Консалтинг по защите персональных данных

Создаем стратегию достижения комплаенса на 3-5 лет. Помогаем внедрить законодательство о защите персональных данных в процессы компании с нуля для 7+ законодательств. Программа опирается на требования международного стандарта ISO 27001+27701.

консалтинг по найиональным законам по защите персональных данных

Наведем порядок в персональных данных, даже если компания никогда не вела работы в этом направлении. Для этого проведем аудит процессов, определим, какое законодательство применимо, и разработаем список действий для соответствия требованиям.

Адаптируем процессы по защите персональных данных под требования любой новой юрисдикции. Для этого мы подберем подходящего по компетенциям и опыту консультанта, который сможет организовать необходимую работу.

Организуем работу по защите персональных данных, чтобы компания сохранила внутренний ресурс на достижение целей. Настроим систему так, чтобы команда смогла в дальнейшем ее поддерживать.

Поможем на любой стадии продукта: внедрим privacy by design во время создания и подготовим проект к выходу на международный рынок. После оказания услуги подготовим сертификат о том, что компания прошла аудит и внедрила privacy-практики в работу.

Что входит в услугу

Для каждого клиента наша команда разрабатывает кастомную услугу, которая состоит из отдельных блоков. Ее содержание зависит от географии, специфики и масштаба бизнеса. Кроме этого большое значение имеют результаты аудита: если обнаружится нехватка важного документа или процесса, мы предложим включить его в услугу.

Что мы можем сделать в рамках консалтингового проекта:

01

Предоставить специалистов DPO и DPM

Наши сертифицированные эксперты на время становятся частью вашей команды и помогают организовать процессы по защите персональных данных. Если в компании уже есть штатный DPO, то Data Privacy Manager поможет координировать работу и отслеживать , как сотрудники выполняют требования по защите персональных данных.

02

Разработать дорожную карту соответствия и помочь ее реализовать

Разработаем подробный план по внедрению применимого законодательства на срок от 6 месяцев до 5 лет. Задачи в плане будут разделены по приоритетам: срочные, необходимые, желательные, но не обязательные. В зависимости от пакета услуги поможем реализовать тот или иной scope этих задач.

Провести аудит соответствия

Определим применимые законодательства по защите персональных данных и проверим, насколько процессы соответствуют их требованиям. Подготовим Action Plan по заполнению выявленных пробелов.

03

Обучить сотрудников вопросам защиты персональных данных

Проведем корпоративный тренинг по защите персональных данных: углубленный — для privacy-чемпионов, базовый — для остальных команд. Разработаем кастомную программу с учетом особенностей бизнеса и бюджета.

04

Подготовить необходимые privacy-документы

Создадим с нуля или обновим уже существующие privacy-документы, которые требуются в законодательстве: Privacy Policy, Cookie Policy, LIA, SSC и другие.

05

Провести процедуру DPIA

Выявим обработки, которые несут высокий риск для персональных данных, и запланируем работу по их устранению.

06

Подготовить компанию к проверке надзорных органов

Оценим риски и поможем подготовить документацию, чтобы уверенно пройти проверку от любого надзорного органа. Научим команду, как на неё правильно реагировать.

07

Разработать Privacy User Journey

Оцифруем путь пользователя с точки зрения персональных данных: от сбора до удаления. Покажем, в каких точках важно проинформировать пользователя, запросить согласие и как лучше всего дать возможность воспользоваться своими правами.

08

Разработать Privacy Center

Создадим цифровое пространство, где пользователи смогут найти всю информацию о том, как компания работает с персональными данными. Включим туда ответы на частые вопросы, политики приватности, визуальные объяснения и удобные формы для реализации прав субъектов данных.

09

Оказать кастомную услугу

Если вы не нашли подходящей услуги, заполните форму здесь. Мы свяжемся с вами, обсудим потребность и предложим варианты решений.

Почему Data Privacy Office?

