Комплексный аудит

Детальный аудит соответствия GDPR или другим законодательствам в области защиты персональных данных. Найдем пробелы в соответствии ваших процессов законодательства с помощью.

Наши консультанты имеют большой опыт в области приватности данных и знают все распространенные ошибки, которые допускают компании. Это позволит быстро обнаружить все нарушения законодательства и в кратчайшие сроки приступить к устранению недочетов. Комплексный аудит укажет все имеющиеся в вашей системе ошибки, и вы получите адаптированный под вашу компанию план работ для внедрения GDPR и других регламентов.

Многие компании на протяжении долгого времени могут заниматься сбором и обработкой персональных данных, однако при этом не уделять должного внимания законодательству о приватности. Поэтому прежде, чем начинать внедрение GDPR, мы всегда рекомендуем проведение Комплексного аудита.

За время работы “не по правилам” скапливается большое количество ошибок, некоторые из них обретают системный характер, и просто исправить несколько строчек в документах уже поздно — это так не работает. Перед началом полноценной работы над GDPR compliance следует узнать обо всех ошибках и недочетах в системах компании. Это позволит составить конкретный план действий, посчитать необходимые денежные и временные ресурсы.

Консультанты

Сергей Воронкевич

CIPP/E, CIPM, CIPT, MBA, FIP

Тренер и ведущий консультант.

Основатель Data Privacy Office в Германии, ОАЭ, Беларуси и США. Консультирует по европейскому GDPR и эмиратскому PDPL. Автор курсов по защите персональных данных GDPR DPP, Global DPM и UAE DPP. Удостоен почетного звания FIP международной ассоциации IAPP.

Елена Себякина

CIPP/E, Strategic privacy by design; GDPR DPP,Global DPM, DPT

Data Protection Officer

Елена имеет опыт управления проектами по внедрению GDPR, аудита продуктов и процессов, оценки рисков для приватности и уровня соответствия GDPR, проведения LIA, TIA, DPIA, дизайна приватности в IT продуктах.

Дарья Заграничнова

GDPR DPP, CIPP/E

GDPR Consultant

Дарья имеет опыт проведения внутреннего аудита процессов на соответствие GDPR, оценки рисков приватности и разработки продуктовых рекомендаций, а так же согласования договорных условий и соглашений, регулирующих защиту персональных данных.

Что включает услуга?

Общие вопросы управления ИТ, защиты данных и безопасности.
Оценка ИТ-рисков и процесс DPIA.
Проблемы с субъектом данных.
Права субъектов данных.
Процессы согласия субъекта данных.
Процесс информирования заинтересованных сторон.

Картирование обработки персональных данных и защиты данных.
Сотрудник по защите данных.
Регистр данных.
Система управления информационной безопасностью (СУИБ) GDPR.
Обработка персональных данных третьей стороной.

План работы

Шаг 1

Определим, какие требования и нормы распространяются на компанию, а какие нет.

Шаг 2

Проанализируем риски для компании, а также необходимые ресурсы для соблюдения GDPR.

Шаг 3

Составим чек-лист мероприятий и мер по устранению недочетов в работе с GDPR.

Шаг 4

Составим подробный план работ по приведению компании в соответствие Регламенту.

В результате вы получите

Список ошибок и пробелов в работе над приватностью данных.
Дорожную карту дальнейших действий для устранения пробелов.
Чек-листы для проверки отдельных действий.
Консультацию по внедрению Privacy by Design в продукты компании.
Рекомендации по выбору обучения GDPR для персонала и менеджмента.

Аудит Реестра обработок персональных данных

Оценка системы учета/реестра обработок персональных данных.

Анализируем существующий в компании Реестр обработок персональных данных (RoPA) на соответствие требованиям и предоставляем рекомендации по конкретным процессам.

Аудит политики приватности

Оценка системы учета/реестра обработок персональных данных. Оценка Privacy Policy/ Privacy Notice.

Выявляем несоответствия и возможности для улучшения политики приватности (в соответствии со статьями 13 и 14 GDPR и руководящими принципами EDPB). Может быть как “предварительной”, так и “углубленной”.

Аудит политики в отношении обработки cookie и cookie-баннера

Оценка cookie-баннера и уведомления об использовании файлов cookies на предмет соответствия европейским стандартам и лучшим практикам.

Политика использования файлов cookie объясняет, какие cookie активны на сайте, какие данные они отслеживают и с какой целью. Баннер запрашивает согласие пользователя на использование cookie и позволяет ему изменить настройки. Проверим соответствие политики и баннера и предоставим рекомендации.

ICO Accountability tracker

Оценка защиты персональных данных в компании по методике ICO Accountability Tracker.

Завершение разработки ICO системы отслеживания отчетности, в ходе которой выявляются проблемные и рискованные аспекты обработки персональных данных. Система отслеживания отчетности охватывает как внешние аспекты (например, прозрачность, права субъектов данных), так и внутренние (например, политики, осведомленность).

User Journey Assessment

Проведение user journey (путешествия пользователя) с точки зрения защиты персональных данных.

Команда экспертов проводит собрания, на которых Ваш продукт (веб-сайт, приложение) исследуется с точки зрения пользователя. В ходе этого путешествия все пробелы и проблемы регистрируются, а команда консультантов предлагает рекомендации по их устранению.

Проведение сессии DPIA & Privacy by Design

Оценка воздействия обработки на защиту персональных данных (DPIA), совмещенная с проектированием приватности (Privacy by Design) в системе.

Консультанты проводят собрания, на которых рассматриваются вопросы конфиденциальности и защиты данных на этапе проектирования любой системы, продукта или процесса, а затем на протяжении всего его жизненного цикла. Мы используем шаблон, разработанный нашей компанией

Ревью процесса ответов на запросы субъектов данных

Аудит процесса ответов на запросы субъектов данных.

