Аутсорсинг DPO. Коли GDPR compliance це конкурентна перевага

Дотик сервісу. Пробник приватності.

 

Сучасний бізнес це історія точок дотику з клієнтом. Перша зустріч може бути у гуглі – користувач інтернету побачив вашу рекламу у відповідь на свій запит і клікнув. На сайті він прочитав статтю, подивився прайсинг на Ваш saas сервіс і покинув Ваш сайт, продвживши свій інтернет серфінг.

 

Аж тут, на одному із сайтів він (а може вона?) бачить вашу рекламу, яка пропонує йому повернутись до вас і все ж спробувати безкоштовно ваш продукт впродавж тріал періоду. Клік, і він вже на сайті, ще клік, і він вже каже «ОК» і логіниться через свій FB аккаунт, показуючи вам ще й свій і мейл. Та-да, тепер це не рандомний користувач інтернету. Тепер це користувач Вашого продукту (правда безкоштовної версії) і ваше завдання зробити так, щоб перша покупка відбулась, а за нею слідувала лояльність довго-довго.

 

Складовою Вашого продукту є те, як ви обробляєте персональні дані користувача та як проводите комунікацію з ним щодо цього.

 

Пробник приватності користувач відкриває вже тоді, коли вперше потрапляє до Вас на сайт, адже там є кукі-банер з можливістю обрати потрібні реп’яшки і клікнути – чи хоче він ремаркетинг собі, чи не дуже.

 

При реєстрації / вході в аккаунт в рамках траял періоду, користувач проклацав (надав інформовану згоду), прочитавши ваш privacy policy, на умови використання його персональних даних в рамках використання вашого продукту. Ця тавтологія тут не з проста. Вже на цьому етапі, якщо комунікація щодо приватності та прав особи прозора, зрозуміла та комплаєнста (!), то і шанси на конверсію юзера на траял період, а потім і на платний, можуть бути вищими.

 

DPO користувачеві друг

 

Багато є цікавих професій в ІТ. Дизайнер робить дизайн, кодер робить код, а менеджер менеджерить. Завдання UI/UX дизайнера – зробити CJM якомога комфортнішим. А що ж робить DPO?

 

DPO пропагує і намагається реалізувати приватно-центриський підхід в компанії. Іншими словами, завдання Data protection officer – побудувати процеси так, щоб кожен користувач сервісу (навіть, якщо їх мільйони та мільйони) міг в декілька кліків отримати інформацію про себе, якою володіє сервіс, уточнити її, видалити, а іноді – дізнатись про себе щось нове. Ідея позиції DPO в saas компанії – зробити дотики користувача та сервісу, які стосуються питань приватності максимально комфортними, зрозумілими та передбачуваними.  

 

Аутсорсинг DPO, або ж DPO as a service

 

Замовлення послуги аутсорсингу Data protection officer передбачає інволвмент DPO у всі процеси, що так, чи інакше стосуються персональних даних. Для того, щоб і компанія і користувачі дійсно отримали бенефіти від такого занурення, воно має бути реальним, а не номінальним. В чому ж воно полягає? Давайте поглянемо.    

 

Наявність Data protection officer та вказання DPO на сайті

 

Сама наявність крутого DPO в компанії вже каже багато про що. Це і статус, це і культура. Building privacy as a culture демонструє користувачу, що організація максимально зацікавлена в безпеці його персональних даних та прозорій комунікації з ним.

Коли privacy policy написано зрозумілою мовою і вказано, що наш DPO – крутезний, бо має і експіріенс релевантний, і світогляд широкий, і знання сертифікатом підтверджені, і, взагалі, will fight for your rights!, то якось і на душі стає спокійніше, правда ж?

 

Наприклад, щось на кшталт:

We designated a Data Protection Officer (“DPO”) in order to ensure that our Company processes personal data in compliance with the applicable data protection laws. Contact our DPO now!


External Data Protection Officer
Legal IT Group LLC
Office 1, 38 Volodymyrska Str.
01030 Kyiv, Ukraine

    Data protection officer
Represented by Tarasiuk Anton CIPP/E & Kateryna Dubas (Lead DPO) (both CIPP/E)

DPO@company.com
 
 

Також DPO часто просять вказати в Data processing agreement або в інших договорах компанії. DPO також може бути вказаний в презентації компанії, яка демонструє, чому саме і яким чином компанія виконує вимоги GDPR.