Экспертность

У всех консультантов есть международные сертификации (например, от IAPP).

Законодательства

Работаем с GDPR, CCPA, UAE PDPL, PIPL, Законом Республики Беларусь № 99-З, Законом Республики Казахстан № 94-V.

Консультация

Организуем бесплатную встречу с экспертом, который определит scope задач, даст первичные советы и подскажет подходящую услугу.

Время

Отвечаем сразу после получения заявки. Не боимся срочных проектов и не завышаем на них цену.

Бизнес

Внедряем требования не в ущерб бизнес-процессам. Делаем защиту данных не тем, что вас ограничивает, а тем, что делает компанию сильнее.

Масштаб

Работаем с компаниями любых размеров: от международных корпораций до стартапов.

География экспертизы

Europe

UK | France | Georgia | Germany | Ireland | Poland | Switzerland

Africa

Algeria | Côte d’Ivoire | Kenya | Morocco | Senegal

CIS

Armenia | Azerbaijan |
Belarus | Kazakhstan | Russia | Uzbekistan

Middle East

Qatar | Saudi Arabia | UAE

General Data Protection Regulation 

UAE Federal PDPL

DIFC DPL и ADGM DPR

India Digital Personal Data Protection Act

California Revenue and Taxation Code

California Consumer Privacy Act

Regulations to the Federal Law on the Protection
of Personal Data Held by Private Parties 2011

Personal Information Protection Law

Personal Information Protection Law

Act on the Protection of Personal Information

Закон Республики Беларусь
о защите персональных данных

Закон Республики Казахстан
о персональных данных и их защите

 Закон «О защите персональных данных» (Грузия)

Закон Кыргызской Республик
об информации персонального характера

Закон Республики Армения
о персональных данных

Закон Украины
о защите персональных данных

Законодательство Франции в сфере защиты персональных данных

Закон о защите персональных данных в Турции

Федеральный акт о защите персональных данных

Закон о защите данных (Великобритания)

Закон о защите персональных данных (PDPA) Аргентины

Законодательство Новой Зеландии
в сфере защиты персональных данных

Asia-Pacific

China | Hong Kong | India | Indonesia

Latin America

Argentina | Brazil | Mexico | Colombia

USA

California | Colorado | Connecticut | Delaware | Utah | Virginia

North America

Canada

Команда консультантов

Основатель Data Privacy Office в Германии, ОАЭ, Беларуси и США. Консультирует по европейскому GDPR и эмиратскому PDPL. Автор курсов по защите персональных данных GDPR DPP, Global DPM и UAE DPP. Удостоен почетного звания FIP международной ассоциации IAPP.

Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP
Елена имеет опыт управления проектами по внедрению GDPR, аудита продуктов и процессов, оценки рисков для приватности и уровня соответствия GDPR, проведения LIA, TIA, DPIA, дизайна приватности в IT продуктах.

Елена Себякина

CIPP/E, Strategic privacy by design; GDPR DPP,Global DPM, DPT
Ученый, юрист (Квебекская Коллегия адвокатов), Ph.D. (Франция), LL.М. (Канада и Швейцария). Работал во Франции, Канаде и Швейцарии, в том числе в качестве консультанта по сравнительному праву на неприкосновенность частной жизни в Департаменте юстиции.

Луи-Филипп Граттон

PhD, LLM
Ульяна cпециализируется на создании политик приватности, RoPA, проведении DPIA и LIA, так же сессий Privacy by design. Принимала участие в создании сервиса по генерации политик приватности DP Check.

Ульяна Дергачева

CIPP/E, GDPR DPP, DPT, Global DPM, Strategic Privacy by Design
Дарья имеет опыт проведения внутреннего аудита процессов на соответствие GDPR, оценки рисков приватности и разработки продуктовых рекомендаций, а так же согласования договорных условий и соглашений, регулирующих защиту персональных данных.

