Аутсорс Data Protection Officer
и Data Protection Manager
Переложите личную и организационную ответственность за GDPR на компетентных профессионалов.
Вам знакомы эти проблемы?
- Тратите массу времени и не можете отличить важное от второстепенного?
- Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
- На принятие любого решения тратите много сил и времени?
- Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
Когда нужен Data Protection Office и Data Protection Manager?
Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:
Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видеонаблюдения, геолокации, трэкинга.
Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.
Основные виды работы DPO и DPM
DPO и DPM выполняют схожий объем задач. Отличие лишь в том, что назначение DPO обязательно по GDPR для определенных компаний (см. выше). Однако, даже если компания не подпадает под ст. 37, все равно нужен человек, который бы курировал защиту ПД. Это объясняется тем, что внедрение приватности — процесс трудоемкий, а выполнение privacy задач и отслеживание уровня комплаенса требует постоянного вовлечения. То есть, хотя назначение DPM добровольно и о нем не нужно сообщать в надзорный орган, на практике с необходимостью введения должности DPM сталкивается большинство компаний.
Data Protection Officer и Data Protection Manager поддержат организацию GDPR-compliant, так как:
- вводятся новые процессы и проекты с персональными данными;
- изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново;
- новые необученные сотрудники, которые могут нарушить Регламент из незнания;
- новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.
DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это.
Data Protection Officer и Data Protection Manager в штате и на аутсорсе
Хорошо иметь компетентных Data Protection Officer и Data Protection Manager в штате, однако в этом могут быть свои подводные камни. В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR.
Штат
Преимущества
Хорошо знает процессы внутри организации, заинтересован в том, чтобы сделать их максимально эффективными. Понимает конечную цель каждого процесса, может быть более гибким в оценке их значимости.
Лучше отношения внутри организации, а значит более эффективен при необходимости взаимодействовать с коллегами: быстрее получает необходимую информацию, быстрее выдает результат.
Легко доступен, а это значит может в любой момент адаптировать все необходимые изменения к требованиям Регламента.
Лоялен компании, а значит информация и знания остаются внутри организации. Инвестируя в сотрудника, в его обучение, вы вкладываете деньги в развитие всей организации.
Недостатки
Компетентных DPO и DPM очень мало - по некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO.
Есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.
Обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.
Например, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.
Аутсорс
Преимущества
Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
Внешний DPO свободен от возможного конфликта интересов и объективен.
Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).
Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.
Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
Недостатки
Вы не можете полностью контролировать деятельность независимого DPO. Никакое NDA не может гарантировать вам сохранность ваших корпоративных секретов.
Знания и инструменты, которые фрилансер использует для работы, он унесет с собой. И если они вам вдруг понадобятся, вам придется заново обратится к нему.
Наемный DPO может быть нанят так же и вашими конкурентами. А это значит, что вы не сможете влиять на то, как он разрешит конфликт интересов.
Преимущества заказать аутсорсинг
Data Protection Officer и Data Protection Manager
в Data Privacy Office
Переложите ответственность за GDPR на компетентных профессионалов и специализированную компанию. В Data Privacy Office вы можете заказать не только услуги Data Protection Officer, но и отдельно услуги Data Protection Manager.
Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO и DPM обладают международными сертификатами CIPP/E и CIPM.
Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.
Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.
Доступные Data Protection Officers
и Data Protection Managers
Как это работает?
Регламент предписывает вводить должность DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту — на постоянной основе.
Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости.
Такой длительный срок необходим, поскольку наши Data Protection Officers и Data Protection Managers обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.
В дальнейшем, DPO и DPM потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.
Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).
Приведение компании в соответствие до приемлемого уровня.
Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.
Основные виды работ
- Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR
- Коммуникация с надзорными органами в любой стране ЕС и СНГ
- Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)
- Анализ несоответствий требованиям GDPR (gap-analysis)
- Ведение реестра обработок в соответствии со ст. 30 GDPR
- Предоставление консультаций и поддержки
- Регулярное обновление политик и процедур защиты персональных данных
- Подготовка к сертификации по ст. 42 GDPR (после ее появления)
- Разработка и обновление документации и политик о защите персональных данных
- Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов
- Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)
- Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR
Часто задаваемые вопросы
Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.
Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.
Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.
Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.
К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.
Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.
DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую «чувствительную» категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.
Наши клиенты
Что говорят наши клиенты?
И.И. Железняк
Head of consulting department of I-Teco Company
Станислав Бурба
Заместитель директора ООО "Азати"
И.А. Хереш
SEO
Записаться на консультацию
Заполните форму и вы:
- Сможете задать интересующие вас вопросы в области защиты персональных данных.
- Узнаете, подходит ли данный продукт для вашей компании или проекта.
- Получите ориентировки по стоимости, длительности и другие детали.
Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!
P.S. Показалось, что ни одна из услуг, указанных на сайте, вам не подходит? Опишите свою ситуацию в поле «Комментарий». Мы очень гибкие и всегда предлагаем кастомизированные решения.
