша компания соблюдать требования GDPR.

Пройти тест

Ключевые нововведения GDPR

1. Экстерриториальное действие и прямое применение

Требования GDPR распространяются не только на операторов в ЕС, но и на компании в любой стране, деятельность которых направлена на физических лиц в ЕС. GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.

2. Новые принципы защиты данных

Принцип «защищенность по умолчанию» обязывает операторов учитывать требования GDPR на этапе дизайна процессов обработки данных. Для соблюдения принципа «запланированной защищенности» операторы должны контролировать соблюдение GDPR при управлении изменениями в бизнес-процессах и информационных системах.

3. Сохранение свидетельств соответствия GDPR

GDPR накладывает на операторов обязанность документировать и обеспечивать наличие доказательств исполнения требований по обработке и защите данных.

4. Изменение требований к согласию на обработку данных

Согласие является одним из законных оснований обработки персональных данных. При его использовании оператор должен обеспечить, чтобы согласие было свободно данным, конкретным, информированным и недвусмысленным. В отдельных случаях оператор обязан проинформировать субъекта о рисках планируемой обработки данных и о предпринятых мерах их смягчения.

5. Оперативное уведомление об инцидентах с данными

GDPR обязывает операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных. Срок уведомления должен быть обоснованным, на уведомление надзорных органов отводится 72 часа с момента обнаружения инцидента.

6. Оценка рисков нарушения защищенности данных (DPIA)

GDPR определил случаи обработки персональных данных, при планировании которых оператор обязан провести оценку рисков нарушения защищенности данных (DPIA). Если по результатам DPIA обработка данных связана с высоким риском для субъектов, оператор обязан проконсультироваться с надзорными органами перед началом обработки.

7. Штрафы за нарушение GDPR в объеме до 20 млн. евро или 4% от годового оборота

Максимальные штрафы за нарушение требований GDPR выросли до 20 млн евро или 4 % от годового оборота компании, в зависимости от того, какая сумма выше.

5 факторов успеха при реагировании на запросы субъектов персональных данных

С вступлением в силу GDPR у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.

Подробнее

Роль технологий в обеспечении защиты данных

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свой подход к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Подробнее

Получить

Материалы по GDPR

Как PwC может помочь?

Наша команда выполняет проекты по GDPR для российских и зарубежных компаний. Мы оказываем следующие услуги в области GDPR:

Определение области применимости GDPR
Мы проведем анализ бизнес-процессов компании, внутренних документов и применяемых технологий, связанных с обработкой персональных данных, и оценим применимость требований GDPR к компании.

Минимизация области применимости GDPR
Мы определим пути уменьшения области применимости требований GDPR, опираясь на процессы и технологии обработки персональных данных, выявленные на этапе обследования, а также с учетом специфики бизнеса компании.

Оценка соответствия требованиям GDPR
Мы проведем оценку процессов обработки персональных данных на предмет выполнения требований GDPR. Мы выявим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных несоответствий.

Обучение
Мы проведем обучающие мероприятия для работников и руководителей компании об основах GDPR и важности его соблюдения, а также семинаров по отдельным вопросам, актуальным для компании.

Экспертная поддержка при трансформации компании
Мы оказываем экспертную поддержку компаниям, которые планируют или уже находится в процессе трансформации бизнес-процессов в соответствии с GDPR. Мы помогаем планировать и проводить мероприятия по повышению осведомленности сотрудников, разрабатывать внутренние документы и договоры с третьими лицами, а также внедрять изменения в технологии обработки персональных данных.

Поддержка процессов обработки и защиты персональных данных
Мы окажем консультационную поддержку в ходе выполнения работниками процессов обработки и защиты данных. Мы проводим разовые или периодические проверки соблюдения GDPR и можем разработать план внутреннего аудита в части выполнения требований.

Разработка дорожной карты по приведению в соответствие GDPR
Мы подготовим дорожную карту с необходимой степенью детализации, которая будет описывать дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями GDPR. По желанию клиента, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.

Запросить информацию

Услуги PwC в области GDPR

{{filterContent.facetedTitle}}

{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.loadMoreLabel}} {{contentList.viewAllLabel}}

Узнать подробнее

Услуги PwC по кибербезопасности

Контакты

Виталий Соколов

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 967 6153

E-mail
Максим Кандыба

Максим Кандыба

Партнер, руководитель группы по оказанию услуг в области банковского и финансового права, банкротства, интеллектуальной собственности и ИТ, коммерческих споров, PwC Legal, PwC в России

Тел: + 7 (495) 232 5713

E-mail
Артем Дмитриев

Артем Дмитриев

Старший юрист, PwC в России

Тел: +7 (495) 967 6000, доб. 4315

E-mail
Михаил Курзин

Михаил Курзин

Директор, практика по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 223 5040

E-mail
Елизавета Дмитриева

Елизавета Дмитриева

Старший консультант, услуги в области обработки и защиты персональных данных, PwC в России

Тел: +7 (495) 967 6000, доб. 3821

E-mail
Мы в социальных сетях
Индустрии
Автомобильная отрасль Банковская отрасль Индустрия медиа и развлечений Инфраструктурное и проектное финансирование Лизинг Металлургическая и горнодобывающая отрасль Недвижимость НПФ Нефтегазовая отрасль Органы гос. власти и общественные организации
Практика здравоохранения Розничная торговля и производство потребительских товаров Сельское хозяйство Спорт Страхование Телекоммуникационная отрасль Транспорт и логистика Фармацевтическая и медико-биологическая отрасль Электроэнергетика и ЖКХ
Услуги
Академия PwC Акселератор PwC Актуарные услуги Анализ и контроль рисков Аудиторские услуги Группа по работе с корейскими клиентами Налоговое консультирование Программа акселерации экспорта Сопровождение сделок Стратегическое и операционное консультирование Управление данными, подготовка отчетности и XBRL
Управление персоналом, организационным дизайном и изменениями Услуги немецким компаниям в России Услуги частным клиентам Услуги частным компаниям Форензик Центр корпоративного управления Центр технологических решений Юридические услуги
Исследования и публикации Книга «МСФО: вопросы применения» Налоговые обзоры Налоговые споры Опрос членов советов директоров российских компаний Премия «Деловая книга года в России» Путеводители инвестора Юридические обзоры
Пресс-центр
В фокусе
Карьера Вакансии для опытных специалистов Вакансии для выпускников и студентов Направления деятельности Наши мероприятия Стань частью команды PwC
О нас Бизнес-ассоциации Контактная информация Корпоративная ответственность Мероприятия Подписаться на рассылку

© 2017 - 2021 PwC. Все права защищены. Под "PwC" понимается глобальная сеть компаний PwC и/или одна или более фирм, входящих в глобальную сеть компаний PwC, каждая из которых является самостоятельным юридическим лицом.