Организациям пора определиться, нужен ли им директор по защите данных

Назначение директора по защите данных (data protection officer, DPO) — главное требование европейского регламента GDPR. Но это еще и возможность для вашей компании выделиться на фоне других, пишет генеральный директор ERP Maestro Джоди Патерсон на портале InformationWeek.

Давно прошел срок, к которому необходимо было учесть требования Общего регламента защиты данных ЕС (General Data Protection Regulation, GDPR), и мы приспосабливаемся к жизни по законам Европы. Хотя целью новых правил является предоставление гражданам ЕС большего контроля за их персональными данными, не знающая границ мировая экономика означает, что GDPR повлияет на каждую компанию, ведущую бизнес в Европе или собирающую данные о гражданах ЕС.

На нарушающие GDPR компании будет налагаться штраф в 20 млн. евро или 4% глобальных доходов в зависимости от того, что больше. Одним из требований является назначение DPO. GDPR вводит такую должность и делает ее обязательной для компаний, соответствующих определенным критериям.

Нужен ли вам DPO?

Для начала следует разобраться, нужен ли вашей компании DPO. Это зависит от того, как вы обрабатываете данные, каков их объем и как вы их храните. Согласно ст. 37 GDPR, DPO обязателен в следующих случаях:

• обработка данных осуществляется государственным органом;
• основная деятельность контролера или обработчика заключается в проведении операций, которые требуют регулярной и систематической обработки данных в больших масштабах, или
• основная деятельность контролера или обработчика заключается в обработке конфиденциальных данных в больших масштабах (ст. 9) или данных, касающихся судебных приговоров либо правонарушений (ст. 10).

Но даже с учетом этих разъяснений, как подчеркивает главный аналитик компании Futurum Research Дэниэл Ньюмен, ответ не всегда ясен. К сожалению, нет четкого определения «больших масштабов». Ньюмен рекомендует создать должность DPO, если ваша компания регулярно собирает и обрабатывает большие объемы персональных данных о гражданах ЕС и не уничтожает их после использования.

Что следует учитывать, если вам нужен DPO

Необходимо, чтобы DPO сохранял независимость при оценке конфиденциальности данных и не создавал конфликтов, а ваши меры по защите данных и соблюдению требований регуляторов отвечали критериям сегодняшнего дня.

DPO должен подчиняться высшему руководству без каких-либо промежуточных звеньев.

Кого назначить на эту должность? Согласно ст. 37, DPO может быть сотрудником контролера или обработчика, а также может работать по контракту. Многие организации просто расширяют функции одного из работников. Часто это наиболее эффективное решение для малого бизнеса. Такой человека должен пройти соответствующее обучение. Существуют программы тренинга для получения сертификата DPO.

Малый и средний бизнес могут воспользоваться услугами провайдера управляемых сервисов и передать функции DPO на аутсорсинг. Это не будет правонарушением.

Но для крупной, многонациональной организации такой подход не годится. Здесь обязательно наличие DPO, знакомого с правовым регулированием и практикой защиты данных. Закон не определяет, какая для этого требуется подготовка.

Тем не менее, вам потребуется человек, глубоко изучивший GDPR, защиту конфиденциальности и обработку данных, а также влияние новых правил на будущие бизнес-операции. Вы наверняка захотите, чтобы этот человек имел большой опыт работы в области кибербезопасности, управления рисками, защиты конфиденциальных данных, аудита и оценки рисков.

Кроме того, DPO должен рассматривать соблюдение требований GDPR как возможность для дальнейшего развития бизнеса. Защита конфиденциальных данных помимо прочего является конкурентным преимуществом.

На кандидатов в DPO будет высокий спрос

Недавно Международная ассоциация специалистов по защите персональных данных (International Association of Privacy Professionals) определила, что GDPR вызовет спрос на 28 тыс. DPO в Европе и Америке и 75 тыс. в мире. Что может предложить ваша организация востребованным кандидатам в DPO в условиях узкого рынка труда?

Пришло время четко сформулировать свое видение безопасности и конфиденциальности, чтобы сделать вашу компанию привлекательной, и нанять профессионала в области защиты данных, который готов нести это видение в будущее.