Kindred Group выполнены рекомендации ЕС по соблюдению интересов потребителей

Рейтинг надежности онлайн казино за 2020 год:
  • Казино ИКС
    Казино ИКС

    1 место, лидер народного рейтинга! Лучшее казино по отзывам игроков. Большие бонусы и моментальный вывод выигрыша на карту.

  • Джой Казино
    Джой Казино

    2 место в рейтинге! Хорошее лицензионное казино с огромными Джекпотами и моментальными выплатами!

  • Казино Чемпион
    Казино Чемпион

    3 место! Одно из самых надежных онлайн казино для россиян. Полностью на русском языке! Бонус за регистрацию и за каждый депозит!

Как российскому бизнесу подготовиться к новому закону ЕС о защите персональных данных

В мае 2020 г. во всех странах Евросоюза станет обязательным к исполнению новый закон Европейского союза о защите персональных данных (General Data Protection Regulation, GDPR), принятый в мае 2020 г. Новые требования являются результатом серьезного ужесточения и унификации всех существовавших на протяжении 20 лет и различавшихся в разных европейских странах норм о защите персональных данных. И этот закон отразится на бизнесе многих крупных российских компаний.

В первую очередь он коснется компаний, которые имеют представительства в странах Евросоюза и оказывают услуги физическим лицам – гражданам ЕС, собирают и обрабатывают большие объемы персональных данных, активно используют интернет-маркетинг, ведут онлайновую регистрацию пользователей на веб-сайте или в мобильном приложении. Если российская компания имеет веб-сайт на языке хотя бы одной страны – члена Евросоюза или сайт поддерживает платежи в валюте стран ЕС, то это также может быть достаточным условием для применения GDPR. В эту категорию попадают, например, интернет-магазины, финансовые компании, организации здравоохранения, IT-компании и социальные сети.

За нарушения требований закона предусмотрены более серьезные штрафы в размере до 20 млн евро или 4% годовой общемировой выручки компании, а также ряд иных санкций, устанавливаемых для каждой страны Евросоюза в отдельности, не говоря уже о репутационном ущербе, судебных издержках и компенсациях в результате групповых и индивидуальных исков от физических лиц.

Закон GDPR имеет четыре ключевых требования.

Компании должны быть готовы предоставить сведения о том, как они распоряжаются персональными данными физических лиц, а также перенести или уничтожить их по запросу. Кроме того, ограничиваются цели использования ранее собранных данных.

Данные должны легко перезаписываться и удаляться. Компании обязаны будут предоставлять физическим лицам по их запросу личные данные в структурированном формате. Кроме того, компании должны будут так настроить IT-системы и процессы, чтобы в случае необходимости можно было безвозвратно удалять данные о физическом лице, в том числе из архивов. Одно только это требование может сопровождаться значительными затратами на доработку IT-систем и изменение баз данных.

Компании должны повысить прозрачность использования данных. Ужесточаются правила получения согласия на обработку персональных данных, пользователь получает право в любой момент отозвать согласие. Компании будут обязаны четко указывать все цели применения данных, а также раскрывать информацию о третьих лицах, которым данные будут передаваться.

Компании будут нести ответственность за обработку данных, которую поручают третьим лицам, и должны обеспечить законность обработки этой информации своими подрядчиками.

Во всем мире предприятиям, как показал год переходного периода, с трудом удается соответствовать новым требованиям. Согласно результатам недавнего опроса PwC, 54% американских компаний считают подготовку к вступлению в силу GDPR важнейшей задачей в области защиты данных, а 38% респондентов оценивают эту задачу как одну из приоритетных. Но мало кто успел подготовиться. Только 6% респондентов завершили подготовку, 71% сейчас приводят бизнес в соответствие с требованиями GDPR, а 23% еще даже не начинали подготовку. Затраты внушительны: 77% респондентов оценивают затраты на комплаенс-инициативы более чем в $1 млн.

Дочерним фирмам международных корпораций имеет смысл инициировать диалог о GDPR с головным офисом, чтобы иметь достаточно времени на согласование глобальных процедур с требованиями российского закона о персональных данных. Несмотря на схожесть GDPR и российского закона, многие термины и требования отличаются в деталях.