Дарья Заграничнова

GDPR DPP, CIPP/E
Анастасия начинала свою карьеру как штатный юрист в IT-компании, где, помимо вопросов приватности, занималась также интеллектуальной собственностью, нюансами налогообложения сделок с иностранными компаниями, оформлением договорных отношений. С 2021 года Анастасия - консультант ООО "Дата Прайваси Офис". Магистр права.

Анастасия Пархимович

CIPP/E, GDPR DPP
Анастасия обладает обширным опытом проведения аудитов, составления документации, управления трансграничной передачей данных для мобильных приложений, в том числе предназначенных для детей, стриминговых платформ и т.д.

Анастасия Вербанович

CIPP/E, GDPR DPP, GDPR DPT, Global DPM, Strategic Privacy by Design
Сдала квалификационный экзамен компании Яндекс по программированию, обладает профессиональной квалификацией IBM Data Scientist. На данный момент обучается в Германии, в Университете Саарланда на программе "Искуственный интеллект и наука о данных".

Алисейчик Елена

GDPR DPP, GDPR DPM, DPT, CIPP/E

Гарантии

01

Страхование рисков в размере 1 млн. евро

Мы обеспечиваем комплексную защиту через страхование профессиональной ответственности на сумму до 1 млн. евро.

02

Защита репутации

В случае регуляторной проверки мы защитим ваши интересы: будем управлять коммуникациями и представлять вас перед надзорными органами.

03

Комплаенс без перебоев в работе

Мы интегрируемся в рабочие процессы и каналы коммуникации без вреда для текущего ритма работы.

Достигните compliance в любом регионе мира

обучение по защите данных

Наши проекты

GDPR-compliant

«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Наша задача была исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы. Сначала наша команда провела бесплатный аудит и диагностику пробелов по защите персональных данных, а затем – заполнила найденные неточности.
аудит GDPR

Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.

Было необходимо удостовериться в том, что бизнес соответствует GDPR перед продвижением продукта на рынке ЕС. Наши эксперты провели комплексный аудит, чтобы проверить комплаенс всех процессов, во время которого было выявлено несколько небольших пробелов, которые смогли устранить за три недели.
GDPR для мобильных приложений

Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.
конкурентный анализ по GDPR

«Проверьте, насколько Compliant мы и наши конкуренты»

Наш клиент планировал выход на рынок ЕС (открытие офисов в Испании и Польше), для этого нужно было убедится в соответствии законодательству. Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.

Часто задаваемые вопросы

Услуги по защите персональных данных нашей компании включают в себя комплексные решения для обеспечения защиты персональных данных, а также соблюдение требований законодательства о персональных данных, включая GDPR, PIPL, PDPL и другие. Среди наших услуг: дорожная карта по защите персональных данных, аутсорсинг специалистов Data Protection Officer и Data Protection Manager, комплексный мультиюрисдикицонный консалтинг и оценка соответствия EU AI Act.

Система защиты персональных данных — это все процессы и инструменты, которые позволяют защитить персональных данные пользователей. В нее входят средства защиты информации, организационно-распорядительная документация, внутренние политики, обучающие программы для сотрудников и другие элементы, которые помогают предотвратить утечку и обеспечить безопасность персональных данных.

Согласие на обработку персональных данных — это юридически обязательный документ, который подтверждает согласие субъекта на обработку его персональных данных в соответствии с требованиями законодательства.

Для защиты персональных данных от утечек необходимо использовать современные средства защиты информации, разработать качественную внешнюю и внутреннюю политику приватности и соблюдать правила обработки персональных данных.

Пакет документов по защите персональных данных включает в себя политику приватности, документы, подтверждающие согласие на обработку, Реестр обработки персональных данных, Реестр хранения персональных данных, а также другую организационно-распорядительную документацию, необходимую для соблюдения законодательства.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

консалтинг по защите данных

Разработка и аудит privacy-документов

Проведем аудит существующих и разработаем новые документы, которые требуются для вашей компании: Privacy Policy, Cookie Policy, LIA, SSC и другие.

