fbpx

25 мая 2018 года вступил в силу Европейский регламент по защите персональных данных (GDPR), который обязывает компании-подрядчики следовать требованиям регламента при работе с европейским заказчиком. С этого времени вопросы по защите персональных данных являются одними из самых часто задаваемых от клиента на этапе пресейла.
Как будет храниться информация? Какие гарантии по защите информации? Какая процедура в случае утечки персональных данных? Все эти вопросы клиент обязательно задаст, и будет отличным УТП для вас дать ответы на них заранее — прямо на сайте компании, а в коммерческом предложении заявить, что у вас есть Data Protection Officer (DPO), продемонстрировав таким образом, что ваша компания заботится о европейских клиентах. 

DPO — это не один человек. «Нанять и забыть» о проблеме не получится. Вот краткий список персон, вовлеченных в процесс сохранности информации

Присоединяйтесь к школе HRPR в Telegram-сообществе IT-рекрутеров и в соцсетях

Какие вопросы может разрешить DPO? Обязательно ли IT-компании нанимать DPO? На эти и другие вопросы отвечаем в нашей статье. 

 

Кто такой DPO и чем занимается

Data Protection Officer (DPO) — это штатный сотрудник или подрядчик IT-компании, который отвечает за то, что разработанное ПО соответствует требованиям Европейского союза и Европейского экономического сообщества по части защиты персональных данных. Его основная задача — следить за тем, как в IT-компании соблюдаются требования по защите персональных данных, давать рекомендации и сообщать о необходимых изменениях в менеджменте, процессах, а также обучать сотрудников.

Персональные данные — это любая информация (ID, имя, номер телефона и т.д.), которая позволяет соотнести пользователя интернет-продукта с реальной личностью.

Несмотря на то, что неофициально эту работу так или иначе выполняли и ранее, как отдельный специалист DPO появился недавно — с введением GDPR в 2018 году.

 

Весь спектр задач DPO можно разделить на три категории.

  1. Консультации: регулярное представление актуальной информации и пояснений по вопросам GDPR для сотрудников, связанных с обработкой персональных данных. 
  2. Контроль и мониторинг: сюда входит разработка внутренних нормативных актов, усовершенствование бизнес-процессов в IT-компании, обучение сотрудников, внутренний аудит компании и т.д.
  3. Работа с надзорным органом: предоставление информации об IT-компании надзорным органам. В качестве надзорных органов выступают независимые органы государственной власти в странах — членах ЕС (конкретный список по странам можно узнать на сайте).

В большинстве случаев DPO подключается еще на этапе рresales, чтобы удостовериться, что договор о предоставлении услуг будет содержать в себе положения об обработке персональных данных. Главные задачи DPO на этом этапе следующие.

  • Убедиться, что роли распределены верно. От того, какую роль занимает компания-подрядчик в процессе обработки персональных данных, будет зависеть степень ее ответственности в случае нарушения положений GDPR. 
  • Убедиться в том, что договор между двумя сторонами содержит перечисление целей обработки данных, видов данных, подлежащих обработке, информацию о длительности хранения, порядке уничтожения и т.д. 
  • Прописать гарантии соблюдения правил обработки персональных данных. Согласно GDPR, компании-заказчики могут напрямую обратиться к DPO компании-подрядчика, поэтому наличие DPO — дополнительная гарантия для европейского клиента, что будет производиться мониторинг за соблюдением правил обработки данных, а в случае нарушения компания-подрядчик будет подвергнута санкциям. 

 

Кроме того, DPO также ответственен за мониторинг безопасности обработки и хранения персональных данных на этапе разработки ПО. В случае «утечки» данных DPO обязан уведомить об этом компанию-заказчика, а также выработать план по реагированию на инцидент. 

Основные задачи DPO

Таким образом, профессиональные качества DPO должны включать правовую и техническую составляющую. Это больше, чем юрист, но и к разработчикам эту роль отнести нельзя. 