Российские крупные компании должны быть готовы к серьезным организационно-техническим преобразованиям. Им нужно выполнить несколько важнейших шагов.

Ключевой шаг – создание межфункциональной группы, в нее нужно включить специалистов из юридического, кадрового, IT-отделов, а также бизнес-подразделений. Решить проблему выполнения требований GDPR силами одного отдела невозможно.

В первую очередь эксперты группы должны определить, насколько требования GDPR вообще касаются компании. И даже если этот закон не применим сейчас, необходимо проанализировать бизнес-стратегию и убедиться, что GDPR не станет актуален для компании в ближайшем будущем.

Допустим, компании все-таки нужно соответствовать новому закону. Тогда ей следует проанализировать, какие именно типы персональных данных она обрабатывает и каким образом. Насколько эти данные защищены при хранении, передаче и использовании? Своевременно ли компания выявляет нарушения?

Самые лучшие казино полностью на русском языке:
  • Казино ИКС
    Казино ИКС

    1 место, лидер народного рейтинга! Лучшее казино по отзывам игроков. Большие бонусы и моментальный вывод выигрыша на карту.

  • Джой Казино
    Джой Казино

    2 место в рейтинге! Хорошее лицензионное казино с огромными Джекпотами и моментальными выплатами!

  • Казино Чемпион
    Казино Чемпион

    3 место! Одно из самых надежных онлайн казино для россиян. Полностью на русском языке! Бонус за регистрацию и за каждый депозит!

Одно из самых трудных требований нового закона – обязанность оповещать надзорные органы и клиентов о случаях утечки информации в течение 72 ч с момента обнаружения. Для защиты данных существуют различные технологии и инструменты: управление учетными записями, управление административным доступом и надежные средства проверки подлинности пользователя. Применяет ли их компания? Эти инструменты существенно снизят вероятность утечки данных.

Необходимо обновить политику обработки данных, формы согласий на обработку данных и договоров, а также провести соответствующее обучение сотрудников. Часть внутренних процессов может оказаться юридически уязвима с точки зрения требований нового закона, такие процессы следует проанализировать и изменить.

Автор – партнер, руководитель отдела анализа и контроля рисков PwC в России

Сертификация пищевой продукции в ЕС

Сертификация пищевых продуктов питания в ЕС подразумевает тщательнейший контроль над качеством. Следовательно, Директивами Европейского Союза предъявляются серьёзные, даже жесткие требования к пищевой продукции – они включают инспекционный аудит, который проводится на месте производства продукции, и наличие разработанной на основе ИСО 22000 документации.

Из чего состоит процедура сертификации продуктов питания в ЕС

Для того, чтобы определить процедуру получения сертификации продуктов питания в ЕС, которая будет экспортироваться в страны Европейского Сюза, Европарламент разработал так называемый Регламент.

Этот документ содержит положения, контролирующие высокую степень защиты здоровья людей, учитывающие интересы потребителей в условиях многообразия предлагаемой продукции и обеспечивающие, одновременно с этим, функционирование внутреннего рынка.

Под ведомство вышеуказанного Регламента попадает и регулирование поступления продукции на рынки ЕС, контроль над ее оборотом. В Регламенте содержатся и предписания, необходимые для контроля над качеством продукции, в соответствии с требованиями гармонизированных стандартов ЕС. Более того, предписания к Регламенту содержат санитарно-гигиенические требования ко всей поступающей на рынок ЕС продукции, определенные требования к характеристикам при лабораторных испытаниях и жесткие европейские требования к сертификации продукции, которая будет отправлена на импорт. Стоит отметить, что продукцию, которой был выдан сертификат, заносят в реестр ЕС, после чего ее можно беспрепятственно ввозить на внутренние рынки стран Европейского Союза.

