Governance Risk and Compliance Expert

Currently, for one of our Partners, we are looking for a Governance Risk and Compliance Expert experienced to support a long‑term project delivered for a European Union organization based in Warsaw.

• At least 5 years of personal data protection compliance experience in an ICT, EU institutional, public-sector or similarly technology-heavy environment, including hands-on work with real systems, services or processing activities
• At least 3 years of hands-on experience preparing, updating or reviewing RoPAs, DPIAs, DPA, TIA or related personal data protection documentation for real systems or processing activities, including data mapping and obtaining or validating input from system owners, technical owners, architects, operations, cybersecurity/SOC teams or vendors
• At least 2 years of experience analysing and documenting technical arrangements relevant to personal data protection, including access rights, privileged access, logs or SIEM/log exports, retention, hosting, data flows, support access, transfers, processors or subprocessors
• Ability to work with incomplete or inconsistent ICT-related information, distinguish confirmed facts, assumptions, open questions and missing evidence, identify gaps or contradictions between declared system behaviour and likely technical reality, and structure clear next steps or status for review or management follow-up
• Required certificates (at least 3 among): CISA, CISM, GSNA, GCCC, ISO 27001 Lead implementer, ISO 27001 Lead Auditor, ISO 27005 Risk Manager, CAP, CRISC, CISSP-ISSMP, GIAC Certified ISO-27000 Specialist, or equivalent internationally recognized certification accepted by the Contracting EU-I

• Ensure compliance of IT operations with data privacy and data protection standards, laws and regulations
• Assist in designing, implementing, auditing and compliance testing activities to ensure data and privacy compliance
• Identify, document and propose countermeasures to compliance gaps
• Advise on data protection matters, particularly in personal data processing
• Conduct privacy impact assessments
• Write and/or review records of processing activity on personal data for data controllers and privacy statements
• Develop, maintain, communicate and train upon data privacy policies and procedures
• Provide legal advice and guidance on data privacy and data protection standards, laws and regulations
• Enforce and advocate organisation’s data privacy and protection program
• Ensure that data owners, holders, controllers, processors, subjects, internal or external partners and entities are informed about their data protection rights, obligations and responsibilities
• Act as a contact point to handle queries and complaints regarding data processing
• Monitor audits and data protection related training activities
• Cooperate and share information with authorities and professional groups
• Contribute to the development of the organisation’s strategy, policy and procedures
• Develop and propose staff awareness training to achieve compliance and foster a culture of data protection within the organization
• Manage legal aspects of information security responsibilities and third-party relations

Informujemy, że administratorem danych jest Shimi Sp. z o.o. z siedzibą w Warszawie, (dalej jako "administrator"). Masz prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych oraz wniesienia skargi do organu nadzorczego. Dane osobowe przetwarzane będą w celu realizacji procesu rekrutacji. Podanie danych w zakresie wynikającym z ustawy z dnia 26 czerwca 1974 r. Kodeks pracy jest obowiązkowe. W pozostałym zakresie podanie danych jest dobrowolne. Odmowa podania danych obowiązkowych może skutkować brakiem możliwości przeprowadzenia procesu rekrutacji. Administrator przetwarza dane obowiązkowe na podstawie ciążącego na nim obowiązku prawnego, zaś w zakresie danych dodatkowych podstawą przetwarzania jest zgoda. Dane osobowe będą przetwarzane do czasu zakończenia postępowania rekrutacyjnego i przez okres możliwości dochodzenia ewentualnych roszczeń, a w przypadku wyrażenia zgody na udział w przyszłych postępowaniach rekrutacyjnych - do czasu wycofania tej zgody. Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie. Odbiorcą danych jest serwis Just Join IT oraz inne podmioty, którym powierzyliśmy przetwarzanie danych w związku z rekrutacją.