Аутсорс Data Protection Officer

1. Тратите массу времени и не можете отличить важное от второстепенного?
2. На принятие любого решения тратите много сил и времени?
3. Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
4. Что-то делаете по GDPR, но не знаете, правильно ли?
5. Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
6. Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?
7. Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?
8. Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?
9. Действуете вслепую из-за отсутствия опыта?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

1. Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.
2. Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

Доверьте сертифицированным профессионалам обязанности DPO, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Заказать

Хорошо иметь компетентного DPO в штате, поскольку он:

1. Хорошо знает процессы внутри организации.
2. Легко доступен.
3. Информация и знания остаются внутри организации.

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Поэтому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.

При этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.

Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

Какие преимущества в итоге получит компания?

1. Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
2. Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
3. Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
4. Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
5. Внешний DPO свободен от возможного конфликта интересов и объективен.
6. Каждая минута времени специалиста на аутсорсинге расходуется максимально эффективно на 20% задач, обеспечивающих 80% результатов.
7. Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию:

1. 1. Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO обладают международными сертификатами CIPP/E (Certified Information Privacy Professional/ Europe) и CIPM (Certified Information Privacy Manager).
   2. Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
   3. Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду. Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
   4. Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.
   5. Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.
   6. Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
   7. Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

И главное: наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR, и для которого это “еще одна головная боль”.

Заказать

Регламент предписывает иметь DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту - на постоянной основе.

Мы заключаем контракты по аутсорсингу данной роли на 1 или 2 года. И продлеваем их, по необходимости.

Такой длительный срок необходим, поскольку наши DPO обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.

В дальнейшем, DPO потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.

Этапы работы нашего DPO outsource.

Шаг 1.

Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).

Шаг 2.

Приведение компании в соответствие до приемлемого уровня.

Шаг 3.

Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.