Приватність — це наріжний камінь продуктових ІТ- компаній. Люди очікують і заслуговують знати та розуміти, що компанія робить з їх особистою інформацією.

Користувачі прагнуть контролю і регулятор максимально підтримує їх у цьому, створюючи такі фреймворки, як GDPR, LGPD, CCPA та інші локальні закони про приватність.

Призначення DPO — це момент росту організації. Присутність DPO говорить користувачам про seniority менеджменту компанії та турботу про їх приватність by default, а це, у свою чергу, підвищує довіру.

Навчання та підтримка знань командою

DPO допомагає команді переглянути політики захисту персональних даних і засвоїти важливі моменти

Високі результати працівників підтверджують комплаєнс всієї компанії

DPIA для нових процесів/продуктів

DPO моніторить необхідність проводити DPIA і допомагає команді у проведенні

Планова перевірка документації з питань захисту даних

DPO встановлює графік перегляду документаціїі актуалізує накопичені зміни і доповнення. Відслідковується зміна законодавства і вчасно переноситься у практики обробки даних компанією

Взаємодія з користувачами (реакція на запити)

DPO – одна з перших точок контакту з суб’єктом даних і координатор процесу відповіді на його чи її запит

Взаємодія з клієнтами (відповіді на питання з приватності)

DPO допомагає відділу продажів при перемовинах. Разом з відділом маркетингу вкладає повагу до захисту персональних даних у кожен контакт з клієнтом.

Взаємодія з контролюючими органами у сфері приватності

DPO комунікує з наглядовим органом і готує відповіді на запитання, а також моніторить, у яких випадках необхідно звернутися до органу з запитом на консультацію чи відповіддю на звернення чи запит

Консалтинг по privacy

021-podium

QA сесії щодо приватності для команди,
тренінги, перевірки знань

Наявність DPO в організації дає можливість стейкхолдерам, які приймають рішення щодо обробки персональних даних компанією,
проконсультуватись з експертом щодо таких рішень та їх наслідків для compliance організації.


Також DPO ініціює розвиток культури privacy first
і проводить постійні заходи з підвищення знань
командою.

035-magnifying glass

Контроль за програмою приватності та
проведення regular checks

Одне із завдань DPO — розробити та впровадити метрики контролю за фактичною реалізацією програми приватності. Такий підхід — додаткове
та необхідне підтвердження compliance як для себе, так і для контролюючих органів.

063-document

Планова перевірка документації з питань захисту даних

DPO встановлює графік перегляду документаціїі актуалізує накопичені зміни і доповнення. Відслідковується зміна законодавства і вчасно переноситься у практики обробки даних компанією

077-phone call

Взаємодія з користувачами (реакція на запити)

DPO – одна з перших точок контакту з суб’єктом даних і координатор процесу відповіді на його чи її запит

DPO as a service – це

DPO оцінює ситуацію, готує gap assessment — статус того, як компанія працює зараз і які є регуляторні вимоги до процесів. Наступний крок — підготовка action plan для приведення компанії у compliance з GDPR та іншими актами. Насправді, це початок розбудови privacy program в організації.

Якісна робота з DSAR (data subject requests) або ж запитами користувачів щодо можливості доступу до своїх даних, їх оновлення, видалення тощо — практичний аспект реалізації GDPR compliance.

Задача DPO — налаштування гармонії. З одного боку — щасливі користувачі, для яких privacy комунікація ведеться зрозуміло і прозоро, а з іншого — щаслива компанія, яка в рамках запитів діє у відповідності до регулювання, що застосовується. 

Також DPO — точка контакту для privacy authority, якісна комунікація з якими надважлива.

Залучення DPO в Data protection impact assessment та інші процедури, які необхідно проводити для GDPR compliance, передбачена в GDPR. Якість та своєчасність їх проведення є критерієм оцінки для контролюючих органів — накладати штраф, чи ні — тому роль DPO в цьому аспекті важко переоцінити.

Наявність DPO в організації дає можливість стейкхолдерам, які приймають рішення щодо обробки персональних даних компанією, проконсультуватись з експертом щодо таких рішень та їх наслідків для compliance організації. Також DPO ініціює розвиток культури privacy first і проводить постійні заходи з підвищення знань командою.

