Соответствие GDPR в России

Общий регламент о защите данных (General Data Protection Regulation)

Влияние GDPR на российский бизнес

В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Закон расширил сферу действия европейского законодательства, детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.

Теперь обязательства по соблюдению GDPR распространяются не только на компании, ведущие деятельность на территории 28 стран ЕС, но также и на любые компании вне зависимости от их местонахождения.

Российским компаниям стоит обратить внимание на то, что соответствие отечественному законодательству не обеспечивает автоматического соблюдения GDPR, так как многие процессы и требования введены европейским законом впервые.

loading-player

Playback of this video is not currently available

Дмитрий Бирюков рассказывает о вступлении в силу новых требований GDPR

Физическое лицо на территории ЕС автоматически имеет право на защиту своих персональных данных по GDPR вне зависимости от гражданства. Мы рекомендуем российским компаниям, ведущим деятельность на территории ЕС или сотрудничающим с европейскими партнерами, провести оценку применимости GDPR.

GDPR применим, если для компании выполняется хотя бы один из критериев:

Компания ведет деятельность в ЕС через филиал, аффилированную компанию, компанию-партнера, привлеченного агента или представителя, и благодаря их деятельности получает и обрабатывает персональные данные.

Компания предлагает товары или услуги физическим лицам, находящимся на территории ЕС, и в рамках этой деятельности обрабатывает персональные данные.

Компания осуществляет мониторинг поведения или активности физических лиц, находящихся на территории ЕС на момент мониторинга. Мониторингом может являться, например, использование cookie-файлов, видеонаблюдение, сбор данных геолокации, регулярный контроль данных о здоровье.

Обязана ли ваша компания соблюдать требования GDPR?

Мы разработали короткий тест, чтобы помочь вам определить, обязана ли ваша компания соблюдать требования GDPR.

Пройти тест

Ключевые нововведения GDPR

1. Экстерриториальное действие и прямое применение

Требования GDPR распространяются не только на операторов в ЕС, но и на компании в любой стране, деятельность которых направлена на физических лиц в ЕС. GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.

2. Новые принципы защиты данных

Принцип «защищенность по умолчанию» обязывает операторов учитывать требования GDPR на этапе дизайна процессов обработки данных. Для соблюдения принципа «запланированной защищенности» операторы должны контролировать соблюдение GDPR при управлении изменениями в бизнес-процессах и информационных системах.

3. Сохранение свидетельств соответствия GDPR

GDPR накладывает на операторов обязанность документировать и обеспечивать наличие доказательств исполнения требований по обработке и защите данных.

4. Изменение требований к согласию на обработку данных

Согласие является одним из законных оснований обработки персональных данных. При его использовании оператор должен обеспечить, чтобы согласие было свободно данным, конкретным, информированным и недвусмысленным. В отдельных случаях оператор обязан проинформировать субъекта о рисках планируемой обработки данных и о предпринятых мерах их смягчения.

5. Оперативное уведомление об инцидентах с данными

GDPR обязывает операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных. Срок уведомления должен быть обоснованным, на уведомление надзорных органов отводится 72 часа с момента обнаружения инцидента.

6. Оценка рисков нарушения защищенности данных (DPIA)

GDPR определил случаи обработки персональных данных, при планировании которых оператор обязан провести оценку рисков нарушения защищенности данных (DPIA). Если по результатам DPIA обработка данных связана с высоким риском для субъектов, оператор обязан проконсультироваться с надзорными органами перед началом обработки.

7. Штрафы за нарушение GDPR в объеме до 20 млн. евро или 4% от годового оборота

Максимальные штрафы за нарушение требований GDPR выросли до 20 млн евро или 4 % от годового оборота компании, в зависимости от того, какая сумма выше.

5 факторов успеха при реагировании на запросы субъектов персональных данных

С вступлением в силу GDPR у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.

Подробнее

Роль технологий в обеспечении защиты данных

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свой подход к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Подробнее

Как PwC может помочь?

Наша команда выполняет проекты по GDPR для российских и зарубежных компаний. Мы оказываем следующие услуги в области GDPR:

Определение области применимости GDPR
Мы проведем анализ бизнес-процессов компании, внутренних документов и применяемых технологий, связанных с обработкой персональных данных, и оценим применимость требований GDPR к компании.

Минимизация области применимости GDPR
Мы определим пути уменьшения области применимости требований GDPR, опираясь на процессы и технологии обработки персональных данных, выявленные на этапе обследования, а также с учетом специфики бизнеса компании.

Оценка соответствия требованиям GDPR
Мы проведем оценку процессов обработки персональных данных на предмет выполнения требований GDPR. Мы выявим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных несоответствий.

Обучение
Мы проведем обучающие мероприятия для работников и руководителей компании об основах GDPR и важности его соблюдения, а также семинаров по отдельным вопросам, актуальным для компании.

Экспертная поддержка при трансформации компании
Мы оказываем экспертную поддержку компаниям, которые планируют или уже находится в процессе трансформации бизнес-процессов в соответствии с GDPR. Мы помогаем планировать и проводить мероприятия по повышению осведомленности сотрудников, разрабатывать внутренние документы и договоры с третьими лицами, а также внедрять изменения в технологии обработки персональных данных.

Поддержка процессов обработки и защиты персональных данных
Мы окажем консультационную поддержку в ходе выполнения работниками процессов обработки и защиты данных. Мы проводим разовые или периодические проверки соблюдения GDPR и можем разработать план внутреннего аудита в части выполнения требований.

Разработка дорожной карты по приведению в соответствие GDPR
Мы подготовим дорожную карту с необходимой степенью детализации, которая будет описывать дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями GDPR. По желанию клиента, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.

{{filterContent.facetedTitle}}

Контакты

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области информационной безопасности, PwC Россия

Тел: +7 (495) 967 6153

Дмитрий Бирюков

Менеджер, отдел контроля и анализа рисков, услуги в области защиты персональных данных, PwC Россия

Тел: + 7 (495) 967 6000, доб. 2732

Евгений Гук

Старший юрист, руководитель практики по оказанию услуг в области интеллектуальной собственности, информационных технологий и защиты данных, PwC Россия

Тел: +7 (495) 967 6000, доб. 4540

Артем Дмитриев

Старший юрист, практика по оказанию услуг в области интеллектуальной собственности, информационных технологий и защиты данных, PwC Россия

Тел: +7 (495) 967 6000 доб. 4315

Мы в социальных сетях