Аутсорс Data Protection Officer и Data Protection Manager

Аутсорс обязанностей Data Protection Officer и Data Protection Manager, предписанных статьей 37 GDPR, сертифицированным профессионалам команды Data Privacy Office. Приобретая услугу, вы получаете не одного одного специалиста, а целую команду.
outsoursing-data-protection-officer-data-protection-manager

Вам знакомы эти проблемы?

01

Тратите массу времени и не можете отличить важное от второстепенного?

02

Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?

03

На принятие любого решения тратите много сил и времени?

04

Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?

data-protection

Когда нужен Data Protection Office и Data Protection Manager?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:
Регулярный и систематический мониторинг данных в больших размерах.

Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видеонаблюдения, геолокации, трэкинга.

Работа с большой массой чувствительных данных.

Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

Основные виды работы DPO и DPM

DPO и DPM выполняют схожий объем задач. Отличие лишь в том, что назначение DPO обязательно по GDPR для определенных компаний (см. выше). Однако, даже если компания не подпадает под ст. 37 GDPR, все равно нужен человек, который бы курировал защиту ПД (персональных данных). Это объясняется тем, что внедрение приватности – процесс трудоемкий, а выполнение privacy задач и отслеживание уровня комплаенса требует постоянного вовлечения. То есть, хотя назначение DPM добровольно и о нем не нужно сообщать в надзорный орган, на практике с необходимостью введения должности DPM сталкивается большинство компаний. 

Почему нужен DPO или DPM?

Важно, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это. 

Доверьте сертифицированным профессионалам обязанности Data Protection Officer и Data Protection Manager, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Data Protection Officer и Data Protection Manager в штате и на аутсорсе

DPO и DPM в штате

Преимущества

  1. Хорошо знает процессы внутри организации, заинтересован в том, чтобы сделать их максимально эффективными. Понимает конечную цель каждого процесса, может быть более гибким в оценке их значимости.
  2. Лучше отношения внутри организации, а значит более эффективен при необходимости взаимодействовать с коллегами: быстрее получает необходимую информацию, быстрее выдает результат.
  3. Легко доступен, а это значит может в любой момент адаптировать все необходимые изменения к требованиям Регламента.
  4. Лоялен компании, а значит информация и знания остаются внутри организации. Инвестируя в сотрудника, в его обучение, вы вкладываете деньги в развитие всей организации.

Недостатки

  1. Компетентных DPO и DPM очень мало — по некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO.
  2. Часто на роль DPO и DPM назначают кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.
  3. Есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.
  4. Обычная история, когда совместитель оставляет задачи по персональным данным «на потом», поскольку в приоритете у него остается основная работа.
  5. Например, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

DPO и DPM аутсорс

Преимущества

  1. Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
  2. Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
  3. Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
  4. Внешний DPO свободен от возможного конфликта интересов и объективен.
  5. Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).
  6. Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.
  7. Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.

Недостатки

  1. Вы не можете полностью контролировать деятельность независимого DPO. Никакое NDA не может гарантировать вам сохранность ваших корпоративных секретов.
  2. DPO должен понимать и вникать во множество процессов, которые проходят в вашей компании. Очень часто для этого нужны дополнительные ресурсы и время, которых может не быть.
  3. Знания и инструменты, которые фрилансер использует для работы, он унесет с собой. И если они вам вдруг понадобятся, вам придется заново обратится к нему.
  4. Наемный DPO может быть нанят так же и вашими конкурентами. А это значит, что вы не сможете влиять на то, как он разрешит конфликт интересов.

Преимущества заказать аутсорсинг Data Protection Officer и Data Protection Manager в Data Privacy Office

Наши DPO и DPM обладают международными сертификатами.

Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, «экспертные знания законодательства и практики в сфере защиты персональных данных». А наши DPO и DPM обладают международными сертификатами CIPP/E и CIPM.

Наша команда базируется в 6 странах.

Наша DPO-команда базируется в 6 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.

Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира.

Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.

Знания и опыт.

Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

Приобретая DPO и DPM у нас, вы получаете не одного узкого специалиста, а целую команду.

Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.

И самое главное...

Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.