Когда компании нужен DPO

Наличие DPO в IT-компании может быть обязательным и опциональным. GDPR предусматривает случаи, когда роль DPO в компании должна быть обязательно:

  • если обработкой персональных данных занимаются государственные органы (за исключением судов), например, Министерство здравоохранения;
  • если компания отслеживает персональные данные в больших масштабах на постоянной основе, например, фитнес-приложения, трекеры здоровья и т.д.;
  • если компания обрабатывает специальные категории данных, такие как расовая и этническая принадлежность, религиозные убеждения, здоровье и т.д.

Другими словами, если ваша IT-компания разрабатывает продукты в сфере email-таргетинга, банковского дела, фитнеса, здоровья, поведенческой рекламы и предиктивной аналитики, к вам, скорее всего, применимо требование обязательного назначения DPO. И это далеко не полный список сфер, поэтому еще до вывода продукта на рынок необходимо проверять все юридические аспекты, связанные с обработкой персональных данных. 

Однако компании, которые не подпадают под это требование, также могут нанять DPO для усиления своих позиций на этапе рresales. Дело в том, что GDPR требует от компании-клиента проверки своих подрядчиков на предмет соблюдения регламента. Таким образом, наличие DPO у вас в штате даст значительный перевес в переговорах, если вы работаете с европейским заказчиком. 

 

Например, вы аутсорс IT-компания из Беларуси, которая находится на этапе рresales с европейским клиентом. В рамках потенциального проекта разработчики из Беларуси получат доступ к персональным данным европейцев, которые хранятся в базе данных на стороне клиента. Следовательно, европейский клиент будет обязан убедиться, что компания-подрядчик соблюдает требования GDPR, например, у разработчиков есть возможность полностью удалить данные пользователя из базы, или доступ к базе с персональными данными нельзя получить всем подряд. В этом случае DPO может помочь IT-компании привести рабочую документацию в соответствие с нормами GDPR, а также составить Privacy Summary — небольшой документ, описывающий, как компания подходит к вопросам обработки и хранения персональных данных пользователей. 

Наглядная презентация, содержащая распределение ролей на проекте, принятых мер безопасности, вкупе с понятной и актуальной документацией (privacy policy, cookie policy и др.) может значительно увеличить шансы на успешное заключение контракта с европейскими клиентами. 

 

Где искать DPO

Как видим, к DPO предъявляются довольно жесткие требования: необходимо иметь высокий уровень экспертных знаний в защите персональных данных и высокую техническую компетенцию для выполнения своих задач. Кроме того, в зависимости от области работы (e-commerce, банковское дело и др.), объемов данных и сложности процессов их обработки вам понадобится DPO с разным уровнем экспертизы. Основные компетенции, которые требуют от DPO, — это:

  • знание национальных, европейских и международных законов и практик по защите данных, а также глубокое понимание GDPR и связанных с ним правил/механизмов;
  • четкое понимание законов о конфиденциальности и защите данных;
  • хорошее понимание и знакомство с программированием и инфраструктурой в области информационных технологий, а также с методами и аудитами информационной безопасности. 

Зачастую также требуют сертификацию в области законодательства о конфиденциальности. 

Вакансии Data Protection Officer

Несмотря на это, каких-то сертификаций или реестров DPO не существует, поэтому вся ответственность при выборе DPO ложится на IT-компанию. Чаще всего DPO становятся юристы, compliance-менеджеры или специалисты по информационной безопасности при условии специальной переподготовки. А вот с этим на рынке проблема. Дело в том, что в высших учебных заведениях Беларуси и всего СНГ не готовят специалистов такого плана. Единственный вариант — всевозможные курсы, тренинги и сертификации. 

