Влияние GDPR на казахстанский бизнес
С 25 мая 2018 г. в Европейском союзе вступил в силу Общий регламент о защите данных (General Data Protection Regulation, GDPR). Сфера действия новых правил GDPR распространяется на все 28 стран ЕС. А также, GDPR имеет экстерриториальный принцип, согласно которому все компании, обрабатывающие, персональные данные граждан европейских стран, обязаны соблюдать требования этого документа. Мы рекомендуем казахстанским компаниям внимательно отнестись к новым правилам, если услуги ориентированы на европейский или международный рынок и приступить к приведению процессов обработки персональных данных граждан ЕС в соответствие как можно скорее. Штрафы за нарушение GDPR достигают 20 миллионов евро или 4% годового глобального дохода компании (в зависимости от того, что больше). Стоит учитывать, что объем работ в зависимости от бизнес-процессов компании может оказаться весьма существенным.
Обязана ли ваша компания соблюдать требования GDPR?
Вы можете пройти короткий тест, чтобы определить обязана ли ваша компания соблюдать требования GDPR EU, а также узнать подробнее о том, что необходимо предпринять компаниям для обеспечения соответствия требованиям.
Требования GDPR и последствия их несоблюдения.
Общий регламент о персональных данных (General Data Protection Regulation, GDPR) вносит ряд существенных изменений в правила, регулирующие защиту персональных данных, включая некоторые обязанности:
- учитывать правила защиты персональных данных на этапе планирования (например, ИТ-решений);
- документировать процессы обработки персональных данных;
- проводить оценку рисков, связанных с обеспечением неприкосновенности частной жизни;
- уведомлять надзорные органы в области защиты персональных данных об инцидентах, связанных с обеспечением безопасности персональных данных в течение 72 часов после обнаружения такого инцидента;
- предоставлять бесплатно электронную копию персональных данных другой компании по требованию самого субъекта персональных данных;
- соблюдать требования в отношении формы получения согласия на обработку данных.
Несоблюдение требований нового регламента GDPR может привести к наложению надзорным органом в области защиты персональных данных штрафа в размере до 20 млн евро или до 4 % от годового оборота компании.
Не стоит забывать, что законодательство Республики Казахстан также предусматривает административную и уголовную ответственность за несоблюдение требований Закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите». Так, несоблюдение 
мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, наказывается от наложения штрафа в размере до 3000 МРП до лишения свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. А также, незаконные сбор и (или) обработка персональных данных, если эти деяния не содержат признаков уголовно наказуемого деяния, влекут штраф от 10 до 70 МРП, а несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, если это деяние не содержит признаков уголовно наказуемого деяния, влечет штраф от 50 до 250 МРП.
Пять важнейших факторов успеха
GDPR значительно расширяет права европейских граждан и резидентов по контролю за их персональными данными. Европейские пользователи имеют право запрашивать подтверждение факта обработки их данных, место и цель обработки, категории обрабатываемых персональных данных, каким третьим лицам персональные данные раскрываются, период, в течение которого данные будут обрабатываться, а также уточнять источник получения организацией персональных данных и требовать их исправления. Более того, пользователь имеет право требовать прекращения обработки своих данных.
Как компаниям построить эффективный процесс управления этими запросами, чтобы не быть застигнутыми врасплох? На первый взгляд это может показаться проблематичным, однако мы обращаем ваше внимание на пять важнейших факторов, которые сделают этот процесс проще.
Как PwC может помочь?
Фирма PwC разработала ряд услуг, которые помогут нашим клиентам в решении широкого спектра их потребностей в области GDPR:
Определение применимости требований и области их применения: анализ существующих бизнес-процессов компании и потоков данных. Выявление обработки персональных данных лиц, находящихся в ЕС, анализ применяемых для обработки персональных данных технологий. Определение области применения GDPR.
Оценка несоответствий требованиям: Выявляение процессов и систем требующих изменения для соответствия к GDPR. Определение потенциальных рисков, связанных с GDPR. Анализ рисков и определение их приоритетности. Разрабатка рекомендаций по приведению деятельности Компании в соответствие с требованиями GDPR.
Планирование мероприятий по приведению в соответствие: Создание плана действий, необходимых для приведения процессов в соответствие с требованиями GDPR. Определение необходимых ресурсов для проведения трансформации, ответственных за трансформацию лиц, а так же осуществление приоритизации выполнения задач и согласование сроков выполнения.
Реализация мероприятий по приведению в соответствие: проектирование и реализация внедрения организационных мер, необходимых для соответствия GDPR.
Оказание консультационной поддержки при самостоятельном приведении в соответствие.
Поддержка: консультационная поддержка в ходе эксплуатации внедренных процессов обработки и защиты персональных данных. Проведение регулярных повторных оценок соответствия требваниям GDPR с заранее определенной периодичностью и комплексностью.
Проведение tailored-тренингов, адаптированных под требования вашей компании
Подробнее...
Контакты
Contact us
Елена Рыжкова
Директор,руководитель юридической практики, PwC Kazakhstan
Тел: +7 (727) 330 3200<br>+7 (701) 991 1421
Асель Казбекова
Старший Менеджер, Юридические услуги, PwC Kazakhstan
Тел: +7 (727) 330 3200<br>+7 (702) 383 0913
Нурсултан Уткельбаев
Старший Консультант, Юридические услуги, PwC Kazakhstan
Тел: +7 (727) 330 3200<br>+7 (775) 607 5820