Какие документы по защите персональных данных нужны компаниям?

Они помогают компании продемонстрировать, что она заботится о защите персональных данных и соблюдает требования законодательства.

Это своего рода журнал всех операций с персональными данными, которые осуществляет компания. Без него невозможно пройти аудит или быстро ответить на запрос субъекта данных.

Объясняет пользователям, какие данные собираются и зачем.

Подтверждает, что использование данных обосновано интересами компании и не нарушает права человека.

Любая передача данных вовне — это зона риска. Эти документы помогают управлять этим риском.

Гарантирует, что подрядчик соблюдает правила GDPR.

Типовой договор, который используется для оформления трансграничной передачи персональных данных за пределы Европейского Союза.

Обозначают, кто за что отвечает, если несколько компаний обрабатывают одни и те же данные.

Помогает отслеживать, куда и кому уходят персональные данные.

GDPR — это не только про документы, но и про реальную практику. Эти процедуры позволяют внедрить правила в ежедневную работу.

Правила внутри компании: кто и как работает с данными.

Согласие должно быть зафиксировано и, при необходимости, отозвано по правилам.

Когда человек просит удалить данные, у компании должен быть понятный и быстрый алгоритм реагирования на запрос.

Если субъект изменил или удалил данные, об этом нужно сообщить тем, кто их получил.

Данные не должны храниться вечно. Эти графики помогают их вовремя удалять.

Даже старые диски и бумаги с данными должны быть уничтожены по правилам. Задокументированный процесс позволяет сделать это вовремя и по правилам.

Этапы работы

Шаг 1. Проводим интервью с сотрудниками, чтобы найти все процессы, в которых обрабатываются персональные данные.

Шаг 2. Проверяем сайт на наличие трекеров, счетчиков и вебформ.

Шаг 3. Для каждой обработки определяем цель и основание.

Шаг 4. Устанавливаем сроки хранения данных.

Шаг 1. Анализируем текст политики приватности по собственному чек-листу для проверки соответствия требованиям.

Шаг 2. Проверяем результаты первичного аудита при помощи другого консультанта, чтобы исключить возможные недочеты.

Шаг 3. Готовим рекомендации по исправлению найденных в документе ошибок.

Шаг 4. Презентуем и обсуждаем предложенные изменения.

Наша команда не советует делать документы без предварительного аудита и настройки процессов. Описывать практики защиты персональных данных, без системы защиты персональных данных как наводить порядок в полнейшей темноте.

Достигните compliance в любом регионе мира

обучение по защите данных
защита персональных данных

Проведение DPIA

Анализируем процессы и находим потенциальные риски для персональных данных. Классифицируем по степени влияния на права субъектов и находим решения, как их минимизировать.

Что такое DPIA?

Оценка воздействия на защиту персональных данных (Data Protection Impact Assessment — DPIA) — процедура, которая предусматривается ст. 35 GDPR. В ходе нее описываются все процессы по работе с персональными данными внутри компании. После чего каждый оценивается с точки зрения того, может ли он навредить субъектам и насколько сильно. Исходя из этого определим слабые места в системе и дадим рекомендации по их устранению. 

Процесс работы

Проводим анализ бизнес-модели, технологического стека и юрисдикций, в которых работает компания. Определяем, какие данные собираются, как они используются и для каких целей.

Оцениваем, какие угрозы может повлечь обработка персональных данных: дискриминация, профилирование, манипуляция. Привлекаем к анализу продуктовую команду. Это помогает учесть влияние на пользователей и сформировать практически применимые рекомендации.

Анализируем существующие механизмы защиты и оцениваем их эффективность. Формируем рекомендации, которые можно внедрить без ущерба для продукта. Финализируем DPIA после реализации всех мер, фиксируем действия в реестре обработок и распределяем ответственность за их выполнение.

