Аутсорс Data Protection Officer и Data Protection Manager
Вам знакомы эти проблемы?
Тратите массу времени и не можете отличить важное от второстепенного?
Сотрудники откладывают задачи по персональным данным “на потом”, потому что у них есть прямые и более срочные обязанности? И DPO, назначенный из числа сотрудников, не исключение?
На принятие любого решения тратите много сил и времени?
Вы хотите иметь DPO “не для галочки”, но также хотите выполнять работы и постепенно приводить компанию в соответствие GDPR?
Когда нужен Data Protection Office и Data Protection Manager?
Регламент GDPR предписывает назначить DPO (data protection officer), то есть лицо, ответственное за защиту персональных данных, в случаях, если ваша компания по роду своей деятельности:
01
Регулярный и систематический мониторинг данных в больших размерах.
Регулярно и систематически осуществляет мониторинг субъектов данных в больших масштабах, например, с помощью камер видеонаблюдения, геолокации, трэкинга.
02
Работа с большой массой чувствительных данных.
Работает с большой массой чувствительных данных, в частности, касающихся здоровья, генетических и биометрических данных, и сведений, по которым можно установить расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения.
Почему нужен DPO или DPM?
- В компании вводятся новые процессы и проекты с персональными данными.
- Изменяется структура организации в виде новых отделов и подразделений, филиалов и представительств, где нужно настраивать процесс защиты персональных данных заново.
- Новые необученные сотрудники, которые могут нарушить Регламент из незнания.
- Заключаются новые договоры на обработку данных (Data Processing Agreements) с заказчиками или подрядчиками.
Доверьте сертифицированным профессионалам обязанности Data Protection Officer.
Это позволит обеспечить приватность на высоком уровне и привести бизнес к соответствию требования защиты данных.
- Преимущества
Хорошо знает процессы внутри организации, заинтересован в том, чтобы сделать их максимально эффективными. Понимает конечную цель каждого процесса, может быть более гибким в оценке их значимости.
Лучше отношения внутри организации, а значит более эффективен при необходимости взаимодействовать с коллегами: быстрее получает необходимую информацию, быстрее выдает результат.
Легко доступен, а это значит может в любой момент адаптировать все необходимые изменения к требованиям Регламента.
Лоялен компании, а значит информация и знания остаются внутри организации. Инвестируя в сотрудника, в его обучение, вы вкладываете деньги в развитие всей организации.
- Недостатки
Компетентных DPO и DPM очень мало — по некоторым оценкам, только в странах ЕС сейчас необходимо нанять более 75000 штатных DPO.
Часто на роль DPO и DPM назначают кого-то из имеющихся сотрудников, увеличивая ему нагрузку, а также инвестируя значительное время и средства на обучение по GDPR, например, на нашем курсе Data Privacy Professional.
Есть риск, что обученный за ваши деньги DPO уйдет в другую организацию, где ему предложат лучшие условия.
Обычная история, когда совместитель оставляет задачи по персональным данным «на потом», поскольку в приоритете у него остается основная работа.
Например, специалист по информационной безопасности, на которого надели шапку DPO, будет заниматься в первую очередь техническими мерами ИБ, а не информированием субъектов об имеющихся в компании персональных данных. И уж точно он не сможет правильно составить такие документы, как политика приватности или договор с процессором данных.
- Преимущества
Экономия времени (опытный DPO за 5 минут примет решение, которое некомпетентные сотрудники могут обдумывать месяц).
Гарантия правильности решений (избежание ошибок и неверных толкований Регламента).
Избежание санкций со стороны надзорных органов (DPO умеет и знает, как с ними надо общаться, какие документы им предоставить, даже если в компании пока выполнены не все требования Регламента).
Внешний DPO свободен от возможного конфликта интересов и объективен.
Каждая минута времени специалиста на аутсорсинге расходуется по Принципу Парето (20 % усилий дают 80 % результата).
Не нужно создавать отдельное рабочее место, обеспечивать соц. пакет, вводить нового человека в слаженный коллектив. DPO outsource не уйдет в отпуск, не возьмет отгул, не будет отсутствовать по причине болезни.
Избежание трудностей и затрат на рекрутинг, адаптацию и удержание сотрудника на позиции DPO.
