Аутсорс Data Protection Officer

Переложите личную и организационную ответственность за GDPR на компетентных профессионалов.

записаться на консультацию
Вам знакомы эти проблемы?

Тратите массу времени и не можете отличить важное от второстепенного?

На принятие любого решения тратите много сил и времени?

Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?

Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?

dpo

Что-то делаете по GDPR, но не знаете, правильно ли?

Ваша компания обязана назначить DPO (data protection officer) по ст. 37 Регламента GDPR, но на рынке труда нет специалистов с соответствующими компетенциями?

Вы обучили сотрудника по GDPR, но теперь он уходит в другую компанию на большую зарплату?

Вы боитесь, что придется общаться с надзорным органом, но никто в компании не хочет брать ответственность за GDPR?

Когда нужен DPO?

Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:

Регулярный и систематический мониторинг данных в больших размерах

Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видео-наблюдения, геолокации, трэкинга.

Работа с большой массой чувствительных данных

Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.

DPO сможет поддерживать организацию в состоянии GDPR-compliant, так как:
  • вводятся новые процессы и проекты с персональными данными;
  • изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново;
  • новые необученные сотрудники, которые могут нарушить Регламент из незнания;
  • новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.

DPO нужен, чтобы у всех процессов по защите персональных данных был единый хозяин (process owner), который координировал бы усилия многих департаментов и нес ответственность за это.

gdpr

Доверьте сертифицированным профессионалам обязанности DPO, чтобы выполнить статью 37 GDPR и стать GDPR-compliant!

Штатный DPO

Хорошо иметь компетентного DPO в штате, поскольку он:
  • Хорошо знает процессы внутри организации.
  • Легко доступен.
  • Информация и знания остаются внутри организации.
data protection

Однако компетентных DPO очень мало. По некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO. Подготовленных специалистов катастрофически не хватает даже в Западной Европе, не говоря уже о странах СНГ.

Поэтому отечественные компании часто назначают на роль DPO кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy ProfessionalПри этом всегда есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.

Также обычная история, когда совместитель оставляет задачи по персональным данным «на потом», поскольку в приоритете у него остается основная работа. Скажем, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных. Юрист же, назначенный инспектором по защите персональных данных, зачастую продолжает по инерции заниматься согласованием хозяйственных договоров, откладывая на потом технические меры, в которых не разбирается.

DPO на аутсорсе

В соответствии с Регламентом, функция DPO может быть отдана на аутсорс. И зачастую это самое выгодное решение, поскольку вы получаете опытного и компетентного специалиста, способного быстро принимать решения по GDPR и нести за них ответственность.

Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
gdpr
Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
Внешний DPO свободен от возможного конфликта интересов и объективен.
Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).

Преимущества нашего Outsource
Переложите личную и организационную ответственность за GDPR на компетентных профессионалов:

Наши DPO обладают международными сертификатами

Согласно ст. 37 GDPR, Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, "экспертные знания законодательства и практики в сфере защиты персональных данных". А наши DPO обладают международными сертификатами CIPP/E и CIPM.

Наши DPO-команда базируется в 3 странах

Наша DPO-команда базируется в 3 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.

Наши специалисты разбираются в различных областях

Поскольку внедрение GDPR неизбежно влечет оптимизацию некоторых бизнес-процессов компании, от DPO требуется редкий набор компетенций в области privacy, менеджмента, IT, которыми обладают наши специалисты. Например, у Сергея Воронкевича есть как сертификаты и опыт работы по GDPR, так и европейский MBA и опыт управления собственным бизнесом.

Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности

Мы наработали большой опыт внедрения GDPR в компаниях различного уровня зрелости и сфер деятельности (банки, авиакомпании, производственные компании, интернет-магазины, соц. сети, разработчики мобильных приложений, ИТ-стартапы, фармацевтические компании, облачные сервисы), как в СНГ, так и странах ЕС.

Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира

Наши DPO постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.

Знания и опыт

Работа наших консультантов строится на признанной во всем мире методике Nymity Data Privacy Accountability Framework. Партнером Nymity в СНГ является наша компания.

Приобретая DPO у нас, вы получаете не одного узкого специалиста, а целую команду

Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.

И самое главное

Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.

Доступные Data Protection Officers

Как это работает?

Регламент предписывает иметь DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту — на постоянной основе.

Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости.

Такой длительный срок необходим, поскольку наши DPO обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.

В дальнейшем, DPO потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.

1
Шаг 1

Знакомство с деятельностью компании и аудит текущей ситуации. Анализ несоответствий требованиям GDPR (gap-analysis).

2
Шаг 2

Приведение компании в соответствие до приемлемого уровня.

3
Шаг 3

Поддержание достигнутого уровня соответствия. Приведение в соответствие появляющихся проектов и процессов.

Основные виды работ

  • Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR
  • Коммуникация с надзорными органами в любой стране ЕС и СНГ
  • Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...)
  • Анализ несоответствий требованиям GDPR (gap-analysis)
  • Ведение реестра обработок в соответствии со ст. 30 GDPR
  • Предоставление консультаций и поддержки
  • Регулярное обновление политик и процедур защиты персональных данных
  • Подготовка к сертификации по ст. 42 GDPR (после ее появления)
  • Разработка и обновление документации и политик о защите персональных данных
  • Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов
  • Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management)
  • Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR

Записаться на консультацию

Заполните форму и вы:
  • Сможете задать интересующие вас вопросы в области защиты персональных данных.
  • Узнаете, подходит ли данный продукт для вашей компании или проекта.
  • Получите ориентировки по стоимости, длительности и другие детали.

Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!

P.S. Показалось, что ни одна из услуг, указанных на сайте, вам не подходит? Опишите свою ситуацию в поле «Комментарий». Мы очень гибкие и всегда предлагаем кастомизированные решения.

Мы на связи!