Загальний регламент щодо захисту даних GDPR набув чинності 25 травня 2018 року, але до цих пір більшість компаній розглядають його як загрозу бізнесу, ризикуючи при цьому отримати істотний штраф (до 20 000 000 Євро) за невідповідність приписам. Але, є й інший підхід!

Ми можемо допомогти вам розібратися в цьому складному законодавчому акті і застосувати його на вашу користь. Впроваджуючи необхідні заходи безпеки ви отримаєте ефективний інструмент для:

  • зміцнення довіри клієнтів
  • поліпшення іміджу і репутації бренду
  • зниження ризику витоку даних
  • підвищення інформаційної безпеки
  • отримання конкурентної переваги
GDPR
ЗАХИСТ ДАНИХ
Найважливіше про GDPR
Чи необхідно моєму бізнесу відповідати регламенту GDPR?
Так, - якщо ваша компанія розташована в ЄС чи за його межами, та є:
контролером даних - збирає дані від суб'єктів даних (людей) резидентів ЄС, або
процесором - обробляє дані від імені контролера даних (наприклад, такого як постачальники хмарних послуг).
В обох випадках, збір чи обробка даних виконується в зв'язку з професійною або комерційною діяльністю.
Які дані компанія може збирати чи обробляти, та як вони класифікуються?
Персональні дані - це інформація, що належить фізичній особі (суб'єкту даних) та з допомогою якої її можна ідентифікувати.
Особливо суворий контроль встановлено за обробкою особливих категорій, так званих чутливих персональних даних.

Персональні дані:
  • ПІБ
  • адреса
  • адреса електронної пошти
  • фото
  • ідентифікаційний номер (включаючи онлайн-ідентифікатори і IP-адреси)
  • дані про місцезнаходження
  • інтернет поведінку (куки)
  • профілізація і аналітика даних
  • один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності фізичної особи.
Особливі категорії персональних даних:
  • расове або етнічне походження
  • релігійні або філософські вірування
  • політичні думки
  • членство в профспілці
  • статеве життя або сексуальна орієнтація
  • здоров'я
  • біометричні дані (відбитки пальців, сканування сітківки ока)
  • генетичні дані
    Наслідки недотримання регламенту
    Передбачені два рівня адміністративного штрафу:
    штраф у розмірі до 10 мільйонів євро або 2% від річного світового обороту компанії - в залежності від того, що більше. Може бути застосований за порушення статей:
    • A.8 (умови згоди дітей)
    • A.11 (обробка, яка не потребує ідентифікації)
    • A.25 - 39 (загальні зобов'язання процесорів і контролерів)
    • A.42 (сертифікація)
    • A.43 (органи з сертифікації)

    до 20 мільйонів євро або 4% від річного світового обороту компанії - в залежності від того, що більше, за порушення статей:
    • A.5 (принципи обробки даних)
    • A.6 (законність обробки)
    • A.7 (умови для згоди)
    • A.9 (обробка спеціальних категорій даних)
    • A.12 - 22 (права суб'єктів даних)
    • A.44 - 49 (передача даних третім країнам чи міжнародним організаціям)

    При цьому, штрафи за порушення GDPR є дискреційними - визначаються на розсуд регулятора за критеріями ефективності, пропорційності і повинні мати стримуючий фактор. Деякі з оголошених штрафів перевищують суму в 200 мільйонів євро.

    Крім штрафів до компаній можуть бути застосовані інші дії, включаючи:
    • видача попереджень і доган
    • введення тимчасової або постійної заборони на обробку даних
    • вимога виправлення, обмеження або видалення даних
    • заборона передачі даних третім країнам чи міжнародним організаціям
    Усі санкції можуть бути оскаржені в судовому порядку. Однак, це не поверне втраченої репутації, клієнтів, часу та грошей, витрачених на судову тяганину.
      Найчастіші порушення
      Більшість порушень відноситься до таких статей GDPR:
      • A.5 (принципи обробки даних)
      • A.6 (законність обробки)
      • A.32 (безпека обробки)
      • A.13 (повідомлення про конфіденційність)
      • A.15 (право суб'єкта даних на доступ до даних)
      Найгучніші штрафи
      Міжнародна авіакомпанія Cathay Pacific Airways Limited оштрафована на 500 000 фунтів стерлінгів за нездатність захистити особисті дані своїх клієнтів (злом бази даних пасажирів в результаті кібератаки). (Джерело ico.org.uk)

