Ответственный за организацию обработки персональных данных на аутсорсинге
На постоянной основе поддерживаем законную обработку персональных данных с учетом особенностей бизнеса
Оператор - юридическое лицо обязано назначить ответственного за организацию обработки персональных данных
В соответствии с законами многих юрисдикций выполнение требований по обработке и защите персональных данных компании предусматривает назначение лица, которое будет отвечать за обработку персональных данных. В соответствии с международной практикой такую позицию называют Data Protection Officer (DPO).
В российском законодательстве (ст. 18.1 и ст. 22.1 152-ФЗ) введено понятие "ответственный за организацию обработки персональных данных". Закон требует от оператора, являющегося юридическим лицом, назначить такое лицо и уведомить о нем Роскомнадзор.
Нас можно назначить официально
Закон позволяет назначить ответственным не работника, а другую компанию. Мы обладаем соответствующей компетенцией, готовы полностью взять на себя эти функции в вашей организации и уведомить об этом Роскомнадзор.
Наши специалисты имеют подтвержденный опыт работы в качестве ответственных за организацию обработки персональных данных. На этой странице мы подробно рассказываем о нашей модели работы и преимуществах работы с нами.
Профессиональный DPO снижает риски финансовых потерь
Регуляторные риски
Штрафы (до 500 млн. руб.) за нарушения в области персональных данных, затраты на незапланированное изменение бизнес-процессов в связи с требованиями и предписаниями надзорных органов, затраты на сопровождение административных расследований и внеплановых проверок, судебное сопровождение.
Операционные издержки
Отсутствие систематического подхода к легализации обработки данных приводит к разночтению в различных документах, снижению личной ответственности работников, недостаточному учету процессов обработки персональных данных. Как следствие, более низкая отдача от инвестиций в Data Privacy.
Репутационные издержки
Ошибки при обработке персональных данных могут стать известны СМИ, партнерам и клиентам, что в конечном итоге будут связаны с недополученной прибылью и затратами на восстановление репутации.
Снижение затрат на ИБ
Минимизация обработки персональных данных, правильная классификация персональных данных и ряд других организационно-правовых мер уменьшают затраты на информационную безопасность путем снижения уровней защищенности собственных ИСПДн и переноса правового риска на реальных владельцев ИСПДн.
Риски от контрагентов
Функция DPO позволяет системно работать с правовыми рисками, переносимыми контрагентами на Вас и правильно распределять риски между вашими контрагентами. Такая работа снижает вероятность выплаты убытков контрагентам и повышает вероятность возмещения убытков контрагентами в вашу пользу.
Скорость сделки
Бизнес-клиенты все больше рассматривают обработчиков данных, не только выполняющих требования законов о персональных данных, но и способных это подтвердить, исследуют privacy-репутацию. Во многих сферах комплаенс по ПД сокращает время от обращения клиента до подписания договора.
В рамках сопровождения мы постоянно на связи и отвечаем на возникающие вопросы в области персональных данных, помогаем разобраться в тонкостях применения требований законодательства.
Консультации охватывают как стандартные ситуации работы с персональными данными, так и сложные случаи обработки биометрических данных, персональных данных специальных категорий, трансграничной передачи информации и т.п.
Даже в отсутствие полной проработки легализации процессов обработки персональных данных возникают задачи, которые нужно решить здесь и сейчас, но они не требуют больших трудозатрат: внести корректировки в согласие на обработку персональных данных, проанализировать договор, провести встречу с контрагентом и т.п. Мы оперативно в включаемся и решаем операционные задачи.
Отсутствие аудита процессов обработки персональных данных не является препятствием для заключения договора на сопровождение. По аналогии с работой внутренней команды ответственной за организации обработки персональных данных мы составим план аудита и ежемесячно выделим время на реализацию задач. Проведение аудита в подобной форме имеет свои преимущества, например, не требует единоразового большого отвлечения со стороны владельцев бизнес-процессов. Задачи, выполняемые во время аудита процессов обработки персональных данных описаны на отдельное странице услуг.
В связи с новыми разработками, изменением договоров с контрагентами и ряде других случаев меняются процессы обработки персональных данных, требующих их учета в во внутренней документации. Мы берем на себя управление изменениями в реестре процессов обработке персональных данных и уведомлении Роскомнадзора о об изменении таких сведений, если необходимо.
Документы в области обработки персональных данных требуют постоянного внимания в связи с:
Изменениями внутренних процессов
Организацией новых процессов и продуктов
Изменениями законодательства
Документооборот должен обеспечивать прозрачность процессов обработки персональных данных, четкое распределение ответственности между сотрудниками и соответствие установленным требованиям.
С учетом описанных аспектов поддержание документации в актуальном состоянии требует внимания и трудозатрат.
Если инцидент произошел, необходимо в кратчайшие сроки подключиться и начать работу с контрагентами и Роскомнадзором для снижения убытков и возможных штрафов. Времени на реагирование крайне мало, а плохо продуманная юридическая стратегия сопровождения инцидента может усугубить ситуацию. Сопровождение при инцидентах включает помощь в оценке масштаба происшествия, разработку плана действий по устранению последствий, документирование обстоятельств, подготовку всех необходимых уведомлений Роскомнадзора в установленные сроки, если возбуждено дело, то поддержку при административном расследовании.
Этот аспект задач включает подготовку всех необходимых уведомлений для включения в реестр операторов персональных данных, сопровождение процедур регистрации изменений в обработке данных, подготовку ответов на запросы Роскомнадзора, сопровождение внеплановых расследований административных дел и дел по КоАП РФ. Мы помогаем организациям осуществлять своевременное выполнение всех требований по взаимодействию с контролирующим органом.