Результат DPIA — сводная таблица, в которой описаны:

📎  категории, цели, объемы персональных данных, которые обрабатывает компания;

📎  процессы их сбора и обработки;

📎  сотрудники и подрядчики, принимающие участие в процессе;

📎  выявленные риски, слабые места и возможные угрозы;

📎  запланированные действия в случае нарушения приватности.

Каждый раз, когда компания приступает к новому проекту или процессу, связанному с персональными данными, или меняет что-то в старых, она должна провести DPIA.

Достигните compliance в любом регионе мира

обучение по защите данных

Подготовка к проверке надзорных органов

Готовим компанию к проверке надзорного органа — от внутреннего аудита до плана действий на случай визита инспектора. Приводим в порядок процессы, документы и обучаем команду.

Проверка надзорного органа — это официальный процесс, в рамках которого оценивается, как организация соблюдает требования закона о персональных данных. Проверяющие изучают, какие данные собираются, как они используются, защищаются и как реализуются права пользователей. Такая проверка может быть плановой или проводиться по жалобе. По её итогам организация получает рекомендации или предписания, которые необходимо выполнить.

Этапы работы

Проводим проверку всех процессов работы с персональными данными: что именно собирается, где хранится, кто имеет доступ и кому передаётся. Это помогает заранее найти слабые места и устранить их до начала проверки.

Приводим в порядок все документы по обработке данных: политики, уведомления, договоры, внутренние регламенты. Проверяем, чтобы информация на сайте соответствовала законодательству.

Объясняем сотрудникам, как безопасно обращаться с данными, что делать в случае запроса от пользователя или проверки. Готовим простые инструкции и проводим короткие тренинги.

Помогаем выбрать и подготовить человека (или команду), который будет отвечать за коммуникацию с надзорным органом и контроль за соблюдением всех требований внутри компании.

Проверяем, как защищены ваши системы, и где могут быть уязвимости. Обновляем пароли, ограничиваем доступ, готовим соглашения о конфиденциальности с подрядчиками.

Если вы работаете с чувствительными данными — проводим анализ рисков. Помогаем сформулировать выводы и подготовить корректирующие меры.

Если вы работаете с чувствительными данными — проводим анализ рисков. Помогаем сформулировать выводы и подготовить корректирующие меры.

Настраиваем процессы обработки запросов: доступ к данным, их удаление или исправление. Готовим шаблоны ответов и обучаем сотрудников.

Создаём внутреннюю инструкцию: как встречать проверяющих, какие документы показывать, кто и за что отвечает. Всё — по шагам.

Настраиваем систему отслеживания новых требований, чтобы ваша организация всегда была готова к проверке.

В результате услуги компания получает готовую стратегию, чтобы успешно пройти проверку надзорного органа: внутренний аудит, обновленную документацию, обученную команду, назначение ответственного за защиту данных, технические меры безопасности и план действий на случай инцидентов. Сотрудники компании знают, как действовать в случае проверки и отслеживать изменения в законодательстве.

Достигните compliance в любом регионе мира

обучение по защите данных

Разработка Privacy User Journey

Проанализируем цели и объем обработки данных, разработаем безопасные и прозрачные сценарии взаимодействия с privacy-элементами веб-сайта или приложения.

Что такое Privacy User Journey?

Privacy User Journey — это схема того, как пользователь взаимодействует с сайтом или приложением с учетом вопросов приватности и защиты персональных данных. Она помогает сделать так, чтобы пользователю было понятно, какие данные собираются, зачем и как ими можно управлять.

Зачем создавать Privacy User Journey?

Privacy User Journey помогает встроить в продукт все обязательные элементы приватности: уведомления о сборе данных, формы согласия, ссылки для отзыва и удаления информации. В процессе мы разбираем, где и какие данные собираются, и добавляем понятные механизмы управления ими.