 

 

Аутсорсинг DPO = аутсорсинг privacy знань для команди

 

Деякі компанії практикують імітацію GDPR. Роблять декілька політик на сайт, декларують, що готові реалізовувати права суб’єктів даних, а на практиці, якщо приходить DSAR – запит на доступ до персональних даних, не знають куди бігти, бо команда не знає, що таке DSAR, які є права у суб’єктів даних за GDPR та в які строки потрібно відповідати.

 

При аутсорсингу сервісу DPO, для команди може бути проведений онлайн тренінг, скажімо, в 2 етапи: на першому відбувається розповідь про фундаментальні основи та суть GDPR, або іншого регулювання у сфері приватності, що застосовується до компанії. Наприклад, якщо це глобальний бізнес, і є клієнти і з Бразилії, і з Канади, то варто провести тренінг і про LGPD та PIPEDA.

 

Привітні спікери, які можуть донести інформацію про GDPR до слухачів – ключ до успіху.

Наступний вебінар може бути вже про специфіку обробки даних самою компанією. Пояснення data-mapping, ролі компанії (контролер / процесор) і ролі кожного на цьому тренінгу у обробці таких даних. Пояснення концепції privacy as a culture та втілення її в життя шляхом проведення тренінгів та тестів дозволить не лише декларувати дотримання принципів GDPR, а і реально впровадити кращі практики в життя.   

 

Учасникам команди, тим, які  успішно складуть тест, можна видати сертифікати, а саму таку сертифікацію використати як додаткове підтвердження GDPR compliance організації.

 

Аутсорсинг DPO – аутсорсинг проведення Data protection impact assessment

 

DPIA – дослідження, як нові бізнес-процеси вплинуть на приватність користувачів. Наприклад, компанія запускає нову механіку і планує не просто рекомендувати смачні сніданки своїм користувачам, а і знайомити тих, хто любить їсти сирники вранці. Так, мовляв, шансів більше. Виходить, що в результаті, дані користувачів будуть пропонуватися один одному, звісно ж, для їхнього блага, але такий шеринг може бути не бажаним для всіх та кожного.

 

DPIA в цьому випадку покликане визначити – що саме відбудеться з даними, які ризики це несе, та які кроки необхідно зробити для захисту прав суб’єктів персональних даних при введені такого нового бізнес-процесу. Таке завдання можна доручити Вашому DPO на аутсорсі.

 

Аутсорсинг DPO – аутсорсинг планової перевірки GDPR документів

 

GDPR compliance це динаміка. Не можна зафіксувати відповідність нормам та вимогам щодо роботи з персональними даними у вакуумі, адже компанія знаходиться у постійному русі. Час йде, все змінюється – люди, їхні дані, звички, способи взаємодії з компанією. Змінюється і Ваша компанія, змінюються люди, підходи, процедури. А знаєте, що ще змінюється? Регулювання. Був час, коли, наприклад, бразильский LGPD ще не вступив в силу, і ніхто на нього не зважав, коли робив документи. Кажуть, були часи, коли і GDPR не було.

 

Чи не кожний квартал виходять нові роз’яснення EDPB, а ще – постійні штрафи для компаній, які можуть бути у Вашій же ніші. Перегляд документів по приватності, їх оновлення та підтримка їх в належному стані – чи не головний та основоположний принцип підтримки GDPR compliance.

 

Аутсорсинг DPO – аутсорсинг DSAR відділу (відповідей на запити користувачів)

 

DSAR, або ж Data subject access request це запит умовного Сема про те, що ж там відбувається з його даними. Відповідно до положень GDPR, компанія має відповідати на такі запити, і не просто відповідати, а робити це зрозумілою мовою, реалізуючи права суб’єкта даних. Часом такі запити прості, а часом складні. It depends як від бізнес-процесів компанії щодо роботи з персональними даними, так і від того, скільки ж тих даних, і як вони впорядковані.