Доступные Data Protection Officers и Data Protection Managers

Основатель Data Privacy Office LLC. Тренер и ведущий консультант.

MBA, cертифицированный профессионал, менеджер и технолог в сфере информационной приватности. Начал работать с черновой версией GDPR в 2015 году в Мюнхене. В 2020 году ему было присвоено звание члена IAPP по защите информации (FIP).
Читать подробнее
Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP

Data Protection Officer, GDPR консультант

Елена внедрила принципы GDPR во все сферы деятельности международной IT компании. Под руководством Елены был создан web-портал для сбора электронных согласий и обработки запросов субъектов персональных данных; процесс обработки Personal Data Breach кейсов.
Читать подробнее
Елена Себякина

CIPP/E, Privacy by design, GDPR DPP, DPM, DPT

GDPR Consultant

Бакалавр права, GDPR Data Privacy Professional, GDPR Data Privacy Manager. Специализируется на разработке реестра обработок (RoPA), проведении аудита IT-продуктов и документации, а также проведении сессий Privacy by Design. Выступает ассистентом тренера в курсе Data Privacy Professional.
Читать подробнее
Юлия Богданова

CIPP/E, GDPR DPP, GDPR DPM

GDPR Consultant

Дарья имеет опыт проведения внутреннего аудита процессов на соответствие GDPR, оценки рисков приватности и разработки продуктовых рекомендаций, а так же согласования договорных условий и соглашений, регулирующих защиту персональных данных.
Читать подробнее
Дарья Заграничнова

GDPR DPP, CIPP/E

GDPR Consultant

Анастасия успешно прошла курс GDPR Data Privacy Professional. Владеет английским языком, а также немецким. Во время работы юристом в IT-компаниях участвовала во внедрении правил GDPR в программные продукты, ориентированные на европейский рынок. Внештатный редактор журнала “Юрист”.
Читать подробнее
Анастасия Пархимович

LLM, CIPP/E, GDPR DPP

GDPR Consultant

Надежда имеет опыт внутренней инвентаризации персональных данных, оценки трансфера передачи данных, оценки наличия легитимного интереса, оценки рисков приватности, разработки рекомендаций по инжинирингу в соответствии с пониманием нужд и внутренних ограничений компании.
Читать подробнее
Надежда Грабовская

CIPP/E, GDPR DPP, GDPR DPM

Как это работает?

Регламент предписывает вводить должность DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту – на постоянной основе. 

Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости. 

Такой длительный срок необходим, поскольку наши  Data Protection Officers и Data Protection Managers обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”. 

В дальнейшем, DPO и DPM потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы. 

Шаг 1.

Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).

Шаг 2.

Приведение компании в соответствие до приемлемого уровня.

 

Шаг 3.

Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.

Основные виды работ

«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Срок: 1 месяц

Описание проекта

Наша задача была исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы. Сначала наша команда провела бесплатный аудит и диагностику пробелов по защите персональных данных, а затем – заполнила найденные неточности.

Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.

Срок: 5 недель

Описание проекта

Было необходимо удостовериться в том, что бизнес соответствует GDPR перед продвижением продукта на рынке ЕС. Наши эксперты провели комплексный аудит, чтобы проверить комплаенс всех процессов, во время которого было выявлено несколько небольших пробелов, которые смогли устранить за три недели.

Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

Срок: 1 месяц

Описание проекта

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.

«Проверьте, насколько Compliant мы и наши конкуренты»

Срок: 1 месяц

Описание проекта

Наш клиент планировал выход на рынок ЕС (открытие офисов в Испании и Польше), для этого нужно было убедится в соответствии законодательству. Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.

Забронируйте бесплатную консультацию прямо сейчас!

Сможете задать интересующие вас вопросы в области защиты персональных данных.
Узнаете, подходит ли данный продукт для вашей компании или проекта.
Получите ориентировки по стоимости, длительности и другие детали.

Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время. 

Часто задаваемые вопросы

Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.

Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.

Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.

Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.

Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.

К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.

DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы. 

Заполните форму и наши менеджеры свяжутся с вами с ближайшее время.

Регистрация на курс