DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Внедрение GDPR в аутсорсинговой IT-компании

dpo
Заказчик

Международная компания с офисами в США и СНГ, значительная доля заказов которой приходят из Европейского союза. Многие проекты касаются создания программного обеспечения, которое работает с персональными данными. Разработанное ПО зачастую остается на поддержке и тогда сотрудники компании получают доступ к серверам клиента в ЕС, что в соответствии со ст. 4 GDPR является обработкой. Сама компания ведет активные маркетинговые компании, ориентированных на лиц принимающих решения в европейских компаниях, в том числе email-маркетинг, директ-маркетинг в социальных сетях. Это делает компанию котролером персданных.

dpo
Цели и задачи проекта
  • Снять угрозу потери клиентов из ЕС, которые опасаются передачи персональных данных в Беларусь, Россию и Украину, то есть страны, не обеспечивающий адекватный уровень защиты персональных данных
  • Защитить компанию от риска получить штраф или жалобу за использованию персональных данных без согласия для email-рассылок и прочей деятельности
  • dpo
    Краткое описание проекта

    Ведущий консультант ООО "ДПО" Сергей Воронкевич рекомендовал создать команду проекта по внедрению GDPR из представителей следующих отделов: информационная безопасность, финансы, HR, юридическая служба, software development (разработчки ПО) и quality assurance (тестировщики)

    В течение 4 месяцев были проведены 8 рабочих сессий с участием Сергея Воронкевича. На этих сессиях сотрудники компании выбрали для реализации 38 из 139 мероприятий Nymity Privacy Management Accountability Framework, ранжировали их по приоритетности, распределили задачи и ответственных за их реализацию. Приступая к каждому новому мероприятию Сергей разъяснял каким образом его реализовывать, какие документы будут служить доказательством реализации. Также он предоставлял необходимые инструменты и шаблоны.

    dpo
    Результаты проекта
  • Определены лица, ответственные за приватность данных, управление отчетностью и управление процедурами отчетности, а также закреплена ответственность за защиту персональных данных по всей организации;
  • Проведена оценка риска защиты персональных данных на предприятии;
  • Сотрудники были ознакомлены с политиками защиты персональных данных и обязаны их выполнять
    Проведена инвентаризацию местоположения ключевых хранилищ персональных данных или потоков персональных данных с определенными типами персональных данных, а также инвентаризация массивов персональных данных (какие персональные данные хранятся и где). Данные внесены в Реестр обработок согласно ст. 30 GDPR;
  • С большинством контрагентов была оформлена трансграничная передачи персональных данных и использованы контракты SCC в качестве механизма передачи данных;
  • Разработана внутренняя инструкция защиты персональных данных;
  • Задокументировано законные основания для обработки персональных данных по ст.6 GDPR;
    Разработаны и созданы политики приватности на сайтах компании;
  • В практики прямого маркетинга включены действия по защите персональных данных;
  • Разработаны и внедрены правила и процедуры Bring Your Own Device (BYOD);
  • Проведено обучение защите персональных данных;
  • Защита персональных данных включена в политику информационной безопасности;
  • Внедрены меры по шифрованию персональных данных;
    Внедрены процедуры ограничения доступа к персональным данным (например, ролевой доступ, разделение обязанностей);
  • Применены процедуры due diligence в части приватности данных и безопасности к потенциальных поставщикам и суб-процессорами;
  • Консультант

    Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
    Основатель DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016, а в 2020 получил звания IAPP Fellow of Information Privacy (FIP). Спустя год Сергей получил сертификацию CIPT (Certified Information Privacy Technologist).

    Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов. 

    в LinkedIn

    Рекомендуемые услуги

    Главная
    Программа внедрения GDPR Roadmap+
    Обучение и менеджерское сопровождение рабочей группы по внедрению GDPR.
    Расписание курсов загружается, подожди несколько секунд