Kyiv Outsourcing Forum 2018

1. КАК НЕ ПОЛУЧИТЬ ШТРАФ В 20M EUR
РАЗБИРАЕМ НОВЫЙ ЗАКОН GDPR
VIACHESLAV USTIMENKO

3. Что такое GDPR?
● Новый европейский регламент по защите персональных
данных
● Имеет экстерриториальное действие: под действие
попадают все компании, которые обрабатывают (как
внутри, так и за пределами ЕС) персональные данные
граждан ЕС

4. Персональные данные
Персональные данные — это любая информация, относящаяся к
физическому лицу (субъект данных), по которой прямо или косвенно можно
его определить.
В том числе имя, данные о местоположении, онлайн идентификатор или
один или несколько факторов характерных для физической,
физиологической, генетической, умственной, экономической, культурной
или социальной идентичности этого физического лица (Art. 4 GDPR).

5. Controller / Processor
● DATA CONTROLLER - лицо которое решает чьи данные
будут обрабатываться и как;
● DATA PROCESSOR - лицо которое обрабатывает данные от
именипо поручению контроллера.

6. Controller / Processor
● JOINT CONTROLLER
● DATA SUB-PROCESSOR

8. Ключевые требования ч.1
● Соблюдать права субъекта данных, например:
○ right to be forgotten
○ right to data portability
*особые требования касательно данных детей
● Брать согласие на обработку данных
● Собирать, хранить и использовать только необходимые
данные

9. Ключевые требования ч.2
● Назначить ответственного за защиту персональных
данных
● Уведомлять о случаях нарушения GDPR (контроллера,
регулятора или субъектов данных)
● Строить новые продукты основываясь на требования GDPR
● Соблюдать процедуры передачи данных другим лицам
(процессорам, суб-процессорам)

10. А если не соблюдать?
ШТРАФЫ: достигают 20 миллионов евро или 4% годового
глобального дохода компании
СЕГМЕНТ В2В: контрагенты могут отказаться работать с Вами
СЕГМЕНТ В2С: риск потерять доверие пользователей из ЕС

11. Как узнают о нарушении GDPR?
● Micro, small business - жалоба;
● Medium, large business - проверки местным регулятором.
*могут учитываться нефинансовые показатели, такие как
количество пользователей

12. “Размер ЕС бизнеса” в цифрах

13. Уже GDPR compliant, например:

15. GDPR compliance
● Техническое соответствие
● Юридическое соответствие

17. Задачи для юриста
● Провести аудит, создать data flow и risk register
● Дать рекомендации техническому отделу
● Создать документы “на сайт” и consent forms
● Пересмотреть контракты
● Следить за изменениями, изучать локальные регуляции

18. Must have для контроллера
● Controllers’ data protection policy
● Controllers’ privacy notice
● Contracts with any data processors
● Data Breach Notifications templates

19. Если применимо (Controller)
● Payment Policy (если есть платежи)
● Cookie Policy (если применимо)
● Data Retention Policy (если данные хранятся)
● International data transfers Policy (если передаются)
● Consent Forms & Checkboxes
● Кнопки Delete Account, Restrict Processing Mode (инфа о
пользователя перестает быть общедоступной), Export Personal Data
● etc.

20. Must have для процессора
● Processors’ data protection policy
● Contracts with any data controllers or sub-processors
● Data Breach Notification templates (адресованные в
сторону data subject, контроллера, регулятора)

22. Data Protection Officer
GDPR не устанавливает четкие критерии по обязательному
наличию DPO в компании:
“organization that processes or stores large amounts of
personal data”

23. Fact. Controller / Processor
Если контроллер или процессор не зарегистрированы в зоне
EU, то должен быть назначен официальный и документально
подтвержденный представитель в EU (Art. 27 GDPR)
Варианты для non-EU бизнеса:
● DPO или
● дочерняя компания в EU

25. Случился Security Breach
Вы должны быть уверены, что в течении 72 часов вы
способны выполнить три базовых действия:
● Выявить
● Уведомить
● Расследовать

28. @ODVETNIK
CLIENTS@LAW-BOOT.COM
VIACHESLAV USTIMENKO