Из каких этапов состоит сертификация пищевой продукции в ЕС

  • специалисты производят анализ и оценку информации о самой продукции и месте ее производства;
  • эксперт производит выезд на производство;
  • происходит отбор опытных образцов, необходимых для испытаний на показатели, предусмотренные Предписаниями и Регламентами;
  • эксперт производит анализ данных аудита производства и, в случае несоответствия процессов Регламенту, разработку рекомендаций;
  • проводят испытания отобранных образцов в специально аккредитованных лабораториях;
  • выдается соответствующий Сертификат на продукцию, она регистрируется в Реестре ЕС.

Специалисты агентства по сертификации и вэд консалтингу «ДИРЕКТИВА GROUP» возьмут на себя все процессы по решению этой важной задачи для Вашей организации.

Сотрудничество с нашей компанией гарантирует Вам:

  • оптимальные сроки и самые разумные цены;
  • компетентные консультации по сертификации в ЕС и оперативное делопроизводство ВЭД;
  • конфиденциальность и дальнейшую техническую поддержку документации Вашей организации.

ДИРЕКТИВА GROUP — Доверяйте профессионалам!

Аналитика Публикации

Регламент ЕС о персональных данных. Риски и рекомендации для российского бизнеса

Тема безопасной обработки персональных данных является актуальной как в России, так и за рубежом. Пока российский бизнес привыкает к повышенным административным штрафам за нарушение законодательства в области персональных данных по ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, Европейский союз готовится ввести в действие Регламент № 2020/679 «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (далее – Регламент). Особенностью Регламента является его экстерриториальность. Дело в том, что действие Регламента распространяется не только на резидентов ЕС, но и на третьих лиц. Крупным российским компаниям вряд ли удастся проигнорировать новые правила: штраф за их нарушение велик – до 20 млн евро, или 4% от мирового годового оборота за финансовый год. О том, как Регламент повлияет на российский бизнес, а также о том, как российскому бизнесу подготовиться к введению в действие Регламента и чем грозит его несоблюдение, пойдет речь в статье.

Распространяется ли действие Регламента на вашу компанию?

Если в вашей компании обрабатываются персональные данные граждан ЕС, ответ на данный вопрос будет положительный.

Кроме того, согласно официальным комментариям к Регламенту компании-нерезиденты должны соблюдать положениям Регламента, если они:

1) используют официальный язык страны – участницы ЕС как в рамках описания товаров/услуг, так и при оформлении заказов;

2) используют валюту страны – участницы ЕС при расчетах с клиентами;

3) непосредственно указали на сайте, что товары/услуги предлагаются гражданам ЕС.

Все требования Регламента можно условно разделить на четыре основных типа:

– требования по учреждению должностей в компании;

– требования по ведению внутренней документации;

– требования по обеспечению прав и свобод граждан ЕС при обработке их персональных данных;

– требования по взаимодействию с надзорными органами ЕС в сфере обработки персональных данных.

Далее кратко рассмотрим каждый из элементов выделенных типов требований.

Требования по учреждению новых должностей в компании

Первый тип требований связан с учреждением в компании должностей представителя в ЕС и инспектора по защите персональных данных. Санкции за отсутствие хотя бы одной из должностей в компании выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год.

Представитель компании в ЕС должен решать все вопросы, связанные с обработкой персональных данных европейских граждан. Он должен осуществлять взаимодействие как с субъектами персональных данных, так и с надзорными органами ЕС в сфере обработки персональных данных. Регламент предписывает, что представитель должен физически располагаться на территории ЕС. Представителя назначать не нужно, если обработка персональных данных носит случайный характер, не включает в себя масштабную обработку особых категорий персональных данных или масштабную обработку персональных данных, связанных с судимостями и уголовными преступлениями, а также обработку, которая предположительно не приведет к риску для прав и свобод физических лиц. Кроме того, органы государственной власти и правительственные учреждения также не обязаны назначать представителя в ЕС.

Инспектор по защите персональных данных (Data privacy officer) должен быть назначен в компании согласно ст. 37 Регламента. Инспектором может выступать как сотрудник компании, так и независимый консультант, действующий на основании заключенного договора об оказании услуг.

Основными функциями инспектора являются:

1) информирование оператора относительно обязанностей, предусмотренных Регламентом;

2) контроль за соблюдением оператором Регламента;

3) контроль методов обработки персональных данных оператором;

3) консультирование оператора относительно оценки воздействия на защиту персональных данных;

4) взаимодействие с надзорными органами ЕС.