1) Пока возможный вариант стать DPO — пройти специальные курсы. 2) Сертификации, часто требуемые на позицию DPO. 3) Также DPO-специалистов можно искать на профильных конференциях, таких как GDPR Day, DPO Circle, DPO Spring Congress и др. 4) И еще конференции и сообщества DPO

Широкий круг обязанностей, большая ответственность и новизна профессии делают DPO высокооплачиваемыми сотрудниками. Средняя зарплата DPO на рынке СНГ составляет $2,5–3k. Практически ни одна компания не рассматривает на эту позицию Junior-специалистов, поскольку уровень ответственности очень высокий. 

Кроме того, услуги DPO также можно аутсорсить — есть специальные сервисы, где вы можете найти компанию-подрядчика, оказывающую услуги DPO. 

Find DPO — сервис по поиску DPO-сотрудников и услуг

Краткие итоги

  • Если вы работаете на европейском рынке, лучше нанять DPO вне зависимости от сферы деятельности — так вы обеспечите дополнительные гарантии по защите персональных данных для европейских клиентов. 
  • Лучше привлекать DPO еще на этапе рresales, чтобы убедиться, что роли между заказчиком и подрядчиком распределены верно, а договор по предоставлению услуг содержит в себе положения об обработке персональных данных.
  • Дефицит DPO на рынке — порядка 75 000 сотрудников, что делает эту профессию высокооплачиваемой и очень востребованной. 

HRPR — это 10+ лет подготовки IT-рекрутеров

Наши рекрутеры работают уже на трех континентах. Blizzard, Actvision, Google, AT&T, Bell, Amazon — это начало алфавита компаний, где работают наши выпускники.

01

ШАГ

Вам остался последний шаг к новой профессии. Скоро старт новой группы HRPR. 130 часов занятий, 50 часов практики и подготовка вашего резюме для скорейшего входа в профессию. Первая школа IT-рекрутинга в СНГ ждет вас.

Последнее из блога

IT-СловарьITHR & IT-РекрутингДолжности в ITЛикбез для IT-SalesТехнологии IT-сорсинга
30.01.2022

Data Protection Officer. Зачем он нужен IT-компании? Как его искать?

25 мая 2018 года вступил в силу Европейский регламент по защите персональных данных (GDPR), который обязывает компании-подрядчики следовать требованиям регламента при работе с европейским заказчиком. С этого времени вопросы по…
IT-СловарьITHR & IT-РекрутингДолжности в ITТехнологии IT-сорсинга
29.01.2022

Виды тестирования и тестировщиков. Где их лучше искать IT-рекрутеру?

Около трети вакансий, которые будет закрывать рекрутер в стандартной аутсорсинговой компании, — это тестировщики. А что нам известно о профессии тестировщика? Что это человек, который ищет баги? Но если копнуть…
Структура отдела продаж и маркетинга в IT-КомпанииIT-МаркетингIT-МенеджментIT-ПродажиДолжности в ITПроцессы & PM
25.01.2022

Какие должности нужны IT-компании в отделе продаж и маркетинга

Кто обязательно должен входить в штат отдела продаж, а в каких случаях можно обойтись фрилансерами? Как организовать эффективную работу маркетинга и продаж, чтобы избежать извечных войн между отделами? Обо всех…
QA и тестировщик - это не одно и то же. Где их искать? Как их оценить на собеседовании?IT-ПродажиIT-СловарьITHR & IT-РекрутингДолжности в ITЛикбез для IT-Sales
29.11.2021

Тестирование & QA. Или почему QA-инженер и тестировщик — не одно и то же

Профессия тестировщика (software test engineer) или QA-инженера (quality assurance engineer) остается одной из самых востребованных на рынке труда — во многом благодаря своей зрелости (есть множество учебников, подготовительных курсов и…

Где вам удобнее общаться?

Напишите или позвоните нам, чтобы получить консультацию, какой курс вам подходит, как проходит обучение и как провести оплату.

Телефон: +375 29 706 35 79, почта: hi@skademy.by

Или выберите удобный мессенджер: