GDPR охоплює не тільки правову сферу діяльності організації і питання дотримання вимог, але також відноситься до підрозділів, що відповідають за інформаційну безпеку компанії.
Вимоги GDPR приведуть до зміни підходів з розробки та управління технологіями. Для розгортання нових систем і технологій буде вимагатися документування оцінки ризиків конфіденційності.
Випадки порушення системи безпеки повинні будуть доводитись до відома регулюючих органів протягом 72 годин. Це означає необхідність впровадження нових або вдосконалених процедур реагування на інциденти, що сприятиме захисту персональних даних.
Банк Innovasjon Norge отримав 95 500 USD штрафу за перевірку кредитоспроможності без договірних підстав. Банк аналізував фінансові дані без згоди власників.
Vodafone España заплатила 100 000 USD штрафу. Компанія не вжила заходів, щоб уникнути дзвінків на номери зі списку клієнтів, які відмовилися від реклами.
Proximus SA отримала 50 000 USD штрафу. У компанії не було механізму для запобігання конфлікту інтересів Data Protection Officer, який займав й інші посади (керівник відділу комплаєнсу та аудиту).
Google заплатила штраф — 7 000 000 USD. Корпорація не видалила особисту інформацію з результатів пошуку на вимогу користувачів.
Twitter заплатила 450 000 USD за несвоєчасне повідомлення про витік: деякі закриті твіти могли відображатися у відкритому доступі.
1 ЕТАП
Ми допоможемо ідентифікувати всі процеси, необхідні для відповідності вимогам Загального Регламенту (GDPR) та надаємо методичну допомогу в організації даних процесів. Також підкажемо та розробимо необхідну документацію відповідно до специфіки Вашої компанії.
2 ЕТАП
За допомогою тренінгів, побудованих на підставі специфіки замовника, а також аудитів третьою стороною, які забезпечують більш надійну валідацію ніж самооцінка, надамо професійну допомогу в підтримці всіх процесів компанії, відповідності вимогам Загального Регламенту (GDPR) на належному рівні.
РЕЗУЛЬТАТ
За результатами проведеного аудиту буде побудована чітка карта руху персональних даних в компанії, а також розуміння того, які персональні дані компанія використовує для власних цілей або від імені контролера. Крім того, аудит дає чітку відповідь на те, що компанія повинна зробити і які вжити заходи, щоб не порушувати вимоги законодавства ЄС про захист персональних даних.
Отримуємо згоду на обробку персональних даних клієнтів, співробітників і партнерів.
Описуємо заходи безпеки, які впровадила компанія.
Визначаємо алгоритм дій у разі витоку даних і процедуру інформування регулятора.
Розкриваємо де зберігатиметься інформація і як довго.
Визначаємо ролі: контролер або процесор, і типи функціональних обов'язків.
Пояснюємо співробітникам, які беруть участь в обробці персональних даних, рівень їх відповідальності.
Проходимо первинний аудит на рівень відповідності вимогам GDPR від замовників з ЄС.
Визначаємо умови передачі особистої інформації в інші країни.
Отримуємо дозвіл збирати і зберігати інформацію про поведінку користувачів IT-продуктів для маркетингових цілей.