DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Аутсорс Data Protection Officer

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию.

 

 

 

  1. Тратите массу времени и не можете отличить важное от второстепенного?
  2. На принятие любого решения тратите много сил и времени?
  3. Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
  4. Что-то делаете по GDPR, но не знаете, правильно ли?
  5. Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
  6. Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?
  7. Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?
  8. Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?
  9. Действуете вслепую из-за отсутствия опыта?

Когда нужен DPO?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

  1. Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.
  2. Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

 

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это. Кроме того, DPO сможет поддерживать организацию в состоянии GDPR-compliant, так как:

  • вводятся новые процессы и проекты с персональными данными;
  • изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново;
  • новые необученные сотрудники, которые могут нарушить Регламент из незнания;
  • новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.
Больше
Скрыть

Доверьте сертифицированным профессионалам обязанности DPO, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

 

Заказать

 

Штатный DPO

Хорошо иметь компетентного DPO в штате, поскольку он:

1. Хорошо знает процессы внутри организации.

2. Легко доступен.

3. Информация и знания остаются внутри организации.

 

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Поэтому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.

При этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным "на потом", поскольку в приоритете у него остается основная работа.

Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.

Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

DPO на аутсорсе

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс.
И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

 

Какие преимущества в итоге получит компания?

 

  1. Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
  2. Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
  3. Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
  4. Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
  5. Внешний DPO свободен от возможного конфликта интересов и объективен.
  6. Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).
  7. Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.

Преимущества нашего Outsource

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов и специализированную компанию:

 

    1. Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO обладают международными сертификатами CIPP/E (Certified Information Privacy Professional/ Europe) и CIPM (Certified Information Privacy Manager).
    2. Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
    3. Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду. Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
    4. Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.
    5. Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.
    6. Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
    7. Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

 

И главное: наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.

 

Заказать

Доступные Data Protection Officers

Мария Арнст CIPM
Мария Арнст CIPM, TÜV, Strategic Privacy by Design, DPP
Data Protection Officer, GDPR консультант, исследовательница в области приватности
Сертифицирована как менеджер в сфере информационной приватности (Certified Information Privacy Manager), член международной ассоциации IAPP с опытом DPO в европейских компаниях. Сертифицированный TÜV DPO в Германии. Прошла обучение по программе “Strategic Privacy by Design”.
Елена Себякина
Елена Себякина CIPP/E, Privacy by design; GDPR DPP, DPM, DPT
Data Protection Officer, GDPR консультант
Елена с 2014 года специализируется на персональных данных. Внедрила принципы GDPR во все сферы деятельности международной IT компании. Под руководством Елены был создан web-портал для сбора электронных согласий и обработки запросов субъектов персональных данных; процесс обработки Personal Data Breach кейсов.
Сергей Воронкевич
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
Основатель DPO LLC. Тренер и ведущий консультант
Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же сфере (CIPP/E). Работал с GDPR (еще по драфту) в Мюнхене с 2015, защитил соответствующую диссертацию на степень MBA в Бремене в 2016, а в 2020 получил звания IAPP Fellow of Information Privacy (FIP). Спустя год Сергей получил сертификацию CIPT (Certified Information Privacy Technologist).

Как это работает?

Регламент предписывает иметь DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту - на постоянной основе.

Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости.

Такой длительный срок необходим, поскольку наши DPO обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.

В дальнейшем, DPO потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.

 

Этапы работы нашего DPO outsource.

 

Шаг 1.

Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).

Шаг 2.

Приведение компании в соответствие до приемлемого уровня.

Шаг 3.

Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.

Тарифы

Часы в год
Формат работ
Отчеты
Подарок 1
Подарок 2
Годовой аудит по GDPR
Оплата
Минимальный Осталось 2 пакета на 2021 Заказать
Часы в год
60
Формат работ
дистанционно
Отчеты
ежегодный
Подарок 1
-
Подарок 2
-
Годовой аудит по GDPR
-
Оплата
за год
Стандартный Осталось 4 пакета на 2021 Заказать
Часы в год
120
Формат работ
дистанционно
Отчеты
ежегодный
Подарок 1
200 мест на курс GDPR Aware
Подарок 2
-
Годовой аудит по GDPR
-
Оплата
поквартально
Полный Остался 1 пакет на 2021 Заказать
Часы в год
180
Формат работ
дистанционно и на месте
Отчеты
ежегодный, ежеквартальный
Подарок 1
200 мест на курс GDPR Aware
Подарок 2
20 мест на курс GDPR DPT
Годовой аудит по GDPR
+
Оплата
поквартально

Основные виды работ

Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR
Коммуникация с надзорными органами в любой стране ЕС и СНГ
Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)
Анализ несоответствий требованиям GDPR (gap-analysis)
Ведение реестра обработок в соответствии со ст. 30 GDPR
Предоставление консультаций и поддержки
Регулярное обновление политик и процедур защиты персональных данных
Подготовка к сертификации по ст. 42 GDPR (после ее появления)
Разработка и обновление документации и политик о защите персональных данных
Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов
Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)
Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR

Заявка










    Расписание курсов загружается, подожди несколько секунд