Data Protection Officer — GDPR обновляет профессию

в 6:08, , рубрики: Data Privacy, DPO, gdpr, IT-стандарты, бизнес-модели, Блог компании Digital Rights Center, ЕС, защита персональных данных, информационная безопасность, Исследования и прогнозы в IT, персональные данные

Data Protection Officer — GDPR обновляет профессию - 1

25 мая 2018 года вступил в силу новый европейский регламент по защите персональных данных (далее GDPR – General Data Protection Regulation). Этот регламент известен своим экстерриториальным действием: он обязателен к применению во всех странах ЕС, а при некоторых условиях распространяет своё действие и на неевропейские компании или вынуждает их приводить свою деятельность в соответствие требованиям GDPR, чтобы не потерять европейского партнера. Следовательно, российский бизнес тоже может быть затронут новым законом, общий анализ которого доступен здесь. GDPR усиливает ранее установленный режим защиты персональных данных, а также вводит новые обязательства для организаций, обрабатывающих такие данные.

В частности, регламент провёл модернизацию уже существовавшей профессии ответственного по защите данных (далее DPO — Data Protection Officer). Эта должность была предусмотрена ещё рамочной директивой 1995 года, которая и была заменена новым текстом. Предыдущее законодательство регламентировало деятельность такого специалиста, но не настаивало на его назначении в обязательном порядке.

В каких случаях нужно назначать DPO?

Сегодня, в эру GDPR, назначение DPO стало обязательным в следующих случаях (статья 37 GDPR):

  • В компаниях, которые систематически и регулярно осуществляют крупномасштабный мониторинг лиц (чаще всего речь идёт о мониторинге в целях контекстной рекламы);
  • В компаниях, которые осуществляют крупномасштабную обработку особых категорий персональных данных, таких как данные о состоянии здоровья и т.д.;
  • В любых публичных органах, которые осуществляют обработку персональных данных.

Во всех других случаях назначение DPO остаётся факультативным. Тем не менее, европейские регуляторы в один голос призывают не пренебрегать таким специалистом и делегировать полномочия по защите персональных данных профессионалу в этой сфере.

Такое нововведение европейского законодателя легко объясняется философией самого регламента: усиленный режим защиты данных; повышенная ответственность лиц, обрабатывающих данные; огромные санкции в случае нарушения диспозиций GDPR. Чтобы привести свою деятельность в соответствие с новыми требованиями, предприятия нуждаются в поддержке узконаправленных специалистов.

Дефицит на рынке услуг DPO

Правда парламентарии не учли или просто проигнорировали тот факт, что нынешний рынок услуг в сфере защиты персональных данных не готов выдержать такой наплыв новых клиентов, вынужденных рекрутировать DPO. Несмотря на то, что эта профессия существует уже не один день, количество специалистов оставляет желать лучшего даже на европейском рынке. Так, согласно исследованиям IAPP (International Association of Privacy Professionals), 28 тыс. специалистов должно быть нанято в 2018 году только в ЕС и США. А по всему миру эта цифра вырастает вплоть до 75 тыс.

Очевидно, что такой спрос не может быть удовлетворён исключительно ин-хаус профессионалами (внутренние работники компаний). В связи с этим, многие компании обращаются к внешним консалтинговым организациям, оказывающим услуги DPO. Например, для представителей среднего и малого бизнеса это может оказаться намного проще, чем наём нового сотрудника. В любом случае, внешний или внутренний статус почти никак не влияет на деятельность самого DPO.

DPO — юрист или специалист IT?

В первую очередь необходимо понимать, что DPO должен обладать юридическими знаниями. Такой вывод прямо следует из статьи 39 европейского регламента, которая перечисляет задачи и миссии DPO. В большей степени, это, конечно же, юрист. К тому же, это должен быть юрист, который обладает крепкими управленческими навыками и должной технической экспертизой, то есть менеджер.

Реже в роли DPO выступают и специалисты в сфере информационных технологий, которые имеют лишь базовые представления о праве. Правда такая ситуация характерна для западных стран. На отечественном рынке защиты персональных данных доминируют именно IT-специалисты, а вовсе не юристы. Уже вступивший в силу GDPR должен склонить чашу весов на сторону правоведов и в России, точнее сказать специализированных правоведов.

Так или иначе, крупные корпорации, разумеется, предпочитают нанимать одних специалистов для обеспечения IT безопасности и других — для персональных данных. Малый и средний бизнес стараются делать выбор в пользу одного сотрудника, компетентного в обеих сферах.
Почему же так происходит? Ответ лежит на поверхности: GDPR возлагает на компании слишком широкий спектр обязанностей.