Пересмотр процесса аутентификации субъекта данных, удаление данных, условия ответа. Вынесение рекомендаций относительно несоответствий и возможностей для совершенствования.

Assessment других документов (ToU, GDPR Statement, DPA, JCA, etc.)

Оценка соответствия GDPR для ToU/GDPR Statement/DPA/JCA.

Вынесение рекомендаций относительно несоответствий и возможностей для совершенствования.

Vendor audit

Аудит подрядчика(-ов) с точки зрения выполнения требований по защите персональных данных.

Аудит публичных документов поставщиков (политика конфиденциальности/уведомление, политика cookie, заявление GDPR) и проведение мини пользовательского путешествия по продукту для оценки адекватности сотрудничества.

Гарантии

Страхование рисков в размере 1 млн. евро

Мы обеспечиваем комплексную защиту через страхование профессиональной ответственности на сумму до 1 млн. евро.

Защита репутации

В случае регуляторной проверки мы защитим ваши интересы: будем управлять коммуникациями и представлять вас перед надзорными органами.

Комплаенс без перебоев в работе

Мы интегрируемся в рабочие процессы и каналы коммуникации без вреда для текущего ритма работы.

Наши проекты

«Думали, что GDPR-compliant, пока не получили результаты аудита», – о том, как помогли IT-компании избежать рисков на новом рынке

Наша задача была исключить риски по защите персональных данных при выходе бизнеса и продвижении продуктов за границами рынка СНГ, в частности — на рынке Европы. Сначала наша команда провела бесплатный аудит и диагностику пробелов по защите персональных данных, а затем – заполнила найденные неточности.

Уверенность в комплаенсе при выходе компании на рынок ЕС может сыграть против вас, если не провести аудит.

Было необходимо удостовериться в том, что бизнес соответствует GDPR перед продвижением продукта на рынке ЕС. Наши эксперты провели комплексный аудит, чтобы проверить комплаенс всех процессов, во время которого было выявлено несколько небольших пробелов, которые смогли устранить за три недели.

Как начать выстраивать систему защиты персональных данных в компании-разработчике мобильных игр?

С помощью аудита определили недостатки в процессах по защите персональных данных, дополнили список необходимыми мероприятиями в отношении детской возрастной категории и предусмотрели в политике приватности особенности привлечения пользователей в приложения с помощью размещения на различных маркетплейсах.

«Проверьте, насколько Compliant мы и наши конкуренты»

Наш клиент планировал выход на рынок ЕС (открытие офисов в Испании и Польше), для этого нужно было убедится в соответствии законодательству. Благодаря выстраиванию процессов по защите персональных данных, а также анализу деятельности конкурентов, компания получила дополнительное преимущество и отныне соответствует статусу GDPR-compliant.

Забронируйте бесплатную консультацию прямо сейчас!

Сможете задать интересующие вас вопросы в области защиты персональных данных.

Узнаете, подходит ли данный продукт для вашей компании или проекта.

Получите ориентировки по стоимости, длительности и другие детали.

Будем рады пообщаться и запланировать онлайн-встречу с прайваси-экспертом!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Имя

Фамилия

Телефон

Сообщение

Часто задаваемые вопросы

Зачем нужен GDPR, если мы можем скопировать основные документы у конкурентов?

Во-первых, о GDPR необходимо серьезно задуматься каждой компании, которая так или иначе имеет дело с персональными данными граждан ЕС. Это закон, который необходимо соблюдать. И не стоит забывать, что надзорные органы, конкуренты и недовольные клиенты всегда начеку. А во-вторых, каждый случай уникальный и для каждой компании необходимо разработать свой план по внедрению GDPR. Копирование документов конкурентов не спасет вашу компанию от штрафов и прочих рисков.

Почему необходимы часы консалтинга?

Для некоторых работ может потребоваться значительный практический опыт или глубокий анализ проблемы. Консультант выполнит эту работу намного быстрее и качественнее.

Можете ли вы дать бесплатное ревью по нашей текущей ситуации с GDPR?

Мы можем провести бесплатный экспресс-аудит вашей компании, отдельных процессов, продуктов или программного обеспечения на предмет соответствия Общему регламенту защиты персональных данных.

Учитываете ли вы национальные законы по защите персональных данных других стран?

Как показывает практика, в абсолютном большинстве случаев GDPR является золотым стандартом. Вдобавок к этому стандарту мы учитываем и национальные законы.

Вы делаете только документы по GDPR или затрагиваете и техническую сторону вопроса?

Мы делаем полное внедрение GDPR под ключ. Юридическая и техническая стороны вопроса по умолчанию входят в план по внедрению принципов Регламента.

Выдаёте ли вы "золотую бумажку" о том, что мы соответствуем GDPR?

К сожалению, такой такой бумаги не существует. Максимально приближённой версией является сертификация ISO27701. И у нас есть большой проект на 6-10 месяцев, по итогу которого мы внедрим стандарт ISO27701 в вашу компанию.

Нужен ли нам DPO?

DPO (Data Protection Officer) в первую очередь необходим тем компаниям, которые обрабатывают особую “чувствительную” категорию данных или работают с большим массивом персональных данных. При этом наличие DPO является очень хорошим тоном, спокойствием ваших клиентов и партнеров, которые знаю, что они всегда могут обратиться к нужному человеку для ответов на их запросы.

Трансграничная передача персональных данных по GDPR: что это и как организовать?

Кто такие Data Privacy Office?

6 типичных ошибок в работе с персональными данными, которые допускают компании