10 факторов риска для персональных данных, из-за которых до вашего продукта дотянется рука надзорного органа. Этого не расскажут инхаус-юристы.
- Компания не информирует должным образом пользователей про существование обработки их данных или про ее цель, или про получателей данных, срок обработки и другие характеристики, обязательные к указанию в соответствии с Регламентом.
- Компания не имеет обоснованного и конкретного расписания удаления или анонимизации собранных данных.
- Компания не уведомляет пользователей о том, что система автоматически принимает важные решения, касающиеся пользователей, основываясь на их персональных данных.
- Компания не имеет достаточно правовых оснований обработки.
- Компания-контролер (заказчик обработки) не контролирует процессы обработки, которые осуществляют его со-контролеры или процессоры.
Возможно, некоторые из вышеперечисленных типичных нарушений Регламента уже вам знакомы на собственных кейсах, а мы перечислили лишь самые распространенные. Хватит допускать типичные ошибки по GDPR и игнорировать риски, пока это не привело к миллионным штрафам - регистрируйтесь на вебинар!
Программа вебинара
Присоединившись к трансляции, вы узнаете о 10 факторах риска по GDPR, актуальных для рынка СНГ, а также пути, как избежать нарушений.
- Какие угрозы несёт автоматизированное принятие решений (automated decision making)?
- Как описать трансграничную передачу данных?
- Что такое профилирование данных?
- Как избежать сбора “кладбища данных”?
- Какие данные относятся к чувствительным и что делать с ними?
Для кого подойдет вебинар?
Вебинар подойдет для менеджеров и специалистов, вовлеченных в процесс создания IT-продуктов:
- Проектные менеджеры
- Продуктовые менеджеры
- Риск-менеджеры
- Бизнес-аналитики
Спикер
Сергей Воронкевич - основатель DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016, а в 2020 году получил звания IAPP Fellow of Information Privacy (FIP).
Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов.
Штрафы
За 2020 год надзорные органы Евросоюза вынесли 158,5 миллионов евро штрафов за нарушение правил защиты персональных данных. Это на 39% больше, чем за предыдущие 20 месяцев с момента вступления Общего Регламента по защите персональных данных (GDPR) в силу.
Совсем недавно социальная сеть для знакомств Grindr получила штраф в размере 10 миллионов евро за неправильно оформленный механизм передачи данных третьим лицам. А наделавший много шума в последнее время ClubHouse уже привлек внимание Надзорного органа земли Гамбург. Приложение вызвало у немецких чиновников много вопросов о конфиденциальности пользователей и третьих лиц.
Нарушения, которые допустили Grindr и ClubHouse, вовсе не являются уникальными - ошибки в оформлении трансграничной передачи данных и privacy policy встречаются сплошь и рядом. Но почему эти компании не сделали всё, как положено, сразу? Ответ прост: ни Grindr, ни ClubHouse на этапе разработки своих продуктов не учли риски, которые несет для проектов несоответствие GDPR.
На какие компании распространяется GDPR?
Несмотря на то, что GDPR относится к европейскому законодательству, он имеет экстерриториальное действие, то есть применяется и в отношении субъектов, находящихся за пределами Евросоюза.
Сомневаетесь, касается ли это вашей компании? Ответьте на три простых вопроса, чтобы узнать, распространяются ли требования Общего Регламента по защите персональных данных на вашу компанию:
Вопрос 1. Есть ли у вашей компании организационные единицы на территории ЕС?
Вопрос 2. Ваша компания предлагает товары и услуги, а также обрабатывает данные субъектов, находящихся в ЕС?
Вопрос 3. Связана ли обработка с мониторингом поведения физических лиц, которые находятся на территории ЕС (например, с помощью Google-analytics)?
Если хотя бы на один из вопросов в отношении вашей компании вы ответили утвердительно, с вероятностью в 99% компания должна соответствовать стандартам GDPR и самое время задуматься о рисках несоответствия этому стандарту.