      Шотландська компанія CRDNN Limited отримала штраф в розмірі 500 000 фунтів стерлінгів за вчинення понад 193 мільйонів автоматичних телефонних викликів без клієнтської згоди. (Джерело ico.org.uk)

      Національний ритейлер DSG Retail Limited оштрафований на 500 000 фунтів стерлінгів за нездатність захистити інформацію як мінімум 14 мільйонів клієнтів (злом системи продажів в результаті кібератаки). Раніше, в січні 2018 року оштрафована Carphone Warehouse, яка є частиною тієї ж групи компаній, на 400 000 фунтів стерлінгів за аналогічні уразливості системи безпеки. (Джерело ico.org.uk)

      Лондонська аптечна компанія Doorstep Dispensaree Ltd оштрафована на 275 000 фунтів стерлінгів за нездатність забезпечити безпеку даних спеціальної категорії (залишила близько 500 000 документів в незачинених контейнерах на задньому дворі свого офісу). (Джерело ico.org.uk)

      Намір оштрафувати готельну мережу Marriott International Inc на 99 000 000 фунтів стерлінгів за порушення законодавства про захист персональних даних (в результаті кіберінциденту в період з 2014 по 2018 роки були розкриті персональні дані, що містяться приблизно в 339 мільйонах гостьових записів у всьому світі). (Джерело ico.org.uk)
      Нещодавно Marriott International Inc на своєму офіційному сайті новин повідомив про повторний випадок пов'язаний з витоком
      5,2 мільйонів персональних даних клієнтів мережі. Інцидент стався в період з середини січня до кінця лютого 2020 року, коли витік було виявлено. Судячи з даної статистики, штрафу їм не уникнути. (Джерело news.marriott.com)

      Намір оштрафувати British Airways на 183 390 000 фунтів стерлінгів за порушення законодавства про захист персональних даних в результаті якого були скомпрометовані персональні дані 500 000 пасажирів. (Кіберінцидент частково пов'язаний з перенаправленням трафіку користувачів з сайту British Airways на шахрайський сайт). (Джерело ico.org.uk)

      Національна комісія із захисту даних Франції CNIL наклала фінансовий штраф у розмірі 50 000 000 євро на компанію GOOGLE LLC відповідно до Загальних правил захисту даних (GDPR) за відсутність прозорості, неадекватну інформацію і відсутність дійсної згоди щодо персоналізації реклами. (Джерело cnil.fr)

