Генеральный регламент о защите данных (GDPR) в Аккаунтор

Вам не о чем беспокоиться, когда вы ведете дела вместе с нами или когда Аккаунтор обрабатывает персональные данные

Введение

Генеральный регламент о защите данных является одной из самых обсуждаемых тем в настоящее время, и слухи о нем начинают активно распространяться. Например, существуют претензии, что переносимость данных применима во всех случаях или что персональные данные не могут обрабатываться за пределами Европейского союза (ЕС) или Европейской экономической зоны (ЕЭЗ). Неудивительно, что компании не уверены, как работать внутри компании или с поставщиками услуг.

Вам не о чем беспокоиться, когда вы ведете дела вместе с нами или когда Аккаунтор обрабатывает персональные данные. Пожалуйста, обратите внимание на наши приготовления к соблюдению требований GDPR, и каким образом это повлияет на заинтересованных лиц, таких как корпоративные клиенты, а также их представителей и сотрудников, персонал Аккаунтор или иных физических лиц

Регламент GDPR – О чем он

Генеральный регламент о защите данных (в народе GDPR) – новый закон, введенный Европейским союзом, который распространяется на использование персональных данных. Данный регламент вступил в силу в мае 2018 года.

Цель Регламента GDPR

GDPR – это шаг вперед в обеспечении прозрачности при обработке данных. Действие нового регламента распространяется на любую компанию независимо от ее расположения, в ЕС или за его пределами, обрабатывающую данные граждан ЕС. Данный регламент, главным образом, защищает персональные данные физических лиц, и его цель заключается в том, чтобы предоставить гражданам ЕС возможность контролировать свои персональные данные и изменить подход организаций по всему миру к конфиденциальности данных. Таким образом, GDPR закрепляет большое число существующих и новых прав физических лиц в отношении их персональных данных. Соответственно, это означает усиление прав граждан по контролю за использованием своих персональных данных.

Какие данные являются персональными?

К персональным данным относится любая информация, по которой можно прямо или косвенно идентифицировать физическое лицо. И неважно, относится данная информация лично к физическому лицу или его профессиональной или общественной деятельности.

Примеры персональных данных:

  • имя
  • фотография
  • электронная почта
  • голос или банковские реквизиты

Разные требования к различным заинтересованным лицам

Для организаций, таких как компании, государственные учреждения и объединения GDPR означает увеличение и ужесточение обязательств и требований при обработке персональных данных. Организации должны оценить свою возможность предоставлять данные с соблюдением требований GDPR по формату. Например, может потребоваться разработка функций форматирования для удовлетворения запросов доступа.

Что на практике должны делать организации?

  • Осуществлять более инициативный подход к управлению персональными данными
  • Определять, какие данные обрабатываются в ходе их деятельности
  • Определять, каким образом и где хранятся данные
  • Утвердить правомерно обоснованную политику в отношении способов сбора, управления и уничтожения данных
  • Включить вопросы защиты персональных данных в основу своей коммерческой деятельности
  • Осуществлять защиту персональных данных, находящихся в распоряжении
  • Принимать надлежащие меры защиты с учетом риска, который может возникнуть у физических лиц при обработке их персональных данных и т.д.

Роли Аккаунтор

Аккаунтор исполняет различные роли при обработке персональных данных в зависимости от специфики обработки.

Аккаунтор в роли Поставщика услуг

Процессор данных – организация, осуществляющая обработку персональных данных по поручению другого юридического лица. Будучи поставщиками услуг, как правило, мы обрабатываем персональные данные по поручению наших клиентов в качестве процессора данных, например, при предоставлении

  • услуг по расчету заработной платы
  • бухгалтерских услуг
  • ИТ-услуги внешнего размещения

Мы также предоставляем услуги программного обеспечения для наших клиентов, которые используются для обработки данных, при этом клиенты сами устанавливают программное обеспечение и работают с ним. В таком случае Аккаунтор не является процессором данным, поскольку он не имеет доступа к персональным данным, обрабатываемым таким программным обеспечением.