С одной стороны, нужно обеспечивать безопасность персональных данных, правильно реагировать в случае их утечки. Этим обычно занимаются «айтишники». С другой стороны, нужно заключать договоры, юридически соответствующие требованиям регламента, вести специально предусмотренные реестры, контактировать с надзорными органами и выполнять другие «бумажные» обязанности. А этим обычно занимаются именно юристы, иногда еще менеджеры.

В результате, хороший специалист в сфере персональных данных представляет собой своеобразный микс всех этих профессий.

Чем занимается DPO?

Что касается периметра деятельности DPO, то такой сотрудник займётся всем необходимым, чтобы компания полностью соответствовала европейскому регламенту и другим актам в сфере защиты персональных данных и, таким образом, избежала крупных санкций, а также договорных рисков с партнерами.

DPO проведёт общий аудит деятельности, выявит все категории персональных данных, обрабатываемых компанией, предложит меры по обеспечению их безопасности, а также общую стратегию развития в направлении законного использования данных. Он же будет вести переговоры с надзорным органом в случае необходимости. Он же поможет правильно реагировать на запросы лиц, чьи данные обрабатываются компанией. В общем и целом, практически все, что касается персональных данных попадёт под периметр деятельности DPO.

Стоит ли пренебрегать таким сотрудником в эпоху GDPR, а также в разгар крупных скандалов с утечкой персональных данных, решать уже самим компаниям. Но еще раз, решать это необходимо только тем, кто не имеют прямой обязанности назначать DPO.

Особенности предоставления услуг DPO

Когда организация задумывается над рекрутированием DPO, важно при этом понимать, что существует два основных вида оказания услуг в этой области: вышеупомянутые ин-хаус и консалтинг. В первом случае наём сотрудника происходит по трудовому договору, во втором — внешняя консалтинговая компания оказывает услуги DPO по гражданско-правовому договору. Независимо от выбранного варианта, юридически ответственным лицом по-прежнему останется сама компания. DPO ни в каком случае не несёт ответственность за несоблюдение компанией диспозиций GDPR.

К тому же, европейский регламент строго предусматривает полную независимость специалиста по защите персональных данных. В случае ин-хауса, DPO может быть подотчетен только лицу, занимающему наивысший пост в иерархии. В случае внешнего консалтинга, DPO не должен оказаться в ситуации конфликта интересов, что часто бывает если это, например, адвокат.
В любом случае, конфликт интересов и независимость DPO всегда проверяются надзорным органом в сфере защиты персональных данных. Это обязательный процесс и любое назначение DPO должно декларироваться регулятору. Иначе говоря, каждый раз, когда назначается DPO, надзорный орган должен быть об этом извещен.

Более подробно о всевозможных тонкостях связанных с назначением DPO как в обязательном порядке, так и не в обязательном, а также о его функциях и миссиях можно узнать из Гайдлайна рабочей группы WP29. Эта организация существовала в эпоху рамочной директивы 1995 года, и её главной задачей было толкование законодательства в сфере защиты персональных данных. Со вступлением в силу GDPR, на смену рабочей группе пришёл Европейский совет по защите данных (European Data Protection Board), но работы WP29 не потеряли своего значения.

Немного инсайдов о профессии DPO

На сегодняшний день, совершенно непонятно, каким бэкграундом должен обладать соискатель должности DPO в России. Образовательные учреждения почти не предоставляют специальных программ в сфере цифрового права или защиты персональных данных. Конечно, и спрос на отечественном рынке в разы меньше, чем на европейском, но не настолько, чтобы оправдать такой пробел. Крупные юрфаки только начинают вводить спецкурсы по направлению IT.

Многие международные организации давно предоставляют различные способы сертификации. Например, уже упомянутая IAPP предлагает подготовительный курс по GDPR и сертифицирует успешно сдавших экзамен. Такой курс доступен всем желающим и аккредитация IAPP высоко ценится по всему миру.

Что касается доходности профессии, то если верить, например, французской ассоциации ответственных по защите персональных данных, заработок среднестатистического DPO в Европе составляет от 2,5 тыс. до 4 тыс. евро. Эта вилка примерно соответствует среднему доходу европейского программиста. Как вывод, стоит ожидать приблизительное равенство между доходами этих двух профессий и на отечественном рынке.

Подводя итоги, необходимо подчеркнуть, что Data Protection Officer – это молодая профессия, которая получила существенный толчок к развитию благодаря вступлению в силу нового европейского регламента GDPR. На сегодняшний день, защита персональных данных по GDPR — это научный тренд, на который нужно обратить внимание компаниям по всему миру, а не только в Европе. В скором времени, полноценное сотрудничество с европейскими партнерами станет возможным исключительно при соблюдении GDPR, что трудно себе представить без интеграции профессии DPO как минимум в секторе консалтинговых услуг.

Автор: szhbakov

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js