Стоит отдельно отметить, что Регламент не содержит требований для инспектора физически находиться на территории ЕС. Регламент также не запрещает объединять функции инспектора и представителя в одном лице.

Требования по ведению внутренней документации

Второй тип требований связан с необходимостью принятия и ведения в компании определенной внутренней документации. При этом документы должны быть составлены на языке одной из стран – участниц ЕС. Санкции за несоответствие хотя бы одному из указанных требований выражаются в возможных штрафах в размере до 10 млн евро, или 2% от мирового годового оборота за финансовый год (таблица 1).

Ведение письменного учета (реестра) действий по обработке персональных данных (далее также – ПД)

Статья 30 Регламента предписывает оператору вести письменный учет всех действий, связанных с обработкой ПД. Данное требование не распространяется на организации со штатом менее 250 человек

Ведение учета (реестра) инцидентов в сфере ПД

В соответствии со статьей 33 Регламента оператор должен документировать любые утечки ПД, в том числе все относящиеся к утечке факты, последствия такой утечки и принятые корректирующие меры

Наличие задокументированной оценки потенциальных рисков при обработке ПД

Статья 35 Регламента закрепляет обязанность оператора провести оценку воздействия предусмотренного процесса обработки ПД на защиту ПД. Такая оценка рисков призвана выявить основные угрозы правам субъектов и должна как минимум включать в себя: 1) систематическое описание предусмотренных процессов обработки данных и целей обработки; 2) оценку необходимости и пропорциональности обработки данных относительно целей; 3) оценку рисков для прав и свобод субъектов данных; 4) меры, предусмотренные для устранения рисков

Требования по обеспечению прав и свобод

Третий тип требований включает в себя обязанность оператора по обеспечению следующих основных прав субъектов:

1) право на информацию;

2) право на внесение и удаление персональной информации.

За несоответствие этим требованиям Регламента оператор может быть привлечен к ответственности в виде штрафа в размере до 4% от мирового годового оборота за последний финансовый год, или до 20 млн евро (таблица 2).

Категория прав субъектов

Описание и рекомендации

Право на информацию

Оператор обязан сообщить субъекту в момент сбора у него ПД в числе прочего следующую информацию:

– идентификационную информацию и контактные данные оператора и при необходимости его представителя;

– контактные данные инспектора по защите ПД;

– цели обработки ПД, а также юридическое основание для обработки;

– законные интересы, преследуемые оператором или третьей стороной (если применимо);

– получателей или категории получателей ПД;

– намерение оператора передать персональные данные в третью страну или международную организацию;

– срок, в течение которого будут обрабатываться ПД, либо критерии для его определения;

– наличие права на исправление, удаление и ограничение обработки ПД;

– наличие права на доступ к своим ПД;

– наличие права на возражение против обработки ПД;

– наличие права на получение своих ПД в структурированном, универсальном и машиночитаемом формате;

– наличие права на отзыв своего согласия;

– наличие права подачи жалобы в надзорный орган

Право на внесение и удаление персональной информации

Оператор обязан выполнить, в частности, следующие требования субъекта:

– незамедлительно внести изменения в неточные данные, относящиеся к субъекту;

– незамедлительно удалить данные, относящиеся к субъекту («право на забвение»);

– ограничить обработку данных, если применяется одно из условий:

а) точность ПД оспаривается субъектом данных;

б) обработка ПД является незаконной, но субъект данных возражает против удаления ПД и требует ограничить их использование;

в) оператору больше не требуются ПД для целей обработки, но они требуются субъекту ПД для обоснования, исполнения или ведения защиты по судебным искам;

– предоставить ПД в структурированном и машиночитаемом формате

Взаимодействие с надзорными органами ЕС

Четвертый тип требований связан с обязанностью оператора взаимодействовать с надзорными государственными органами ЕС в сфере обработки персональных данных.

Краткое описание данного типа требований представлено в таблице 3.