      Управління із захисту персональних даних Польщі (UODO) наклало штраф на компанію контролера (назва якої не уточнюється) в розмірі понад 943 000 злотих (208 000 євро) за порушення законодавства про захист персональних даних. (Джерело uodo.gov.pl)
        Перелік основних вимог
        1. Підзвітність та управління
        Ви повинні мати можливість продемонструвати відповідність GDPR. Це включає:
        • створення структури управління з ролями та обов'язками
        • ведення детального обліку всіх операцій з обробки даних
        • документування політики та процедур захисту даних
        • проведення DPIA (оцінки впливу на захист даних) для операцій з обробкою з високим ризиком
        • впровадження відповідних заходів щодо захисту персональних даних
        • проведення тренінгів з підвищення обізнаності персоналу
        • при необхідності призначення посадової особи із захисту даних
        2. Шість принципів обробки даних
        GDPR перелічує шість принципів обробки даних, яких повинні дотримуватися контролери даних. Особисті дані повинні:
        • оброблятися законно, справедливо та прозоро
        • збиратися лише для конкретних законних цілей
        • збиратися адекватно, відповідно і обмежено тим, що необхідно
        • бути точними та, за необхідності, актуалізованими
        • зберігатися лише стільки, скільки потрібно
        • оброблятися таким чином, щоб забезпечувати належну безпеку
          3. Законна обробка
          За винятком спеціальних категорій персональних даних, які не підлягають обробці, за винятком певних обставин, особисті дані можуть бути оброблені, лише якщо застосовується одне з наступного:
          • якщо суб'єкт даних дав свою згоду
          • для виконання договірних зобов'язань
          • необхідність дотримуватися юридичних зобов'язань
          • для захисту життєво важливих інтересів суб'єкта даних
          • виконання завдання в інтересах суспільства
          • дотримання законних інтересів організації
            4. Права на конфіденційність фізичних осіб
            Права фізичних осіб розширюються на ряд важливих напрямків. Суб'єкти даних мають:
            • право бути поінформованими щодо збору, обробки чи зберігання даних
            • право доступу до даних
            • право на виправлення
            • право на стирання
            • право обмежувати обробку
            • право на переносимість даних
            • право на заперечення
            • права щодо автоматизованого прийняття рішень та профілювання
            5. Дійсна згода
            GDPR вводить більш жорсткі правила щодо отримання згоди:
            • згода повинна бути вільно дана, конкретна, поінформована та однозначна
            • прохання про згоду має бути зрозумілим та чітким
            • мовчання, попередньо поставлені галочки і бездіяльність більше не є достатніми для згоди
            • згода може бути відкликана в будь-який час
            • згода на інтернет-послуги від дитини до 13 років діє лише з дозволу батьків або опікуна
            • організації повинні мати можливість підтверджувати згоду та відкликати згоду
            6. Захист даних за дизайном та за замовчуванням
            Контролери та обробники даних повинні реалізовувати технічні та організаційні заходи, розроблені для ефективного впровадження принципів обробки даних.
            • в обробку повинні бути включені відповідні гарантії
            • захист даних необхідно враховувати на етапі проектування будь-якого нового процесу, системи чи технології
            • DPIA (оцінка впливу на захист даних) є невід'ємною частиною конфіденційності в дизайні
            7. Повідомлення про прозорість та конфіденційність
            Організації повинні бути чіткими та прозорими щодо того, як особисті дані будуть оброблятися, ким і чому.
            • коли персональні дані збираються безпосередньо від суб'єктів даних, контролери даних повинні надати повідомлення про конфіденційність під час збору
            • якщо особисті дані не отримуються безпосередньо від суб'єктів даних, контролери даних повинні надіслати повідомлення про конфіденційність без зайвих затримок, не пізніше ніж протягом місяця (це потрібно надати при першому спілкуванні з суб'єктом даних, але не пізніше ніж через місяць після отримання персональних даних)
            • для всіх операцій з обробки, контролери даних повинні вирішити, як інформувати суб'єктів даних, і відповідно розробити повідомлення про конфіденційність (повідомлення можуть видаватися поетапно)
            • повідомлення про конфіденційність повинні надаватися суб'єктам даних у стислій, прозорій та легкодоступній формі, використовуючи чітку та зрозумілу мову
            8. Передача даних за межі ЄС
            Передача персональних даних міжнародним організаціям та країнам, що не входять в ЄС, дозволяється лише:
            • там, де ЄС визначив країну такою, що забезпечує належний рівень захисту даних
            • через типові договори або обов'язкові корпоративні правила, або
            • дотримуючись затвердженого механізму сертифікації, напр. EU-US Privacy Shield
            9. Звітність про порушення даних
            Порушення пов'язане з персональними даними визначається як "порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу до персональних даних, що передаються, зберігаються або обробляються іншим чином".
            • процесори (обробники) даних зобов'язані повідомляти про всі порушення пов'язані з персональними даними контролерам даних
            • контролери даних зобов'язані повідомляти про порушення Комісії з захисту даних (DPC) протягом 72 годин після їх виявлення, якщо є ризик для прав та свобод суб'єктів даних
            • самі суб'єкти даних повинні бути повідомлені без зайвих затримок, якщо існує високий ризик для їх прав і свобод
            10. DPO (офіцер захисту даних)
            Призначення DPO є обов'язковим, якщо:
            • обробку здійснює державний орган
            • основна діяльність організації потребує регулярного та систематичного моніторингу суб'єкта даних у великих масштабах, або
            • основна діяльність організацій передбачає широкомасштабну обробку спеціальних категорій даних та персональних даних, що стосуються кримінальних судимостей та правопорушень

