Аутсорс Data Protection Officer

Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?
Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?
Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?
Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
Что-то делаете по GDPR, но не знаете, правильно ли?
Действуете вслепую из-за отсутствия опыта?

Тратите массу времени и не можете отличить важное от второстепенного?
На принятие любого решения тратите много сил и времени?
Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?

Доверьте сертифицированным профессионалам обязанности DPO, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Когда нужен DPO?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.
работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это. Кроме того, DPO сможет поддерживать организацию в состоянии GDPR-compliant, так как:

вводятся новые процессы и проекты с персональными данными
изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново,
новые необученные сотрудники, которые могут нарушить Регламент из неведения,
новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.

Больше

Скрыть

Штатный DPO

Хорошо иметь компетентного DPO в штате, поскольку он:

хорошо знает процессы внутри организации,
легко доступен,
информация и знания остаются внутри организации.

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Потому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая его рабочую нагрузку, а также инвестируя значительное время и средства на его обучение по GDPR, например, на нашем курсе Data Privacy Professional.

При этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.

Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

DPO на аутсорсе

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

Какие преимущества в итоге получит компания?

экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц)
гарантия правильности решений (избежание ошибок и неверных толкований Регламента)
избежание санкций со стороны надзирающих органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента)
избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO
внешний DPO свободен от возможного конфликта интересов и объективен
каждая минута времени специалиста на аутсорсинге расходуется максимально эффективно на 20% задач, обеспечивающих 80% результатов
не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни

Преимущества нашего Outsource

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию:

1. Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO обладают международными сертификатами CIPP/E (Certified Information Privacy Professional/ Europe) и CIPM (Certified Information Privacy Manager).
2. Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
3. Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду. Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
4. Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.
5. Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.
6. Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
7. Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

И главное: наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR, и для которого это “еще одна головная боль”.

Заказать

Доступные Data Protection Officers

Сергей Воронкевич CIPP/E, CIPM, MBA

Сертифицированный профессионал в области информационной приватности. Европа CIPP/E

MBA IGC Bremen University of Applied Sciences

Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016

Подробнее

Ольга Завальнюк CIPP/E, CIPP/US

Сертифицированный профессионал в области информационной приватности / США (CIPP/US)

Профессионал в области информационной приватности по GDPR

Старший консультант, инспектор по защите персональных данных (DPO)
Эксперт по GDPR, сертифицированный профессионал в области информационной приватности в Европейском союзе и США (CIPP/E & CIPP/US - Europe & United States), член IAPP (International Association of Privacy Professionals)

Подробнее

Мария Арнст CIPM

GDPR консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) с опытом Data Protection Officer в европейской компании, ориентированной на приватности и безопасности данных (Берлин)

Как это работает?

Регламент предписывает иметь DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту - на постоянной основе.

Мы заключаем контракты по аутсорсингу данной роли на 1 или 2 года. И продлеваем их, по необходимости.

Такой длительный срок необходим, поскольку наши DPO обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.

В дальнейшем, DPO потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.

Этапы работы нашего DPO outsource:

1. Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).
2. Приведение компании в соответствие до приемлемого уровня.
3. Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.

Больше

Скрыть

Тарифы

	Минимальный	Стандартный	Полный
Часы в год	60	120	180
Стоимость часа в евро (по курсу на день оплаты)	300	275	250
Формат работ	дистанционно	дистанционно	дистанционно и на месте
Отчеты	ежегодный	ежегодный	ежегодный, ежеквартальный
Подарок 1		Курс GDPR Aware 3 часа до 200 чел. (€1000)	Курс GDPR Aware 3 часа до 200 чел. (€1000)
Подарок 2			Курс GDPR Data Privacy Technologist (GDPR DPT) до 20 чел. (€4000)
Годовой внутренний аудит соответствия GDPR			+
Оплата	1 год	поквартально	поквартально

Заказать

Основные виды работ

Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR

Коммуникация с надзорными органами в любой стране ЕС и СНГ

Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)

Анализ несоответствий требованиям GDPR (gap-analysis)

Ведение реестра обработок в соответствии со ст. 30 GDPR

Предоставление консультаций и поддержки

Регулярное обновление политик и процедур защиты персональных данных

Подготовка к сертификации по ст. 42 GDPR (после ее появления)

Разработка и обновление документации и политик о защите персональных данных

Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов

Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)

Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR

Заявка

1. Ваша заявка поступит нам на почту в течение нескольких минут

2. Наш менеджер позвонит вам по телефону либо в Viber, Whatsapp, Telegram, или напишет email в течение 2 рабочих дней. Он уточнит вашу ситуацию и подберет удобное время предварительной консультации с нашим экспертом.

3. На предварительной консультации (skype, zoom и т.д.) вы сможете задать этот и другие вопросы. Эксперт задаст уточняющие вопросы и даст консультацию.