Аутсорс Data Protection Officer
и Data Protection Manager

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов.

Вам знакомы эти проблемы?

  • Тратите массу времени и не можете отличить важное от второстепенного?
  • Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
  • На принятие любого решения тратите много сил и времени?
  • Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?

Когда нужен Data Protection Office и Data Protection Manager?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

Регулярный и систематический мониторинг данных в больших размерах.

Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видеонаблюдения, геолокации, трэкинга.

Работа с большой массой чувствительных данных.

Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

Основные виды работы DPO и DPM

DPO и DPM выполняют схожий объем задач. Отличие лишь в том, что назначение DPO обязательно по GDPR для определенных компаний (см. выше). Однако, даже если компания не подпадает под ст. 37, все равно нужен человек, который бы курировал защиту ПД. Это объясняется тем, что внедрение приватности — процесс трудоемкий, а выполнение privacy задач и отслеживание уровня комплаенса требует постоянного вовлечения. То есть, хотя назначение DPM добровольно и о нем не нужно сообщать в надзорный орган, на практике с необходимостью введения должности DPM сталкивается большинство компаний. 

Data Protection Officer и Data Protection Manager поддержат организацию GDPR-compliant, так как:
  • вводятся новые процессы и проекты с персональными данными;
  • изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново;
  • новые необученные сотрудники, которые могут нарушить Регламент из незнания;
  • новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это.

gdpr

Data Protection Officer и Data Protection Manager в штате и на аутсорсе

Хорошо иметь компетентных Data Protection Officer и Data Protection Manager в штате, однако в этом могут быть свои подводные камни. В соответствии с Регламентом, функция DPO может быть отдана на аутсорс. 

И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR. 

Штат

Преимущества

Хорошо знает процессы внутри организации, заинтересован в том, чтобы сделать их максимально эффективными. Понимает конечную цель каждого процесса, может быть более гибким в оценке их значимости.

Лучше отношения внутри организации, а значит более эффективен при необходимости взаимодействовать с коллегами: быстрее получает необходимую информацию, быстрее выдает результат.

Легко доступен, а это значит может в любой момент адаптировать все необходимые изменения к требованиям Регламента.

Лоялен компании, а значит информация и знания остаются внутри организации. Инвестируя в сотрудника, в его обучение, вы вкладываете деньги в развитие всей организации.

Недостатки

Компетентных DPO и DPM очень мало - по некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO.

Часто на роль DPO и DPM назначают кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.

Есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.

Например, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Аутсорс

Преимущества

Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).

Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).

Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).

Внешний DPO свободен от возможного конфликта интересов и объективен.

Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).

Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.

Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.

Недостатки

Вы не можете полностью контролировать деятельность независимого DPO. Никакое NDA не может гарантировать вам сохранность ваших корпоративных секретов.

DPO должен понимать и вникать во множество процессов, которые проходят в вашей компании. Очень часто для этого нужны дополнительные ресурсы и время, которых может не быть.

Знания и инструменты, которые фрилансер использует для работы, он унесет с собой. И если они вам вдруг понадобятся, вам придется заново обратится к нему.

Наемный DPO может быть нанят так же и вашими конкурентами. А это значит, что вы не сможете влиять на то, как он разрешит конфликт интересов.

Преимущества заказать аутсорсинг
Data Protection Officer и Data Protection Manager
в Data Privacy Office

Переложите ответственность за GDPR на компетентных профессионалов и специализированную компанию. В Data Privacy Office вы можете заказать не только услуги Data Protection Officer, но и отдельно услуги Data Protection Manager.

Наши DPO и DPM обладают международными сертификатами

Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO и DPM обладают международными сертификатами CIPP/E и CIPM.

Наша команда базируется в 3 странах

Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.

Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира

Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.

Знания и опыт

Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

Приобретая DPO и DPM у нас, вы получаете не одного узкого специалиста, а целую команду

Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.

И самое главное

Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.

Доступные Data Protection Officers
и Data Protection Managers

Основатель Data Privacy Office LLC. Тренер и ведущий консультант по защите персональных данных.

Сертифицированный профессионал, менеджер и технолог в сфере информационной приватности, член IAPP по защите информации (FIP).

Подробнее

Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP

Data Protection Officer, GDPR консультант

Елена внедрила принципы GDPR во все сферы деятельности международной IT компании. Под руководством Елены был создан web-портал для сбора электронных согласий и обработки запросов субъектов персональных данных.