Относительно обеих ситуаций Аккаунтор не имеет независимых прав в отношении персональных данных, и мы должны следовать инструкциям, согласованным с нашими клиентами. Клиенты уполномочены принимать решения по средствам и целям обработки, и, таким образом, они выступают в роли контролера данных. Следовательно, клиенты несут ответственность за правомерность обработки.

Однако, при предоставлении услуг Аккаунтор является не только процессором, но также и контролером данных. В таком случае мы

  • Управляем нашими отношениями с клиентами и контролируем эти отношения
  • Контролируем оказанные услуги
  • Обрабатываем персональные данные представителей, руководящих работников наших клиентов и иных контактных лиц

Таким образом, мы отвечаем за обработку в качестве контролера данных.

Аккаунтор в роли Работодателя

Мы обрабатываем персональные данные наших сотрудников в трудовых отношениях. При этом Аккаунтор является контролером данных, который несет ответственность за правомерность обработки независимо от того, осуществляется обработка внутри компании или внешним процессором данных. То же самое относится и к временно наемным работникам.

Кроме того, Аккаунтор может приобретать для своих сотрудников тесно связанные с трудовыми отношениями услуги, где обрабатываются персональные данные.

Практический пример такой ситуации:

Аккаунтор может приобретать услуги по здравоохранению на рабочем месте. В связи с этим в отношении обрабатываемых персональных данных Аккаунтор не является ни контролером, ни процессором данных. Компания всего лишь несет затраты в рамках трудовых отношений, но не вправе осуществлять контроль за персональными данными или принимать решения по ним.

Следовательно, поставщик медицинских услуг является контролером данных.  

Как компания Аккаунтор подготовилась к GDPR?

Мы признали и установили на раннем этапе, что GDPR окажет существенное влияние на наши услуги и процессы. Мы разработали мероприятия, чтобы убедиться в выполнении корректных действий и наличии достаточных ресурсов для обеспечения соблюдения GDPR. Поэтому в 2016 году мы запустили в рамках группы проект по GDPR для внедрения установленных требований в нашу повседневную деятельность.

Мы улучшили нашу культуру конфиденциальности, разработав общие принципы комплексной конфиденциальности, начиная от Политики конфиденциальности, утвержденной нашим Советом директоров, а также проекты соответствующих инструкций, руководств и внедрили их в нашу повседневную деятельность. Высшее руководство Аккаунтор четко придерживается всех мероприятий по усилению ответственного делового поведения, включая реализацию GDPR. Каждое наше подразделение отвечает за осуществление защиты персональных данных в своей деятельности, принимая во внимание действующие требования к защите данных и сферу нашей деятельности. Данный процесс также включает в себя документацию, информирование персонала и тренинги, а также изменения процессов и систем в существующих операциях. Будут пересмотрены существующие договоры и внесены требуемые изменения при необходимости. 

Ответственный за защиту данных и иные лица, отвечающие за защиту данных

Мы назначили во всех наших подразделениях и компаниях лицо, отвечающее за защиту данных. Кроме того, мы назначили ответственного за защиту данных на уровне группы, который усилил наши ресурсы по защите данных и соответствующий проект, оказывая поддержку и консультируя подразделения в их деятельности по защите данных. Ответственный за защиту данных

  • Разрабатывает и обеспечивает осуществление защиты данных
  • Информирует и инструктирует руководство об их обязанностях
  • Следит за соблюдением действующего законодательства

Совместно с другими выделенными ресурсами все наши подразделения при необходимости выполняют требования GDPR в связи с реализацией собственных проектов и мероприятий. Нашему исполнительному директору докладывают о ходе выполнения проекта GDPR.

Общие принципы конфиденциальности, документация и внутренние тренинги

Мы разработали общие принципы конфиденциальности в рамках всей группы, начиная от Политики конфиденциальности, и постепенно перешли к разработке подробного руководства и толкований, в частности, по

  • правам физических лиц,
  • оценке воздействия на защиту данных и
  • действующему согласию.