Примеры задач по реагированию с Роскомнадзором
Подготовка уведомлений об обработке персональных данных для включения в реестр операторов или внесения в него изменений
Готовим ответы на запросы Роскомнадзора по результатам мероприятий систематических наблюдений и в ходе плановы и внеплановых проверок.
Сопровождаем запросы Роскомнадзора в связи с обращением субъектов персональных данных
Согласование договоров включает анализ условий передачи персональных данных контрагентам, разработку поручений на обработку данных и включение в договоры всех необходимых гарантий безопасности информации. Мы помогаем прописать обязанности сторон по защите переданных данных, ограничения на их использование и процедуры уведомления об инцидентах. Правильное оформление договорных отношений защищает организацию от ответственности за действия контрагентов с персональными данными.
Что мы делаем?
Анализируем структуру сделки с позиции всего затрагиваемого законодательства, так как обработка персональных данных допускается только на законной и справедливой основе (ст. 5 152-ФЗ).
Анализируем договоры на предмет корректности условий обработки персональных данных.
Разрабатываем или корректируем поручения на обработку персональных данных и/или NDA, советующими требованиям законодательства.
Определяем риски работы с контрагентом, помогаем провести переговоры и согласование договора в пользу клиента.
Для договоров с субъектом персональных данных делаем договор полноценным основанием обработки персональных данных, исключая исключая, где это возможно, согласия.
Прописываем обязанности сторон при обеспечении защиты переданных персональных данных.
Включаем условия, усиливающие позицию клиента при взаимодействии по обмену персональными данными или при сборе персональных данных от субъекта персональных данных.
Человеческий фактор часто становится причиной нарушений в сфере персональных данных, поэтому обучение персонала является критически важным элементом системы защиты информации. Обучение помогает сформировать культуру внимательного отношения к работе с персональными данным в организации, снизить риски случайных нарушений и обеспечить понимание сотрудниками своих обязанностей по защите конфиденциальной информации.
Работа с сильной командой "внешних DPO" - это еще и тренерство. Постоянно взаимодействуя с нами ваши специалисты совершенствуют свои знания, повышают уровень компетентности, перенимают опыт.
Что мы делаем?
Проводим тренинги по персональным данным для сотрудников различных подразделений
Организуем обучение ответственных лиц по вопросам соблюдения требований законодательства о персональных данных
Проводим инструктажи по правилам работы с информационными системами персональных данных
Консультируем по типичным нарушениям законодательства и способам их предотвращения
Разрабатываем внутренние обучающие материалы и памятки для персонала
Представительство включает защиту интересов в судебных инстанциях при обжаловании решений Роскомнадзора, Прокуратуры и других органов власти, а также при спорах с субъектами персональных данных и контрагентами.
Что мы делаем?
Представляем интересы на досудебной и судебной стадии
Подготавливаем процессуальные документы и доказательства для судебного разбирательства
Консультируем по вопросам предоставления персональных данных по запросам судов и правоохранительных органов
Динамичность правового регулирования в сфере персональных данных требует постоянного мониторинга изменений и их своевременного внедрения в практику организации. Подготовка аналитических сводок включает отслеживание всех изменений в федеральном законодательстве, анализ новых позиций Роскомнадзора и судебной практики по спорным вопросам.
Что мы делаем?
Ежемесячно отслеживаем изменения в федеральном законодательстве, подзаконных и ведомственных актах в сфере защиты персональных данных
Анализируем судебную практику и позиции Роскомнадзора по спорным вопросам
Подготавливаем аналитические обзоры с разъяснением практического применения новых норм
Формируем рекомендации по адаптации внутренних процессов к новым требованиям законодательства
Почему мы как внешние DPO
Мы готовы работать как дополнение действующей функции DPO, так и взять все заботы на себя.
Нас привлекают даже действующие команды DPO, так как мы можем посмотреть на проблемы другим взглядом. С большой вероятностью мы уже подходили к ее прямому решению или ином отраслевом аспекте.
В нашей компании реализована система управления проектами и задачами, которая позволяет держать контроль всех задач. Мы ведем учет трудозатрат и готовы предоставлять периодические отчеты.
Мы являемся постоянными организаторами и участниками конференций, семинаров, ведем курсы в учебных центрах, ведем социальные сети для экспертов по персональным данным и пишем статьи. Благодаря этому мы известны в кругу профессионалов и с нашими позициями быстрее соглашаются. Также репутация - это дополнительная гарантия, что вопрос клиента будет решен качественно.
Наши специалисты имеют опыт работы внутренними ответственными за организацию обработки персональных данных и имеют опыт быстрого погружения в специфику (культуру) компании. Мы выстроили нашу работу так, что бы Вы не ощущали большой разницы нашей работы с работой внутреннего DPO. Нам даже доверяют согласующую роль по всем договорам.
Мы понимаем, как сложно выполнять требования по защите персональных данных, всегда предлагаем альтернативные подходы с указанием рисков и умеем работать на основе принятых клиентом рисках.
Без назначения ответственного за организацию обработки персональных данных невозможно полностью соответствовать требованиям закона и уведомить Роскомнадзор об обработке. Внутренние специалисты несут риск ответственности должностного лица с максимальным штрафом до 800 000 рублей, который платиться из личного дохода. Вам не придется принимать сложных решений о совместительстве или искать в штат DPO с высокой зарплатой. Наша компания может быть назначена ответственным за организацию обработки персональных данных.
Мы не требуем проведение аудита процессов обработки персональных данных до момента заключения договора на выполнение функции ответственного за организацию обработки персональных данных. Более того, для ряда компаний "классический" аудит может быть неэффективным подходом.
Сопровождение по персональным данным - это сложный процесс, который стоит доверить профессионалам
Инвестиции в законную обработку персональных данных обеспечат стабильность, безопасность и доверие к вашему бизнесу
