Общий регламент о защите данных (General Data Protection Regulation)
В мае 2018 г. в Евросоюзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Закон расширил сферу действия европейского законодательства, детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.
Теперь обязательства по соблюдению GDPR распространяются не только на компании, ведущие деятельность на территории 28 стран ЕС, но также и на любые компании вне зависимости от их местонахождения.
Российским компаниям стоит обратить внимание на то, что соответствие отечественному законодательству не обеспечивает автоматического соблюдения GDPR, так как многие процессы и требования введены европейским законом впервые.
Физическое лицо на территории ЕС автоматически имеет право на защиту своих персональных данных по GDPR вне зависимости от гражданства. Мы рекомендуем российским компаниям, ведущим деятельность на территории ЕС или сотрудничающим с европейскими партнерами, провести оценку применимости GDPR.
GDPR применим, если для компании выполняется хотя бы один из критериев:
Компания ведет деятельность в ЕС через филиал, аффилированную компанию, компанию-партнера, привлеченного агента или представителя, и благодаря их деятельности получает и обрабатывает персональные данные.
Компания предлагает товары или услуги физическим лицам, находящимся на территории ЕС, и в рамках этой деятельности обрабатывает персональные данные.
Компания осуществляет мониторинг поведения или активности физических лиц, находящихся на территории ЕС на момент мониторинга. Мониторингом может являться, например, использование cookie-файлов, видеонаблюдение, сбор данных геолокации, регулярный контроль данных о здоровье.
Мы разработали короткий тест, чтобы помочь вам определить, обязана ли ваша компания соблюдать требования GDPR.
Требования GDPR распространяются не только на операторов в ЕС, но и на компании в любой стране, деятельность которых направлена на физических лиц в ЕС. GDPR не требует принятия законов на национальном уровне и действует на операторов напрямую.
Принцип «защищенность по умолчанию» обязывает операторов учитывать требования GDPR на этапе дизайна процессов обработки данных. Для соблюдения принципа «запланированной защищенности» операторы должны контролировать соблюдение GDPR при управлении изменениями в бизнес-процессах и информационных системах.
GDPR накладывает на операторов обязанность документировать и обеспечивать наличие доказательств исполнения требований по обработке и защите данных.
Согласие является одним из законных оснований обработки персональных данных. При его использовании оператор должен обеспечить, чтобы согласие было свободно данным, конкретным, информированным и недвусмысленным. В отдельных случаях оператор обязан проинформировать субъекта о рисках планируемой обработки данных и о предпринятых мерах их смягчения.
GDPR обязывает операторов уведомлять субъектов персональных данных и надзорные органы при возникновении инцидентов, связанных с нарушением безопасности персональных данных. Срок уведомления должен быть обоснованным, на уведомление надзорных органов отводится 72 часа с момента обнаружения инцидента.
GDPR определил случаи обработки персональных данных, при планировании которых оператор обязан провести оценку рисков нарушения защищенности данных (DPIA). Если по результатам DPIA обработка данных связана с высоким риском для субъектов, оператор обязан проконсультироваться с надзорными органами перед началом обработки.
Максимальные штрафы за нарушение требований GDPR выросли до 20 млн евро или 4 % от годового оборота компании, в зависимости от того, какая сумма выше.
С вступлением в силу GDPR у физических лиц появилось больше возможностей по управлению своими персональными данными. GDPR определил законные права субъекта, связанные с обработкой персональных данных, которые субъект может реализовать, подав запрос оператору.
GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свой подход к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.
Наша команда выполняет проекты по GDPR для российских и зарубежных компаний. Мы оказываем следующие услуги в области GDPR:
Определение области применимости GDPR
Мы проведем анализ бизнес-процессов компании, внутренних документов и применяемых технологий, связанных с обработкой персональных данных, и оценим применимость требований GDPR к компании.
Минимизация области применимости GDPR
Мы определим пути уменьшения области применимости требований GDPR, опираясь на процессы и технологии обработки персональных данных, выявленные на этапе обследования, а также с учетом специфики бизнеса компании.
Оценка соответствия требованиям GDPR
Мы проведем оценку процессов обработки персональных данных на предмет выполнения требований GDPR. Мы выявим ключевые риски, связанные с GDPR, и определим их приоритетность для компании. По результатам оценки мы разработаем рекомендации по устранению выявленных несоответствий.
Обучение
Мы проведем обучающие мероприятия для работников и руководителей компании об основах GDPR и важности его соблюдения, а также семинаров по отдельным вопросам, актуальным для компании.
Экспертная поддержка при трансформации компании
Мы оказываем экспертную поддержку компаниям, которые планируют или уже находится в процессе трансформации бизнес-процессов в соответствии с GDPR. Мы помогаем планировать и проводить мероприятия по повышению осведомленности сотрудников, разрабатывать внутренние документы и договоры с третьими лицами, а также внедрять изменения в технологии обработки персональных данных.
Поддержка процессов обработки и защиты персональных данных
Мы окажем консультационную поддержку в ходе выполнения работниками процессов обработки и защиты данных. Мы проводим разовые или периодические проверки соблюдения GDPR и можем разработать план внутреннего аудита в части выполнения требований.
Разработка дорожной карты по приведению в соответствие GDPR
Мы подготовим дорожную карту с необходимой степенью детализации, которая будет описывать дальнейшие шаги по приведению процессов обработки персональных данных в соответствие с требованиями GDPR. По желанию клиента, дорожная карта может содержать оценку сроков выполнения работ, ответственных лиц, а также приоритетность рекомендуемых мероприятий.
Виталий Соколов
Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России
Тел: +7 (495) 967 6153
Партнер, руководитель группы по оказанию услуг в области банковского и финансового права, банкротства, интеллектуальной собственности и ИТ, коммерческих споров, PwC Legal, PwC в России
Тел: + 7 (495) 232 5713
Михаил Курзин
Директор, практика по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России
Тел: +7 (495) 223 5040
Елизавета Дмитриева
Старший консультант, услуги в области обработки и защиты персональных данных, PwC в России
Тел: +7 (495) 967 6000, доб. 3821
