GDPR – впровадження вимог та аудит
Система управління інформаційною безпекою
Реалізація вимог Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради щодо захисту осіб щодо обробки персональних даних та вільного переміщення таких даних.
Хто має впроваджувати Політику безпеки персональних даних відповідно до вимог GDPR?
Будь-яка організація, яка обробляє персональні дані!
Персональні дані слід розуміти як (цитата з Регламенту 2016/679:
« персональні дані » означає інформацію, що стосується ідентифікованої або можливої ідентифікації фізичної особи («суб’єкт даних»); фізична особа, яку можна ідентифікувати, — це особа, яку можна прямо чи опосередковано ідентифікувати, зокрема, на основі ідентифікатора, такого як ім’я та прізвище, ідентифікаційний номер, дані про місцезнаходження, Інтернет-ідентифікатор або один чи більше конкретних факторів, що визначають фізичну, фізіологічну, генетичну, розумову, економічну, культурну чи соціальну ідентичність фізичної особи;
« Обробка » означає операцію або набір операцій, що виконуються з персональними даними або наборами персональних даних автоматизованим або неавтоматизованим способом, наприклад збір, запис, систематизація, упорядкування, зберігання, адаптація або зміна, завантаження, перегляд, використання , розголошення шляхом надсилання, розповсюдження або інших видів спільного використання, зіставлення чи об’єднання, обмеження, видалення чи знищення.
Як реалізувати вимоги GDPR?
Політика безпеки персональних даних має бути реалізована відповідно до вимог GDPR 2016/679!
Наш Інститут гарантує успішне проходження сертифікаційного аудиту в Польщі!
Скільки коштує впровадження GDPR?
Впровадження Політики безпеки персональних даних відповідно до GDPR 2016/679 коштує подібно до впровадження системи управління інформаційною безпекою ISO / IEC 27001.
Загальні витрати на впровадження GDPR включають: вартість впровадження Політики безпеки персональних даних та витрати на адаптацію інфраструктури обробки персональних даних.
Переваги впровадження GDPR:
Уникнення високих фінансових штрафів, які будуть накладені на адміністраторів!
Цитування після положення:
- Відповідно до абз. 2 адміністративний штраф у розмірі до 10 000 000 євро, а у випадку підприємства – до 2% його загального річного світового обороту за попередній фінансовий рік, з більшим із:
- a) зобов’язання контролера та процесора, зазначені у ст. 8, 11, 25-39, а також 42 і 43;
- b) зобов’язання органу сертифікації, зазначені у ст. 42 і 43;
- (c) обов’язки спостерігача відповідно до ст. 41 сек. 4;
- Відповідно до абз. 2 адміністративний штраф у розмірі до 20 000 000 євро , а у випадку підприємства – до 4% його загального річного обороту в усьому світі за попередній фінансовий рік, з більшим із:
- a) основні принципи обробки, включаючи умови згоди, умови, зазначені в ст. 5, 6, 7 і 9;
- b) права суб’єктів даних, зазначені у ст. 12-22;
- c) передача персональних даних одержувачу в третій країні або міжнародній організації, як зазначено в ст. 44–49;
- (d) будь-які зобов’язання відповідно до законодавства держави-члена, прийнятого відповідно до Розділу IX;
- e) невиконання наказу, тимчасове або остаточне обмеження обробки або призупинення потоків даних наглядовим органом відповідно до ст. 58 сек. 2 або ненадання доступу в порушення ст. 58 сек. 1.
- Невиконання припису контролюючого органу відповідно до ст. 58 сек. 2 підпадає під дію абз. 2 цієї статті , адміністративний штраф у розмірі до 20 000 000 євро , а у випадку підприємства – до 4% від його загального річного світового обороту за попередній фінансовий рік, залежно від того, яка сума є більшою.
- Стаття 50. 1. Публічні установи, зазначені у ст. 9 пунктів 8-14 Закону про державні фінанси від 27 серпня 2009 р. (Законодавчий вісник 2016 р., позиція 1870, зі змінами) , Президент Офісу може накласти рішенням адміністративні штрафи в розмірі до 100 000 злотих .