Аутсорс Data Protection Officer

  • Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?
  • Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?
  • Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?
  • Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
  • Что-то делаете по GDPR, но не знаете, правильно ли?
  • Действуете вслепую из-за отсутствия опыта?
  • Тратите массу времени и не можете отличить важное от второстепенного?
  • На принятие любого решения тратите много сил и времени?
  • Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?

Доверьте сертифицированным профессионалам обязанности DPO, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Когда нужен DPO?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

  1. регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.
  2. работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это. Кроме того, DPO сможет поддерживать организацию в состоянии GDPR-compliant, так как:

  • вводятся новые процессы и проекты с персональными данными
  • изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново,
  • новые необученные сотрудники, которые могут нарушить Регламент из неведения,
  • новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.
Больше
Скрыть

Штатный DPO

Хорошо иметь компетентного DPO в штате, поскольку он:

  • хорошо знает процессы внутри организации,
  • легко доступен,
  • информация и знания остаются внутри организации.

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Потому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая его рабочую нагрузку, а также инвестируя значительное время и средства на его обучение по GDPR, например, на нашем курсе Data Privacy Professional.

При этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.

Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

DPO на аутсорсе

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

Какие преимущества в итоге получит компания?

  • экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц)
  • гарантия правильности решений (избежание ошибок и неверных толкований Регламента)
  • избежание санкций со стороны надзирающих органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента)
  • избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO
  • внешний DPO свободен от возможного конфликта интересов и объективен
  • каждая минута времени специалиста на аутсорсинге расходуется максимально эффективно на 20% задач, обеспечивающих 80% результатов
  • не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни

Преимущества нашего Outsource

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию:

    1. Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO обладают международными сертификатами CIPP/E (Certified Information Privacy Professional/ Europe) и CIPM (Certified Information Privacy Manager).
    2. Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
    3. Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду. Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
    4. Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.
    5. Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.
    6. Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
    7. Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

И главное: наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR, и для которого это “еще одна головная боль”.

Доступные Data Protection Officers

Сертифицированный консультант no GDPR и директор DPO LLC Сергей Воронкевич CIPP/E, CIPM, MBA
Сергей Воронкевич CIPP/E, CIPM, MBA
Сертифицированный профессионал в области информационной приватности. Европа CIPP/E MBA IGC Bremen University of Applied Sciences Сертифицированный менеджер в области информационной приватности CIPM
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016
Ольга Завальнюк CIPP/E, CIPP/US
Ольга Завальнюк CIPP/E, CIPP/US
Сертифицированный профессионал в области информационной приватности. Европа CIPP/E Сертифицированный профессионал в области информационной приватности / США (CIPP/US) Профессионал в области информационной приватности по GDPR
Старший консультант, инспектор по защите персональных данных (DPO)
Эксперт по GDPR, сертифицированный профессионал в области информационной приватности в Европейском союзе и США (CIPP/E & CIPP/US - Europe & United States), член IAPP (International Association of Privacy Professionals)
Мария Арнст CIPM
Мария Арнст CIPM
Сертифицированный менеджер в области информационной приватности CIPM
GDPR консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) с опытом Data Protection Officer в европейской компании, ориентированной на приватности и безопасности данных (Берлин)

Как это работает?

Регламент предписывает иметь DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту - на постоянной основе.

Мы заключаем контракты по аутсорсингу данной роли на 1 или 2 года. И продлеваем их, по необходимости.

Такой длительный срок необходим, поскольку наши DPO обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.

В дальнейшем, DPO потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.

Этапы работы нашего DPO outsource:

    1. Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).
    2. Приведение компании в соответствие до приемлемого уровня.
    3. Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.
Больше
Скрыть

Тарифы

МинимальныйСтандартныйПолный
Часы в год60120180
Стоимость часа в евро (по курсу на день оплаты)

300

275

250

Формат работдистанционнодистанционнодистанционно и на месте
Отчетыежегодныйежегодныйежегодный, ежеквартальный
Подарок 1Курс GDPR Aware 3 часа до 200 чел. (€1000)Курс GDPR Aware 3 часа до 200 чел. (€1000)
Подарок 2Курс GDPR Data Privacy Technologist (GDPR DPT) до 20 чел. (€4000)
Годовой внутренний аудит соответствия GDPR+
Оплата1 годпоквартальнопоквартально

Основные виды работ

Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR
Коммуникация с надзорными органами в любой стране ЕС и СНГ
Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)
Анализ несоответствий требованиям GDPR (gap-analysis)
Ведение реестра обработок в соответствии со ст. 30 GDPR
Предоставление консультаций и поддержки
Регулярное обновление политик и процедур защиты персональных данных
Подготовка к сертификации по ст. 42 GDPR (после ее появления)
Разработка и обновление документации и политик о защите персональных данных
Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов
Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)
Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR

Заявка

Предварительная консультация