Во время анализа пользовательского пути мы выявляем, на каких этапах взаимодействия пользователь задаётся вопросами вроде «зачем это?» или «куда идут мои данные?». Мы делаем процесс прозрачным: добавляем подсказки, визуальные индикаторы и пояснения.

Через пошаговое проектирование сценариев мы определяем, какие данные действительно нужны для работы сервиса. Это позволяет убрать лишнее, а значит — уменьшить объём хранимых данных и снизить потенциальные риски их утечки или ошибочной обработки.

Мы внедряем элементы управления персональными данными так, чтобы они были логично встроены в интерфейс и не мешали задачам пользователя. Например, опции «скачать мои данные» или «отозвать согласие» становятся доступными там, где пользователь их ожидает.

Мы исследуем и тестируем путь пользователя, чтобы узнать, какие точки могут вызывать напряжение или недоверие. Это позволяет заранее настроить коммуникацию, адаптировать формы и тексты так, чтобы у пользователя не возникало сомнений о том, насколько справедливо используются его персональные данные.

В результате услуги компания получает детально проработанный пользовательский путь, который включает карты данных, инструкции по сбору и обработке персональных данных и механизмы управления ими. Также мы предоставляем готовую документацию для соблюдения законодательства и рекомендации по улучшению пользовательского опыта в области защиты персональных данных.

Достигните compliance в любом регионе мира

обучение по защите данных

Разработка Privacy Center

Определим составляющие в Privacy Center исходя из специфики бизнеса: проанализируем сайт и имеющиеся публичные документы, проведем интервью со специалистом по защите персональных данных в компании. Поможем разработать недостающие документы.

Что такое Privacy Center?

Privacy Center — это отдельный раздел сайта или приложения, где собрана вся информация о работе с персональными данными. Он помогает пользователям управлять своими данными, обеспечивает прозрачность и способствует соблюдению требований законов о приватности.

Что входит в Privacy Center?

Этапы работы

Анализируем специфику бизнеса, его географическое присутствие, количество клиентов и тип обрабатываемых данных. В зависимости от этих факторов даем рекомендации по компонентам, которые необходимо включить в Privacy Center.

Наша команда проводит оценку уже имеющихся документов, связанных с обработкой персональных данных. Проводим тщательный анализ текущей структуры сайта компании, чтобы выявить слабые места в области приватности и защиты персональных данных.

Собираем информацию и погрузиться во внутренние процессы по обработке персональных данных.

На основе собранной информации готовим рекомендации по структуре Privacy Center для вашего бизнеса. Определяем важные разделы, которые нужно предоставить пользователю.

Проверяем, как защищены ваши системы, и где могут быть уязвимости. Обновляем пароли, ограничиваем доступ, готовим соглашения о конфиденциальности с подрядчиками.

Если вы работаете с чувствительными данными — проводим анализ рисков. Помогаем сформулировать выводы и подготовить корректирующие меры.

Создание и интеграция компонентов: Privacy Notice, Cookie Policy, информация о реализации прав субъекта данных, раздел с часто задаваемыми вопросами (FAQ), а также механизмы управления настройками приватности.

Чтобы сделать раздел удобнее, добавляем специальные функции: интерактивные настройки приватности. Они позволяют пользователям контролировать, как их данные используются. Также важно подробно описать меры информационной безопасности, которые предпринимаются для защиты персональных данных.

После того как Privacy Center готов, он интегрируется в сайт или мобильное приложение. Важно настроить систему обратной связи, чтобы пользователи могли легко задать вопросы или сообщить о проблемах, связанных с их данными.

В результате компания получает полностью интегрированное решение, которое показывает прозрачность обработок и соответствие требованиям. Пользователи — легкий доступ к информации о защите своих персональных данных и возможность самостоятельно управлять настройками приватности.

Достигните compliance в любом регионе мира

обучение по защите данных