DPO допомагає у розробці й впровадженні процедури оцінки підрядників компанії на предмет GDPR compliance, що є однією з вимог GDPR. Також DPO формує інструменти і бере участь у демонстрації GDPR/privacy compliance при маркетингу та продажах сервісів чи продуктів компанії.

DPO розробляє документацію для реального управління приватністю в компанії. Політики щодо доступів, передачі, зберігання та знищення даних та інші документи вплітаються в процеси щодо роботи з персональними даними.

Буває, що всі розроблені privacy документи директор компанії кладе у шухляду і їх ніхто більше не бачить. Це означає, що фактично privacy program не діє, а, значить, немає ні GDPR compliance, ні захисту прав суб’єктів даних. Одне з завдань DPO — розробити та впровадити метрики контролю за фактичною реалізацією програми приватності. Такий підхід — додаткове та необхідне підтвердження compliance як для себе, так і для контролюючих органів.

Чому саме ми?

Сертифікація

Наші рrivacy-юристи і DPO відзначені європейськими сертифікатами топ-рівня IAPP (CIPP/E) —
їх часто мають (і хваляться ними) внутрішні DPO TikTok, FB, Uber та інших бізнес-гігантів

Релевантний досвід

За 10 років практики ми встигли попрацювати з 400+ ІТ-компаніями з 25+ юрисдикцій,
наші клієнти невпинно обробляють багатомільйонні дані користувачів —
так ми здобули релевантний досвід як у спілкуванні з такими юзерами, так і з контролюючими органами

Інтеграція у процеси

Ми глибоко інтегруємось у роботу клієнта і весь воркфлоу з нами здійснюється в онлайн-форматі

Довіра клієнтів

Ми маємо експертизу, навчаємо колег за ринком і створюємо кращі практики в ніші
і — найголовніше — дійсно піклуємося про приватність користувачів

Наші рrivacy-юристи і DPO відзначені європейськими сертифікатами топ-рівня IAPP (CIPP/E). Їх часто мають (і хваляться ними) внутрішні DPO TikTok, FB, Uber та інших бізнес-гігантів.

За 10 років практики ми встигли попрацювати з 400+ ІТ-компаніями з 25+ юрисдикцій. Наші клієнти невпинно обробляють багатомільйонні дані користувачів. Так ми здобули релевантний досвід як у спілкуванні з такими юзерами, так і з контролюючими органами.

Ми є DPO для компаній Snov.io та Odeeo.io розробляли privacy програми та документи для Binotel, Enavate, Sendpulse, Mirror-ai, Kadam, Tomi.ai.

Ми глибоко інтегруємось у роботу клієнта і весь воркфлоу з нами здійснюється в онлайн-форматі.

Зазначення Legal IT Group як DPO компанії у privacy policy є перевагою для компанії. Ми маємо експертизу, навчаємо колег за ринком і створюємо кращі практики в ніші і — найголовніше — дійсно піклуємося про приватність користувачів.

DPO в деталях

Прихід DPO означає, що компанія має розібратись і взяти під контроль потоки персональних даних

Команда DPO

Юлiя Пустовiт

ІТ юристка в Legal IT Group

Антон Тарасюк

Керуючий партнер в Legal IT Group

Data protection officer

Катерина Дубас

Голова практики приватності в Legal IT Group

Ігор Котков

IT юрист в Legal IT Group

FAQ:

Незалежно від того, яку роль ваша компанія грає в ланцюжку обробки даних – і контролер і процесор, якщо діяльність підпадає під вимоги, викладені в статті 37 (1) GDPR (докладніше нижче), зобов’язаний призначити DPO.

Стаття 37 (1) GDPR вимагає призначити DPO в трьох конкретних випадках:

● якщо обробка здійснюється органом публічної влади;
● якщо основна діяльність контролера або процесора складається з операцій, які вимагають регулярного і систематичного моніторингу суб’єктів даних в великих масштабах;
● якщо основна діяльність контролера або процесора полягає в обробці спеціальних категорій даних або персональних даних, що стосуються судимості.

Якщо ви не впевнені в тому, що ці вимоги означають для вашої практики обробки даних, наша команда з приватності радо вам допоможе. Заплануйте дзвінок, щоб дізнатися більше про нашу послугу DPO as a service і зрозуміти, чим ми можемо допомогти вашій компанії.