 

Одна компанія може отримати один такий запит на місяць, а інша – постійно перебувати в динаміці спілкування з користувачами щодо їх прав та інформації. Відповіді на DSAR це мистецтво. Тут треба і зрозуміти – чи маємо ми надавати ці дані, чи це дійсно та особа, яка має право на інформацію, в якому об’ємі надати відповіді та в який строк. З цим може допомогти Ваш Data protection officer.  

 

Аутсорсинг DPO – аутсорсинг взаємодії з B2B клієнтами щодо DPA та опитувальників

 

Буває так – компанія планує підписати нову угоду з великим клієнтом, аж тут приходить опитувальник на 100 питань, в якому в деталях просять розповісти, як саме Ваша компанія захищає та працює з персональними даними фізичних осіб – які пілітики є, чи проводилися тренінги, і ще безліч питань, відповіді на які допоможуть зрозуміти клієнту, чи дійсно Ви в GDPR / LGPD / etc. compliance, і чи можна вести з Вами справи.

 

Аутсорсинг DPO, або ж DPO as a service дозволяє делегувати таке завдання Вашому Data protection officer. Саме ця особа чудово розбирається у Вашій механіці обробці даних, та, відповідно, здійснить заповнення опитувальника та комунікацію з клієнтом щодо нього найбільш ефективно та швидко.



Напиши в телеграм, щоб отримати деталі нашої DPO послуги 




Погане заповнення такого опитувальника, або ваші широкі очі, коли ви чуєте від клієнта про необхідність надати Ваш шаблон Data processing agreement можуть негативно вплинути на можливість укладення угоди. А знаєте, як ще буває? Буває ці опитувальники заповнюють аби як, вгадуючи, придумуючи, навмання. Гірше й не придумаєш.

Тест від клієнта у формі опитувальника – це початок побудови надійних відносин з Вами у сфері приватності, на основі довіри, в перчу чергу, довіри клієнтів Вашого клієнта. Не хочеться підвести цих людей, правда ж? Аутсорсинг DPO – ваш вклад у розбудову довготривалих та надійних відносин з Вашим клієнтом.   



Аутсоринг DPO – аутсорсинг комунікації з контролюючими органами (Data protection authority)

 

Коли GDPR ще тільки починався, а небо було синім-синім, а трава зеленою-зеленою, люди і компанії дуже лякалися можливості комунікації з контролюючими органами у сфері приватності. Що? Нам написали з DPA якоїсь з європейських країн? ВИДАЛЯЙ ВСІ ДАНІ БІГОМ!!11.

 

Зараз все не так. Для DPO можливість пояснити DPA умови обробки даних в компанії це шанс додатково продемонструвати GDPR compliance. Хороший DPO ще й використає цей факт для підсилення accountability компанії. Мовляв – отримували запити від контролюючих органів, пояснювали, їм все сподобалось, що є ще одним доказом нашої фантастично-якісної безпеки даних та законності їх обробки.

 

Аутсорсинг DPO – аутсорсинг консалтингу по GDPR / PIPEDA / LGPD / CPRA

 

Приватність динамічна, а тому приймати рішення щодо обробки даних потрібно виважено. Чи можемо ми продати цю базу даних? А можна нашим юзерам надіслати і-мейл з пропозицією наших партнерів? Що ми можемо встановити, співставивши дві бази даних? Ці та інші питання постійно виникають у маркетологів чи продукт-овнерів. А ще є категорія питань з безпеки та збору даних. Невже це все регламентовано?

 

Так, регламентовано. Ба більше, є багато екстериторіальних нормативних актів, що означає для компанії їх дотримуватись, якщо вона якось взаємодіє з даними людей на відповідному ринку.

 

Головне в консалтингу – питання оцінки ризиків. Досвідчені DPO можуть прогнозувати тренди і розуміють, як вони співвідносяться з Вашим бізнесом.

Вчасний та влучний консалтинг від досвідченого Data protection officer це просто must для сучасної компанії, яка має глобальні продукти та сервіси.

 

Ефективна взаємодія з DPO на аутсорсі  

 

Отже, ми розібрали основний пул задач, який може взяти на себе DPO IT компанії.

Давайте ще раз коротко.

