Услуги по соответствию GDPR

Gofaizen & Sherle оказывает своим клиентам следующие услуги для обеспечения соответствия требованиям GDPR.

Иногда субъектам необходимо собирать определённые персональные данные для оказания услуг — например, через приложение или сайт. Политика конфиденциальности — это документ, в котором изложены необходимые условия их сбора и использования. Можно сказать, что политика конфиденциальности — это инструмент легализации процессов, связанных с персональными данными, поскольку сбор и использование персональных данных без надлежащего согласия строго запрещены. Политики конфиденциальности предоставляются в видимой форме, поскольку необходимые согласия должны быть получены от субъекта данных немедленно.

Политика конфиденциальности должна включать сведения о том, как субъект собирает информацию, защищает ли её и передаёт ли третьим лицам. Содержание политики зависит от географического региона расположения и работы. В разных странах действуют разные законы и юрисдикции. Поэтому компания должна их соблюдать, чтобы избежать проблем с государством и его законодательными принципами, согласно которым организация может или не может запрашивать данные и использовать их.

Мы поможем вам подготовить такой документ в соответствии с законом и требованиями конкретной страны. Благодаря этому вы будете собирать необходимые данные безопасно и законно.

Субъекты собирают информацию для бесперебойной работы своих сервисов на сайтах, и эта информация обычно собирается в зависимости от поведения пользователя. Она передаётся сайтом и хранится в небольшом файле локально. Эти данные обычно связаны с предпочтениями пользователя и не относятся непосредственно к его персональным характеристикам. После сохранения данных веб-браузер хранит и обрабатывает полученную информацию. Пользователь может легко найти эти файлы и удалить их при необходимости. Кроме того, большинство сайтов спрашивают у посетителя разрешение на их использование.

Большинство сайтов используют следующие типы cookies:

• постоянные и сессионные cookies (первый тип используется регулярно до истечения срока или удаления пользователем, а второй прекращает работу сразу после окончания сессии);
• first-party и third-party cookies (другими словами, их может использовать либо владелец посещаемого сайта, либо третья сторона). Однако, как и сами типы cookies, они имеют разные цели и связанные с ними обязанности:
  1. строго необходимые cookies всегда используются сайтами, обычно нужны для их работы, и их владельцам не требуется ваше разрешение, а только уведомление об использовании (например, сохранение товаров в корзине от прошлого посещения при онлайн-покупке);
  2. cookies предпочтений делают навигацию по сайту удобнее, поскольку сайт может запоминать ваши ранее выбранные или использованные предпочтения — например, выбор геолокации, предпочитаемый язык, ночной режим и т. д.;
  3. статистические cookies помогают сайту собирать конкретные сведения о вас и о том, с чем вы взаимодействовали или чем интересуетесь. Поскольку они анонимизированы, особо беспокоиться о приватности не стоит;
  4. маркетинговые cookies предназначены для компаний, которые хотят продвигать свои услуги и товары на других сайтах и привлекать посетителей на свои страницы.

В большинстве случаев посетители могут отказаться от любых cookies, кроме строго необходимых. В противном случае их использование незаконно. Мы поможем вам подготовить политики cookies, соответствующие закону и обоснованным ожиданиям приватности каждого посетителя и организации.

Существуют разные оценки для разных целей и задач. Когда речь идёт о приватности, организация может оценить риски, которым она подвержена, просто проведя Data Protection Impact Assessment (DPIA) или Privacy Impact Assessment (PIA).

DPIA — необходимый и важный инструмент оценки новых продуктов и систем перед их внедрением в бизнес-структуру. Эту оценку также можно проводить в любой момент при подозрении на высокий риск для персональных данных субъекта в связи с изменениями в сервисе или дополнениями к существующему сервису. Этот тип оценки рассматривается как краеугольный камень системы приватности, поскольку помогает понять риски, связанные с внутренними и внешними процессами, выявить их источники и помочь в поиске необходимых мер защиты.

PIA, в свою очередь, необходима для понимания рисков, связанных со сбором персональных данных, и обычно проводится для выявления, документирования и устранения рисков для приватности человека. С помощью PIA компания гарантирует законность сбора данных, оценивает риски безопасности данных, минимизирует возможные угрозы данным людей.

Все оценки помогают понять:

• какую информацию собирает компания;
• зачем компании это нужно;
• как компания будет её использовать;
• с кем эти данные могут быть переданы;
• как компания защищает персональные данные;
• есть ли система ведения учёта и какая она;
• как люди соглашаются или отказываются предоставлять компании право использовать их информацию.

С помощью этих оценок компания гарантирует применение шести принципов и обещает нести ответственность за полученные данные, использовать их только при необходимости, обеспечивать их безопасность и гарантировать честные и прозрачные отношения с клиентами.

Компания должна составлять соглашения, разъясняющие, как информация собирается и обрабатывается компанией и связанными третьими сторонами. Они заключаются между организациями для чёткого определения ролей участвующих третьих сторон и описания предлагаемых услуг. Форма и содержание соглашения зависят от отношений между этими организациями и от того, являются ли они контролёром, совместным контролёром или обработчиком.

Соблюдение GDPR невозможно без корректно составленного DPA. Gofaizen & Sherle оказывает эту услугу, чтобы гарантировать законное взаимодействие между поставщиками услуг и их партнёрами. Это поможет клиентам понимать, как их данные собираются, хранятся и используются.

Как убедиться, что выбранные компании законно собирают и используют данные без нарушений? Именно для этого нужен GDPR-аудит. GDPR-аудит должен проводить специалист, знающий все нормы, действующие в конкретном государстве или регионе. Соответственно, если в компании нет такого специалиста, мы можем выступить аудиторской компанией. Аудит обязателен для компаний, которые хотят:

• изменить свой сервис;
• добавить новые функции и услуги;
• выйти на новые рынки;
• стать партнёрами компаний, чьи данные они будут использовать или с кем они будут обмениваться данными;
• объединить компании;
• регулярно проверять процессы, связанные с данными.

Аудит может потребовать нескольких этапов для соответствия международным стандартам и правилам и достижения нужных результатов.