Аутсорс Data Protection Officer и Data Protection Manager
Вам знакомы эти проблемы?
01
Тратите массу времени и не можете отличить важное от второстепенного?
02
Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
03
На принятие любого решения тратите много сил и времени?
04
Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
Когда нужен Data Protection Office и Data Protection Manager?
Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:
Регулярный и систематический мониторинг данных в больших размерах.
Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видеонаблюдения, геолокации, трэкинга.
Работа с большой массой чувствительных данных.
Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.
Основные виды работы DPO и DPM
DPO и DPM выполняют схожий объем задач. Отличие лишь в том, что назначение DPO обязательно по GDPR для определенных компаний (см. выше). Однако, даже если компания не подпадает под ст. 37 GDPR, все равно нужен человек, который бы курировал защиту ПД (персональных данных). Это объясняется тем, что внедрение приватности – процесс трудоемкий, а выполнение privacy задач и отслеживание уровня комплаенса требует постоянного вовлечения. То есть, хотя назначение DPM добровольно и о нем не нужно сообщать в надзорный орган, на практике с необходимостью введения должности DPM сталкивается большинство компаний.
Почему нужен DPO или DPM?
Важно, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это.
- В компании вводятся новые процессы и проекты с персональными данными.
- Изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново.
- Новые необученные сотрудники, которые могут нарушить Регламент из незнания.
- Заключаются новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.
Доверьте сертифицированным профессионалам обязанности Data Protection Officer и Data Protection Manager, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!
Data Protection Officer и Data Protection Manager
в штате и на аутсорсе
DPO и DPM в штате
Преимущества
- Хорошо знает процессы внутри организации, заинтересован в том, чтобы сделать их максимально эффективными. Понимает конечную цель каждого процесса, может быть более гибким в оценке их значимости.
- Лучше отношения внутри организации, а значит более эффективен при необходимости взаимодействовать с коллегами: быстрее получает необходимую информацию, быстрее выдает результат.
- Легко доступен, а это значит может в любой момент адаптировать все необходимые изменения к требованиям Регламента.
- Лоялен компании, а значит информация и знания остаются внутри организации. Инвестируя в сотрудника, в его обучение, вы вкладываете деньги в развитие всей организации.
Недостатки
- Компетентных DPO и DPM очень мало — по некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO.
- Часто на роль DPO и DPM назначают кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.
- Есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.
- Обычная история, когда совместитель оставляет задачи по персональным данным «на потом», поскольку в приоритете у него остается основная работа.
- Например, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.
DPO и DPM аутсорс
Преимущества
- Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
- Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
- Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
- Внешний DPO свободен от возможного конфликта интересов и объективен.
- Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).
- Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.
- Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
Недостатки
- Вы не можете полностью контролировать деятельность независимого DPO. Никакое NDA не может гарантировать вам сохранность ваших корпоративных секретов.
- DPO должен понимать и вникать во множество процессов, которые проходят в вашей компании. Очень часто для этого нужны дополнительные ресурсы и время, которых может не быть.
- Знания и инструменты, которые фрилансер использует для работы, он унесет с собой. И если они вам вдруг понадобятся, вам придется заново обратится к нему.
- Наемный DPO может быть нанят так же и вашими конкурентами. А это значит, что вы не сможете влиять на то, как он разрешит конфликт интересов.
Преимущества заказать аутсорсинг
Data Protection Officer и Data Protection Manager
в Data Privacy Office
Наши DPO и DPM обладают международными сертификатами.
Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, «экспертные знания законодательства и практики в сфере защиты персональных данных». А наши DPO и DPM обладают международными сертификатами CIPP/E и CIPM.
Наша команда базируется в 6 странах.
Наша DPO-команда базируется в 6 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира.
Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
Знания и опыт.
Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.
Приобретая DPO и DPM у нас, вы получаете не одного узкого специалиста, а целую команду.
Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
И самое главное...
Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.
Доступные Data Protection Officers и Data Protection Managers
Как это работает?
Регламент предписывает вводить должность DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту – на постоянной основе.
Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости.
Такой длительный срок необходим, поскольку наши Data Protection Officers и Data Protection Managers обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.
В дальнейшем, DPO и DPM потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.
Шаг 1.
Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).
Шаг 2.
Приведение компании в соответствие до приемлемого уровня.
Шаг 3.
Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.
Основные виды работ
- Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR.
- Коммуникация с надзорными органами в любой стране ЕС и СНГ.
- Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...).
- Анализ несоответствий требованиям GDPR (gap-analysis).
- Ведение реестра обработок в соответствии со ст. 30 GDPR.
- Регулярное обновление политик и процедур защиты персональных данных.
- Подготовка к сертификации по ст. 42 GDPR (после ее появления).
- Разработка и обновление документации и политик о защите персональных данных.
- Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов.
- Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management).
- Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR.
- Предоставление консультаций и поддержки.
Кейсы
Забронируйте бесплатную консультацию прямо сейчас!
Сможете задать интересующие вас вопросы в области защиты персональных данных.
Узнаете, подходит ли данный продукт для вашей компании или проекта.
Получите ориентировки по стоимости, длительности и другие детали.
Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!
Часто задаваемые вопросы
Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.
Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.
Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.
Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.
Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.
К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.
DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.