 

  • DPO може розробити навчальні матеріали для команди, провести тренінг, видати сертифікат. Це і команду підсилить, і compliance забустить. І це багаторазовий артефактJ
  • DPO може провести DPIA та інші privacy процедури, що є необхідними для законних та «комплаєнсних» змін та нововведень у сфері приватності в компанії.
  • DPO допоможе тримати privacy документи в «тонусі», адже не круто посилатись на privacy shield, коли він вже не працює
  • DPO допоможе з відповідями суб’єктам даних – чи то в наданні інформації, чи то в її апдейті. DSAR отримав – DPO підключив. А може DPO отримає його і на прямуJ
  • DPO попрацює з опитувальником по GDPR від клієнта твоєї мрії і нормально пояснить, що ж вони хочуть і допоможе заповнити все правильно
  • DPO допоможе у комунікації з контролюючими органами у сфері приватності.
  • DPO проконсультує по питаннях глобального регулювання приватності і конкретиці саме щодо вашої бізнес-механіки.

 

А ще – сама наявність факту DPO і сповіщення про це на сайті, це вже круто. Це початок історії privacy as a culture в компанії.

 

Як комунікувати з External data protection officer (DPO, який на аутсорсі?)

 

Це можуть бути будь-які захищені канали зв’язку. Наприклад – файли та документи на гугл диску, включаючи дешборд з трекінгом. А сама комунікація в чатику, в якому закріплено посилання на диск. Зручно, правда? А ще круто, що в цьому чатику може бути як Ваш лід DPO (головний Data protection officer), так і його колеги, що забезпечує безперебійність надання послуги.

 

Скільки потрібно DPO годин на місяць моїй компанії?

 

Є кейси, коли один DPO записується в DPO до 800 компаній і є там просто «для галочки». Мовляв, він є, йому можна писати, але у процеси щодо персональних даних він не залучений, не знає ні механіки послуг організації, ні орієнтирів на її карті руху персональних даних, якщо така є. Такий декларативний підхід не буде відповідати вимогам GDPR. Це не історія про довіру, це не історія про культуру приватності.

 

Для належного виконання своєї ролі DPO потрібен час, щоб пізнати «приватність» компанії а також час для виконання своїх завдань. Від компанії залежить, скільки роботи буде у DPO, а від DPO – наскільки ефективними будуть його години. Зазвичай, мінімальним є залучення DPO від 10 ефективних годин на місяць для компаній, де вже налаштовані процеси обробки персональних даних і операцій не так і багато. З іншого боку, в деяких кейсах необхідним буде залучення Data protection officer в обсязі і 50 і більше годин на місяць, наприклад, якщо тільки розпочинається побудова GDPR compliance, і необхідно розпочати з проведення GDPR аудиту, визначити GAP (тобто розрив між тим, як зараз, і тим, як має бути) і почати готувати документи.

 

Скільки коштують послуги DPO?

 

Ми пропонуємо прайсинг в 100 USD / ефективна година DPO. Наші DPO мають європейські сертифікати (CIPP/E), що підтверджують їх експертність, а також, що важливо, роки досвіду в приватності. Кажуть, що важливі не роки, а якість цих років. Так ось, ми постійно працюємо над GDPR / CCPA / LGPD compliance для складних ІТ проєктів в таких індустріях як SalesTech, AdTech та інших, тому нас не злякаєш автоматизованими рішеннями на основі профайлінгу та іншими складними в реалізації концептами.

Ми віримо в та будуємо privacy as a culture в ІТ компаніях і стоїмо на варті personal data-центриського підходу в гармонії з законними інтересами технологічного бізнесу.

 

Як отримати інформацію про послуги DPO на аутсорсі для моєї ІТ компанії?

 

Просто напишіть нам на пошту або в телеграм. Компанії різні, механіки різні. В нас на обслуговуванні DPO є і продуктові ІТ компанії, які працюють worldwide з мультимільйонами персональних даних, так і аутсорс-компанії, яким DPO необхідний як елемент корпоративної культури, навіть, якщо цього не вимагає закон. Ми любимо складні механіки та виклики і готові вже сьогодні поговорити про Ваш кейс. Звертайтесь.  

 

 

 



    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)