Описание и рекомендации

Санкции за нарушение (штраф)

Предварительное консультирование с надзорным органом ЕС

В соответствии со статьей 36 Регламента оператор обязан проконсультироваться с надзорным органом до начала обработки ПД, если проведенная им оценка воздействия предусмотренного процесса обработки ПД на защиту данных указывает на то, что обработка может привести к возникновению высокой степени риска при непринятии мер для его снижения.

В целях реализации указанного требования рекомендовано разработать Положение о взаимодействии с надзорным органом ЕС, закрепляющее формат такого взаимодействия и перечень случаев, когда компания прибегает к такого рода консультациям

До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро

Уведомление в адрес надзорного органа об инцидентах в сфере обработки ПД

В случае утечки ПД оператор незамедлительно и при наличии соответствующей возможности в течение 72 часов после того, как ему стало известно об утечке, должен уведомить об этом надзорный орган. Исключение составляют случаи, когда утечка ПД, вероятно, не приведет к риску для прав и свобод физических лиц. Если уведомление направлено в надзорный орган позже, в таком уведомлении необходимо указать причины задержки. Уведомление в обязательном порядке должно содержать следующую информацию:

– описание характера утечки ПД, в том числе по возможности указание категорий и приблизительного количества субъектов ПД и категорий и приблизительного количества записей ПД;

– фамилию и контактные данные инспектора по защите ПД;

– описание возможных последствий утечки ПД;

– описание принятых или планируемых контролером мер для устранения нарушения, в том числе в соответствующих случаях мер по смягчению возможного отрицательного воздействия данного нарушения.

Инспектор обязан документировать любые утечки ПД, в том числе все относящиеся к утечке ПД факты, последствия такой утечки и принятые корректирующие меры.

В целях реализации указанного требования рекомендовано в разработанном компанией положении о взаимодействии с надзорным органом ЕС прописать алгоритм подачи таких уведомлений

До 2% от мирового годового оборота за последний финансовый год либо до 10 млн евро

Обязательное выполнение требований надзорного органа ЕС в сфере защиты ПД

В соответствии со ст. 58 Регламента надзорный орган обладает следственными, корректирующими, разрешительными и консультативными полномочиями. Операторы обязаны строго соблюдать требования надзорного органа

До 4% от мирового годового оборота за последний финансовый год либо до 20 млн евро

Ключевые рекомендации российскому бизнесу

Для начала российским компаниям нужно определить, распространяется ли на них действие Регламента. Как отмечалось выше, Регламент содержит несколько случаев, когда операторам не нужно, например, назначать представителя в ЕС.

Если Регламент распространяет свое действие на компанию, пора приступать к активной подготовке, так как до вступления Регламента в силу остается меньше года (Регламент вступает в силу в мае 2020 года), а работы предстоит достаточно много.

Во-первых, следует провести аудит существующих в компании процессов сбора и обработки персональных данных и выявить потенциальные риски.

Во-вторых, нужно усовершенствовать процессы сбора персональных данных, назначить определенных Регламентом должностных лиц, а также принять необходимые локальные акты, касающиеся обработки персональных данных, либо доработать существующие локальные акты.

Кроме того, рекомендуется проанализировать текущие договорные взаимоотношения с партнерами, обрабатывающими персональные данные европейских граждан от имени компании (либо от своего имени, но в интересах компании). В договоры предлагается внести положения о разграничении ответственности при обработке персональных данных граждан ЕС, а также установить дополнительные гарантии соблюдения норм Регламента на взаимной основе.

Рейтинг отдачи денег с онлайн казино:
  • Казино ИКС
    Казино ИКС

    1 место, лидер народного рейтинга! Лучшее казино по отзывам игроков. Большие бонусы и моментальный вывод выигрыша на карту.

  • Джой Казино
    Джой Казино

    2 место в рейтинге! Хорошее лицензионное казино с огромными Джекпотами и моментальными выплатами!

  • Казино Чемпион
    Казино Чемпион

    3 место! Одно из самых надежных онлайн казино для россиян. Полностью на русском языке! Бонус за регистрацию и за каждый депозит!

Добавить комментарий
24
августа