- Недостатки
Вы не можете полностью контролировать деятельность независимого DPO. Никакое NDA не может гарантировать вам сохранность ваших корпоративных секретов.
DPO должен понимать и вникать во множество процессов, которые проходят в вашей компании. Очень часто для этого нужны дополнительные ресурсы и время, которых может не быть.
Знания и инструменты, которые фрилансер использует для работы, он унесет с собой. И если они вам вдруг понадобятся, вам придется заново обратится к нему.
Наемный DPO может быть нанят так же и вашими конкурентами. А это значит, что вы не сможете влиять на то, как он разрешит конфликт интересов.
ПРЕИМУЩЕСТВА ЗАКАЗАТЬ АУТСОРСИНГ DPO и DPM
Наши DPO и DPM обладают международными сертификатами.
Инспектор по защите персональных данных должен иметь конкретные компетенции, в том числе, «экспертные знания законодательства и практики в сфере защиты персональных данных». А наши DPO обладают международными сертификатами CIPP/E и CIPM.
Наша команда базируется в 6 странах.
Наша DPO-команда базируется в 6 странах, говорит на 5 языках, включая русский, английский и немецкий, и хорошо ориентируются в специфике региона СНГ.
Знания и опыт.
Наши DPO и DPM постоянно повышают свой профессиональный уровень и приобретают передовой опыт со всего мира, участвуя в международных конференциях и являясь членами международной сети экспертов International Association of Privacy Professionals.
Приобретая DPO и DPM у нас, вы получаете не одного узкого специалиста, а целую команду.
Экспертиза наших сотрудников в области юриспруденции, кибер-безопасности, разработки информационных систем и ПО регулярно необходима большинству компаний.
И самое главное...
Наши специалисты искренне любят и радеют за свое дело, в отличие от сотрудника, которому поручили разобраться с GDPR и для которого это “еще одна головная боль”.
Доступные Data Protection Officers и Data Protection Managers
Как это работает?
Регламент предписывает вводить должность DPO на период, пока основная деятельность компании подпадает под ст. 37 GDPR, то есть по факту – на постоянной основе.
Мы заключаем контракты по аутсорсингу на 1 или 2 года. И продлеваем их, по необходимости.
Такой длительный срок необходим, поскольку наши Data Protection Officers и Data Protection Managers обычно начинают свою работу с приведения вашей компании в соответствие GDPR. Только одна эта задача может занять несколько лет, при условии активного сотрудничества со стороны вашего персонала. Поэтому мы рекомендуем начать сотрудничество с пакета услуг “Полный”.
В дальнейшем, DPO и DPM потребуется при всех изменениях в компании, например, новый проект, процесс или филиал, новые сотрудники или подрядчики. Но его вовлеченность может быть ниже, и потребуется меньшее количество часов работы.
Основные виды работ DPO и DPM
- Разработка и контроль выполнения плана по приведению компании в соответствие с GDPR.
- Коммуникация с надзорными органами в любой стране ЕС и СНГ.
- Рассмотрение обращений субъектов данных (жалобы, запросы, уточнения...).
- Анализ несоответствий требованиям GDPR (gap-analysis).
- Ведение реестра обработок в соответствии со ст. 30 GDPR.
- Регулярное обновление политик и процедур защиты персональных данных.
- Подготовка к сертификации по ст. 42 GDPR (после ее появления).
- Разработка и обновление документации и политик о защите персональных данных.
- Проведение DPIA (Оценки воздействия на защиту персональных данных) для рисковых процессов.
- Управление соответствием внешних партнеров и поставщиков Регламенту (vendor management).
- Менеджмент утечек персональных данных и уведомлений субъектов данных и надзорных органов по ст.33-34 GDPR.
- Предоставление консультаций и поддержки.
Проекты
Забронируйте бесплатную консультацию прямо сейчас!
Сможете задать интересующие вас вопросы в области защиты персональных данных.
Узнаете, подходит ли данный продукт для вашей компании или проекта.
Получите ориентировки по стоимости, длительности и другие детали.
Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!
Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.
Часто задаваемые вопросы
Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.
Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.
Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.
Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.
Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.
К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.
DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.