Внедрение GDPR в аутсорсинговой IT-компании

Customer
Заказчик

Международная компания с офисами в США и СНГ, значительная доля заказов которой приходят из Европейского союза. Многие проекты касаются создания программного обеспечения, которое работает с персональными данными. Разработанное ПО зачастую остается на поддержке и тогда сотрудники компании получают доступ к серверам клиента в ЕС, что в соответствии со ст. 4 GDPR является обработкой. Сама компания ведет активные маркетинговые компании, ориентированных на лиц принимающих решения в европейских компаниях, в том числе email-маркетинг, директ-маркетинг в социальных сетях. Это делает компанию котролером персданных.

Goals and objectives of the project
Цели и задачи проекта
  • Снять угрозу потери клиентов из ЕС, которые опасаются передачи персональных данных в Беларусь, Россию и Украину, то есть страны, не обеспечивающий адекватный уровень защиты персональных данных
  • Защитить компанию от риска получить штраф или жалобу за использованию персональных данных без согласия для email-рассылок и прочей деятельности
  • Brief description of the project
    Краткое описание проекта

    Ведущий консультант ООО "ДПО" Сергей Воронкевич рекомендовал создать команду проекта по внедрению GDPR из представителей следующих отделов: информационная безопасность, финансы, HR, юридическая служба, software development (разработчки ПО) и quality assurance (тестировщики)

    В течение 4 месяцев были проведены 8 рабочих сессий с участием Сергея Воронкевича. На этих сессиях сотрудники компании выбрали для реализации 38 из 139 мероприятий Nymity Privacy Management Accountability Framework, ранжировали их по приоритетности, распределили задачи и ответственных за их реализацию. Приступая к каждому новому мероприятию Сергей разъяснял каким образом его реализовывать, какие документы будут служить доказательством реализации. Также он предоставлял необходимые инструменты и шаблоны.

    Results of the project
    Результаты проекта
  • Определены лица, ответственные за приватность данных, управление отчетностью и управление процедурами отчетности, а также закреплена ответственность за защиту персональных данных по всей организации;
  • Проведена оценка риска защиты персональных данных на предприятии;
  • Сотрудники были ознакомлены с политиками защиты персональных данных и обязаны их выполнять
    Проведена инвентаризацию местоположения ключевых хранилищ персональных данных или потоков персональных данных с определенными типами персональных данных, а также инвентаризация массивов персональных данных (какие персональные данные хранятся и где). Данные внесены в Реестр обработок согласно ст. 30 GDPR;
  • С большинством контрагентов была оформлена трансграничная передачи персональных данных и использованы контракты SCC в качестве механизма передачи данных;
  • Разработана внутренняя инструкция защиты персональных данных;
  • Задокументировано законные основания для обработки персональных данных по ст.6 GDPR;
    Разработаны и созданы политики приватности на сайтах компании;
  • В практики прямого маркетинга включены действия по защите персональных данных;
  • Разработаны и внедрены правила и процедуры Bring Your Own Device (BYOD);
  • Проведено обучение защите персональных данных;
  • Защита персональных данных включена в политику информационной безопасности;
  • Внедрены меры по шифрованию персональных данных;
    Внедрены процедуры ограничения доступа к персональным данным (например, ролевой доступ, разделение обязанностей);
  • Применены процедуры due diligence в части приватности данных и безопасности к потенциальных поставщикам и суб-процессорами;
  • Консультант

    Сертифицированный консультант no GDPR и директор DPO LLC Сергей Воронкевич CIPP/E, CIPM, MBA
    Сергей Воронкевич CIPP/E, CIPM, MBA
    Сертифицированный профессионал в области информационной приватности. Европа CIPP/E MBA IGC Bremen University of Applied Sciences Сертифицированный менеджер в области информационной приватности CIPM
    Сооснователь и директор DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016
    Сооснователь и директор DPO LLC. Тренер и ведущий консультант
    Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016

    Сергей дал сотни консультаций по вопросам GDPR бизнесам по всему миру. Помог привести в соответствие с GDPR более 50 компаний и продуктов.

    в LinkedIn

    Рекомендуемые услуги

    Обучение
    Обучение
    Экспресс-курс по GDPR от сертифицированных в ЕС профессионалов в области информационной приватности.
    Внедрение GDPR
    Программа внедрения GDPR Roadmap+
    Обучение и менеджерское сопровождение рабочей группы по внедрению GDPR.