Подразделения могут воспользоваться инструментами и методами группы для обеспечения соблюдения их поставщиками требований GDPR или для проведения оценки воздействия на защиту данных. Шаблоны новых договоров готовы к использованию в продажах и закупках.

Кроме того, мы задокументировали наши операции по обработке данных в различных организациях в соответствии с требованиями. Например, для того чтобы закрыть пробелы между существующими операциями по обработке данных, была подготовлена подробная схема действий для каждого подразделения, а также определены соответствующие требования.

У нас также постоянно проводятся тренинги для соответствующих заинтересованных лиц в каждом подразделении для разъяснения Регламента GDPR и лучшего понимания связанных с ним обязательств. Определенный учебный материал по GDPR был подготовлен для всех сотрудников Аккаунтор в соответствии с их обязанностями.

Реализация GDPR по подразделениям

Однако, у нас в Accountor Group очень разные подразделения и компании. Поскольку каждое подразделение отвечает за свои собственные мероприятия по реализации, то они находятся на разных этапах реализации в зависимости от, помимо прочего, их организационной структуры и зрелости. Например, некоторые подразделения сейчас пересматривают договоры с клиентами, а некоторые еще находятся на стадии планирования. Некоторые подразделения в настоящее время проводят оценку воздействия на защиту данных существующих операций по обработке, в то время как некоторые подразделения все еще определяют свой внутренний процесс для этого.

Несмотря на то, что требуются еще некоторые мероприятия, мы двигаемся высокими темпами. Мы работаем над улучшением нашей политики прозрачности. Наша цель заключается в

  • описании реализации защиты данных в наших Положениях о конфиденциальности и уведомлениях,
  • оформлении документации для обеспечения доступности прозрачной информации по обработке персональных данных как для наших корпоративных клиентов, так и для частных лиц.

Также подразделения ведут работы по совершенствованию систем для внедрения прав физических лиц в каждую систему. Ведется регулярный контроль за выполнением мероприятий, о чем сообщается высшему руководству.

Информационная безопасность

Поскольку попытки несанкционированного доступа ужесточаются, это означает, что необходимо постоянно контролировать нашу систему безопасности для того, чтобы защитить и оградить себя от прогрессирующих угроз. В отношении информационной безопасности осуществляется процесс по усилению наших ресурсов информационной безопасности на уровне группы. Перед началом обработки и при необходимости после нее оцениваются воздействия и риски обработки персональных данных таким образом, чтобы защита данных была встроена и обеспечивалась во всех операциях.

Кроме того, мы планируем включать меры по обеспечению защиты данных в наши продукты и услуги на самых ранних этапах разработки. В настоящее время мы формируем общие принципы управления информационной безопасностью на уровне группы для охвата всех бизнес-операций и подразделений. Также готовится общегрупповой процесс контроля происшествий, для чего проводится тестирование потенциального инструмента.

Проводятся регулярные проверки деятельности по защите данных, и по ней оформляется надлежащая документация. Наша цель, безусловно, заключается в соблюдении требований GDPR

  • во всех указанных операциях в наших системах, процессах и необходимой документации
  • в существующих инструкциях и руководствах
  • своевременно до вступления Регламента в силу в мае 2018 года.

Коммерческие услуги по GDPR

Консультация

MyGDPR

Мы также предоставляем различные услуги нашим клиентам для удовлетворения требований, возникающих вследствие защиты данных и GDPR. Особенно они касаются малых и средних предприятий.

С помощью инструмента Accountor myGDPR мы можем помочь вам обозначить ваш текущий статус в вопросах защиты данных, после чего проконсультировать по необходимым изменениям в ваших процессах, договорах и методах работы, чтобы удовлетворять требованиям GDPR. Accountor myGDPR состоит из службы сопоставления, функционирующей при помощи инструмента, вспомогательного консультационного сервиса по сопоставлению (план соответствия GDPR) и удобного в использовании инструмента Software-as-a-Service (перевод с англ. - программное обеспечение как услуга) для самостоятельного использования для оценки необходимых задач и платформы для документации.