Подробнее

Елена Себякина

CIPP/E, Privacy by design; GDPR DPP, DPM, DPT

GDPR Consultant

Специализируется на разработке реестра обработок (RoPA), проведении аудита IT-продуктов и документации, а также проведении сессий Privacy by Design. Выступает ассистентом тренера в курсе Data Privacy Professional.

Подробнее

Юлия Богданова

CIPP/E, GDPR DPP, GDPR DPM

GDPR Consultant

Дарья имеет опыт проведения внутреннего аудита процессов на соответствие GDPR, оценки рисков приватности и разработки продуктовых рекомендаций, а так же согласования договорных условий и соглашений, регулирующих защиту персональных данных.

Подробнее

Дарья Заграничнова

GDPR DPP, CIPP/E

GDPR Consultant

Анастасия успешно прошла курс GDPR DPP. Во время работы юристом в IT-компаниях участвовала во внедрении правил GDPR в программные продукты, ориентированные на европейский рынок.

Подробнее

Анастасия Пархимович

LLM, CIPP/E, GDPR DPP

GDPR Consultant

Надежда имеет опыт внутренней инвентаризации персональных данных, оценки трансфера передачи данных, наличия легитимного интереса, рисков приватности и др.

Подробнее

Надежда Грабовская

CIPP/E, GDPR DPP, GDPR DPM

Как это работает?

Регламент предписывает вводить должность DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту — на постоянной основе. 

Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости. 

Такой длительный срок необходим, поскольку наши  Data Protection Officers и Data Protection Managers обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”. 

В дальнейшем, DPO и DPM потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы. 

1
Шаг 1

Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).

2
Шаг 2

Приведение компании в соответствие до приемлемого уровня.

3
Шаг 3

Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.

Основные виды работ

  • Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR
  • Коммуникация с надзорными органами в любой стране ЕС и СНГ
  • Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)
  • Анализ несоответствий требованиям GDPR (gap-analysis)
  • Ведение реестра обработок в соответствии со ст. 30 GDPR
  • Предоставление консультаций и поддержки
  • Регулярное обновление политик и процедур защиты персональных данных
  • Подготовка к сертификации по ст. 42 GDPR (после ее появления)
  • Разработка и обновление документации и политик о защите персональных данных
  • Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов
  • Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)
  • Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR

Часто задаваемые вопросы

Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.

Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.

Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.

Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.

К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.

Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.

DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую «чувствительную» категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы. 

Наши клиенты

Что говорят наши клиенты?

И.И. Железняк

Head of consulting department of I-Teco Company

От лица отдела консалтинга департамента информационной безопасности АО «Ай-Теко» хочу выразить благодарность компании ООО «Дата Прайваси Офис» за организацию и проведение курса GDPR DPP. Содержание курса позволило сотрудникам, прошедшим обучение, получить обширные и актуальные знания и навыки в области применения GDPR.

Станислав Бурба

Заместитель директора ООО "Азати"

От лица компании Azati выражаю искреннюю благодарность консалтинговой компании Data Privacy Office за проведенный курс по защите персональных данных GDPR DPP. Тренеру Сергею Воронкевичу удалось сформировать у нашей команды видение общей картины вокруг персональных данных и с практической стороны доступно разъяснить, какие мероприятия и подходы необходимы для соответствия основным требованиям GDPR…

И.А. Хереш

SEO

Мы выражаем благодарность компании ООО «Дата Прайваси Офис» за предоставление на высоком профессиональном уровне консультационной услуги и проведенное обучение сотрудников глобальным стандартам соблюдения приватности в отношении персональных данных клиентов, использующих наши ИТ-продукты…

Менеджеры Innova

Наша работа с DPO убедила нас в должном уровне интеграции знаний по GDPR, лучших практиках, внедрении нормативных актов на разных территориях и навыков, достаточных для предоставления соответствующих консультаций в установленные сроки. Мы благодарны за ловкость и высокие стандарты…

Записаться на консультацию

Заполните форму и вы:
  • Сможете задать интересующие вас вопросы в области защиты персональных данных.
  • Узнаете, подходит ли данный продукт для вашей компании или проекта.
  • Получите ориентировки по стоимости, длительности и другие детали.

Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!

P.S. Показалось, что ни одна из услуг, указанных на сайте, вам не подходит? Опишите свою ситуацию в поле «Комментарий». Мы очень гибкие и всегда предлагаем кастомизированные решения.