Цей список вимог може бути розширений місцевими законами країн-членів ЄС, яких ви так само повинні дотримуватись. Тому вам потрібно перевірити національне законодавство перш ніж призначати DPO (особливо у випадках, якщо ви працюєте з даними про стан здоров’я, банківські дані, релігійною або юридичною інформацією або ж ваша компанія має доступ до даних, захищеними приватним режимом).

Також пам’ятайте про відмінності у визначенні порогових значень. Наприклад, одне \ держава може визначати «обробку в великих масштабах», порівнюючи відсоткову частку користувачів в населенні певної області. Інша держава може вважати «обробку в великих масштабах» при досягненні певної кількості унікальних користувачів в базі даних компанії.

Однак, якщо у вас є сумніви, ви в будь-якому випадку можете призначити DPO.

GDPR не містить суворих правил щодо призначення DPO.
Навпаки, в акті чітко згадується поняття «зовнішнього» DPO. Про це корисно знати, якщо ви вирішите залучити до виконання завдань по приватності незалежного фахівця (або навіть команди фахівців).

Стаття 37 (5) GDPR говорить про те, що DPO повинен призначатися на підставі професійних якостей, зокрема, мати необхідний рівень експертних знань з питань захисту персональних даних і достатню компетенцію для виконання завдань, визначених у статті 39 GDPR. Преамбула 97 GDPR передбачає, що необхідний рівень експертних знань повинен визначатись враховуючи виконувані операції з обробки даних і ступенем захисту, необхідного для персональних даних що оброблюються.

Інші вміння включають в себе:
● Рівень знань (у відповідних областях).
Ми працювали з проектами в гейм-діві, сфері хмарних рішень, електронної комерції, сфері онлайн-освіти, рекламних технологій, а також офлайн-проектами. Ознайомитися з відгуками про нашу роботу ви можете на нашій сторінці в Clutch.
● Професійні якості.
Ми працюємо з законами про приватність в США, Євросоюзі, Україні та інших юрисдикціях. 
Ми – сертифіковані і досвідчені юристи, які мають актуальну експертизу в складанні відповідей на запити користувачів, допомоги в проведенні оцінки постачальників і провайдерів послуг, а також розробці різних договорів в контексті обробки даних.

● Компетенція для виконання завдань.
У нас є ряд послуг, які ми можемо запропонувати. Від консультацій та складання необхідних документів до вирішення складних судових суперечок і позасудових розглядів про порушення конфіденційності.

GDPR роз’яснює, що саме контролер даних, а не DPO, повинен впровадити відповідні технічні та організаційні заходи, щоб забезпечити і бути здатним продемонструвати, що його обробка персональних даних проводиться відповідно до GDPR. Комлпаенс з GDPR – корпоративна відповідальність контролера даних, а не DPO.

Однак контролер даних може отримати користь від експертних знань DPO шляхом консультацій. Отже, DPO підпорядковується топ-менеджменту компанії. CEO, CFO, CISO, CLO і інші посадові особи зобов’язані прислуховуватися до порад DPO і переконатися в тому, що DPO володіє всіма необхідними ресурсами для надання їм актуальної інформації і результатів оцінки ризиків.

DPO тісно пов’язаний з іміджем компаній, оскільки DPO – перша особа, до кого звернеться незадоволений користувач або журналіст. Тому вибирайте DPO з мудрістю.

Звісно!

Зв’яжіться з одним з наших експертів по приватності і заплануйте дзвінок, щоб обговорити деталі вашого проєкту.

У разі необхідності ми можемо підписати з вами NDA ще до дзвінка. 
Ви також можете завітати в наш офіс в Києві і насолодитися пейзажем центру міста за чашкою свіжої кави.
Завжди раді зустрічі!

Хочете зробити перший крок до побудови успішної privacy program у Вашій компанії?

Більше про DPO тут:

DPO-as-a-service: кому та коли потрібна ця послуга?
Онлайн-тренінг GDPR для команди від DPO. Які переваги?
Аутсорсинг DPO. Коли GDPR compliance це конкурентна перевага

Твоє запитання IT юристам? Зв'язатися з нами