Инструмент Accountor myGDPR оказывает вам поддержку в проведении самостоятельной оценки соблюдения требований GDPR, интерпретирует результаты анализа текущего состояния, определяет приоритетность выявленных задач по соблюдению GDPR и составляет по ним план действий.  Кроме того, данный инструмент позволяет вам оценить и задокументировать соответствие операций и процессов, включая связанную с ними документацию, Регламенту GDPR, а также определить необходимые задачи для повышения вашего соблюдения требований GDPR в тех областях, где выявлены пробелы.

Если Вы хотите получить дополнительную информацию по нашим услугам GDPR, сообщите об этому Вашему контактному лицу в Аккаунтор, и мы свяжемся с Вами.

Контакты

Мы признательны за Ваше обращение к нам. Если у Вас возникли вопросы по защите данных или Регламенту GDPR, пожалуйста, свяжитесь с нами.  Ваш запрос будет направлен соответствующему лицу, и мы свяжемся с Вами в максимально короткие сроки.

По вопросам общего соблюдения и деятельности на уровне группы, пожалуйста, пишите на privacy@accountorgroup.com

По вопросам локальных мероприятий по реализации или статуса реализации, пожалуйста, обращайтесь в наше подразделение или компанию, с которой Вы работаете: pavel.antonov@accountor.ru

По вопросам коммерческих услуг, предоставляемых нами в отношении GDPR, пожалуйста, обращайтесь: timo.sivonen@accountor.ru  or givi.enukidze@accountor.ru

Общие сведения

Мы находимся в процессе формирования позиции надежной, ответственной и этичной компании по отношению к нашим клиентам, партнерам, сотрудникам, руководителям и другим заинтересованным лицам во всех наших действиях. Аккаунтор – профессиональный поставщик услуг, который берет на себя ответственность по соблюдению действующих законодательных норм, а также любых правил и решений, предписанных компетентными органами. По этой причине мы придерживаемся положений о защите данных, принятых на национальном уровне и на уровне ЕС, официальных рекомендаций и руководств, решений, предписанных компетентными органами. Кроме того, все наши процессы и политики опираются на действующее законодательство. Это также относится к обработке персональных данных независимо от способа обработки. 

FAQ

На кого распространяется действие Регламента GDPR?

Действие Регламента GDPR распространяется не только на организации, находящиеся на территории ЕС, но также и на организации, находящиеся за пределами ЕС, если они предлагают товары или услуги субъектам данных ЕС или контролируют их работу. Под его действие попадают все компании, которые обрабатывают и хранят персональные данные субъектов данных, проживающих в ЕС, независимо от местонахождения компании.

В чем заключается разница между процессором данных и контролером данных?

Контролер – это организация, которая определяет цели, условия и средства обработки персональных данных, а процессор – это организация, обрабатывающая персональные данные по поручению контролера.

Общие термины и определения относительно Регламента GDPR?

  • Контролер данных: организация, которая определяет цели, условия и средства обработки персональных данных   
  • Оценка воздействия на защиту данных: инструмент, используемый для выявления и уменьшения рисков конфиденциальности у организаций с помощью анализа обрабатываемых персональных данных и применяемой политики для защиты данных
  • Процессор данных: организация, обрабатывающая персональные данные по поручению контролера
  • Субъект данных: физическое лицо, чьи персональные данные обрабатываются контролером или процессором
  • Нарушение персональных данных: нарушение режима безопасности, ведущее к случайному или несанкционированному доступу, уничтожению, нецелевому использованию и т.д. персональных данных
  • Персональные данные: любая информация, имеющая отношение к физическому лицу, по которой можно прямо или косвенно идентифицировать физическое лицо
  • Обработка: операция, совершаемая с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, использование, запись и т.д.

Когда необходимо выполнять оценку воздействия на защиту данных?

Данная оценка анализирует необходимость и соразмерность обработки данных для управления рисками в отношении субъектов данных и обеспечивает надлежащую защиту их прав.  Регламент GDPR требует проведения данной оценки только для операций по обработке данных с высоким уровнем риска.