            задачі DPO:
            • поінформуйте та проконсультуйте організацію щодо своїх зобов'язань
            • забезпечте контроль за дотриманням вимог, включаючи підвищення обізнаності, навчання персоналу та проведення аудиту
            • надайте поради щодо оцінки впливу на захист даних
            • співпрацюйте з Комісією з захисту даних (DPC) та виступайте як контактний пункт як для DPC, так і для суб'єктів даних
            ЩО МИ ПРОПОНУЄМО
            • онлайн чи офлайн консультування з будь-яких питань стосовно регламенту GDPR та відповідності його вимогам
            • це швидко і зручно, достатньо лише обрати спосіб зв'язку з нашим спеціалістом
            • ви можете обрати погодинну консультацію за фіксованою ціною
            • або співпрацювати у форматі місячної, квартальної чи річної підписки від 10 годин щоб отримати ексклюзивний прайс
            *90.00 / година
            без ПДВ
            Почати діалог
            • ви можете обрати будь-яку з 3-х проектних послуг
            • швидка оцінка - аналіз будь-якого одного артефакту необхідного для відповідності GDPR (документу, процесу, процедури, рішення, тощо)
            • геп-аналіз - аналіз недоліків у існуючих документах, процесах, процедурах та рішеннях шодо відповідності регламенту GDPR
            • аудит - дає можливість поглянути на все зі сторони і отримати експертну оцінку щодо відповідності GDPR
            • кожен зі звітів містиме:
              повний перелік невідповідностей по рівням критичності; рекомендації щодо поліпшень; дорожню карту впроваждення змін
            Зверніться до менеджера, щоб отримати комерційну пропозицію
            Почати діалог
            • реалізація проекту щодо дотримання вимог регламенту GDPR під ключ
            • проект включає:
              - геп-аналіз або аудит, для розуміння поточного стану, та для оцінки відповідності до GDPR, якщо якісь документи чи процеси вже були впроваджені;
            • - розробка плану проекту та дорожньої карти впровадження чи поліпшень;
            • - розробка документації: політик, процесів, процедур, DPIA, тренінгів, програм обізнаності;
            • - допомога у виборі систем та рішень згідно найкращім практикам;
            • - контроль та звітність на всіх етапах проекту;
            • - навчання персоналу
            Зверніться до менеджера, щоб отримати комерційну пропозицію
            Почати діалог
            • ви можете обрати місячну, квартальну чи річну пидписку на підтримку належного стану документів, процесів, процедур та рішень для відповідності регламенту GDPR
            • може містити:
              - пакет годин консультацій необхідного спеціаліста, розрахований згідно з вашими потребами;
            • - пакет швидка оцінка / геп-аналіз / аудит, з обраною вами періодичністю;
            • - пакет супровід, допомога та контроль у вашому самостійному проекті з впровадження змін чи поліпшень;
            • - пакет поліпшення, в якому ми поліпшуємо артефакти необхідні для відповідності GDPR, якщо ваша компанія того потребує;
            • - усі необхідні звіти та проектну документацію
            Зверніться до менеджера, щоб отримати комерційну пропозицію
            Почати діалог
            Не знайшли те що шукали?
            Ми завжди готові допомогти з вирішенням Вашої проблеми або відповісти на термінові питання.
            Для цього Вам необхідно лише обрати зручний засіб зв'язку з нашими фахівцями.
            ПОРАДА ЕКСПЕРТА
            Цей сайт використовує файли cookie для аналізу нашого трафіку, персоналізації контенту та реклами, а також надання доступу до функцій соціальних мереж.

            Інформація про ваше використання цього сайту доступна нашим партнерами з соціальних мереж, рекламним партнерами і партнерами з аналітики.
            Вони можуть поєднувати цю інформацію з іншими даними про вас, які вони зібрали під час вашого користування їх послугами.

            Дізнайтесь більше про умови використання файлів cookie ознайомившись з Політикою конфіденційності.
            Добре
            Made on
            Tilda