GDPR - сертификация в области защиты персональных данных

Обеспечение баланса между получением представления о клиенте и уважением его права на частную жизнь всегда было довольно затруднительным. В настоящее время законодательство о защите персональных данных, принятое в 1990-х годах, активно обновляется в целях обеспечения соответствия современным реалиям. Ужесточение законодательства вынуждает организации внедрять строгие процедуры управления персональными данными, соответствующие наивысшим стандартам. В современных условиях использования облачных серверов и услуг аутсорсинга чрезвычайно важно удостовериться, что конфиденциальные данные обрабатываются надлежащим образом.

Чем больше компании инвестируют в перевод в цифровую форму своих продуктов, услуг и деятельности, тем большее доверие клиенты окажут тем из них, кто ответственно подходит к вопросам защиты персональных данных. Сертификация дает возможность подтвердить, что вы ответственно подходите к управлению персональными данными, а также демонстрирует сотрудникам, заинтересованным сторонам и клиентам, что вы уважаете их право на частную жизнь и серьезно относитесь к вопросам защиты персональных данных.

Общий регламент Европейского союза по защите данных (EU GDPR)¹ усиливает контроль за компаниями независимо от их местоположения, обрабатывающими персональные данные граждан ЕС, а надзорные органы государств-членов ЕС могут накладывать штрафы до 4% от годового дохода (или до €20 млн., в зависимости от того, какой размер штрафа выше) за существенные несоответствия. Регламент уже вступил в силу, поэтому данный вопрос представляет особую важность для многих компаний в ЕС и за его пределами.Bureau Veritas обратился к своему 30-летнему опыту сертификации систем менеджмента и привлек специалистов из области права, чтобы разработать технический стандарт, позволяющий компаниям привести свою систему менеджмента в соответствие с требованиями GDPR², а также пройти добровольную сертификацию и подтвердить соответствие регламенту.

Технический стандарт разработан таким образом, что может быть интегрирован с существующими системами управления качеством, экологией, информационной безопасностью, основанными на стандартах ISO. Это позволит упростить его внедрение, поддержание, а также проведение аудитов и мониторинга.

Для кого предназначена сертификация в области защиты персональных данных?

Требования GDPR к обработке персональных данных распространяются на организации с численностью сотрудников 250 и выше. Однако все организации, обрабатывающие персональные данные физических лиц, постоянно проживающих в ЕС с целью осуществления профессиональной или коммерческой деятельности, считаются «контролерами персональных данных» или «обработчиками персональных данных» (могут обрабатывать данные от имени контролеров) и подпадают под действие регламента. Обработка любых³ персональных данных, касающихся граждан ЕС — субъектов персональных данных, относится к области действия регламента, независимо от того, где создана или зарегистрирована организация или на какой бирже размещаются ее акции.

Подход к регулированию, основанный на жизненном цикле данных, означает, что защита персональных данных касается не только департаментов ИТ и маркетинга, но требует комплексного подхода всей организации.

Что дает сертификация процедур по защите персональных данных?

• Подтверждение того, что организация внедрила требования регламента EU GDPR в целях предотвращения ненадлежащего использования, непреднамеренного разглашения или утраты конфиденциальных данных;
• Улучшение репутации организации и минимизация финансовых и репутационных рисков, связанных с нарушением безопасности персональных данных;
• Укрепление доверия заинтересованных сторон, сотрудников и клиентов благодаря использованию лучших процедур по защите их персональных данных;
• В случае нарушения безопасности персональных данных наличие сертификата подтверждает принятие мер надлежащей осмотрительности и позволит своевременно уведомить соответствующие надзорные органы (GDPR определяет «Орган надзора» для каждого государства-члена ЕС) и, при необходимости, лица, чьи персональные данные были скомпрометированы, а также снизить размер возможных штрафов.

Как пройти сертификацию в области защиты персональных данных?

Процесс сертификации по GDPR состоит из следующих этапов:

• Определение области сертификации.
• Сертификационный аудит, в ходе которого оценивается внедрение технического стандарта, включая результативность процедур.
• Выпуск сертификата со сроком действия три года, в случае успешного прохождения сертификации.
• Надзорные аудиты для верификации соответствия процедур требованиям стандарта и контроля постоянного улучшения;
• Ресертификационный аудит через три года для подтверждения постоянного соответствия требованиям Регламента GDPR и результативности процедур в целом.

Преимущества Bureau Veritas Certification

Инновационный подход — Bureau Veritas Certification является первым сертификационным органом, начавшим работу над вопросами защиты персональных данных и разработавшим собственный технический стандарт в данной области.

Международная сеть — Bureau Veritas Certification располагает штатом из 6500 квалифицированных аудиторов в более 100 странах, поэтому мы можем предложить уникальное сочетание опыта работы на международном рынке и знаний местных реалий, что позволяет предоставлять вам единый формат услуг в любой точке мира.

Опыт — Наши аудиторы обладают большим опытом работы в различных отраслях промышленности, знанием локальных нормативов, рынка и языка, что позволяет предлагать решения, отвечающие вашим потребностям.

Компетентность — Bureau Veritas Certification имеет признание со стороны более 70 национальных и международных аккредитационных органов по всему миру.

Всемирное признание — Марка Bureau Veritas Certification является признанным символом постоянного стремления к совершенству, устойчивому развитию и надежности.

Опытные преподаватели — Наши курсы обучения проводятся ведущими аудиторами, обладающими большим опытом работы в различных отраслях промышленности и прошедшие курсы по межличностному общению, межкультурным вопросам и специальным приемам и тактикам обучения взрослых.

¹ Регламент (ЕС) 2016/679
² Согласно ст. 42 GDPR
³ С некоторыми исключениями для государственных органов, обрабатывающих данные, в целях обеспечения общественной безопасности или предотвращения, расследования, выявления преступлений или осуществления уголовного преследования.