25 мая 2018 года вступил в силу Европейский регламент по защите персональных данных (GDPR), который обязывает компании-подрядчики следовать требованиям регламента при работе с европейским заказчиком. С этого времени вопросы по защите персональных данных являются одними из самых часто задаваемых от клиента на этапе пресейла.
Как будет храниться информация? Какие гарантии по защите информации? Какая процедура в случае утечки персональных данных? Все эти вопросы клиент обязательно задаст, и будет отличным УТП для вас дать ответы на них заранее — прямо на сайте компании, а в коммерческом предложении заявить, что у вас есть Data Protection Officer (DPO), продемонстрировав таким образом, что ваша компания заботится о европейских клиентах.
DPO — это не один человек. «Нанять и забыть» о проблеме не получится. Вот краткий список персон, вовлеченных в процесс сохранности информации
Какие вопросы может разрешить DPO? Обязательно ли IT-компании нанимать DPO? На эти и другие вопросы отвечаем в нашей статье.
Кто такой DPO и чем занимается
Data Protection Officer (DPO) — это штатный сотрудник или подрядчик IT-компании, который отвечает за то, что разработанное ПО соответствует требованиям Европейского союза и Европейского экономического сообщества по части защиты персональных данных. Его основная задача — следить за тем, как в IT-компании соблюдаются требования по защите персональных данных, давать рекомендации и сообщать о необходимых изменениях в менеджменте, процессах, а также обучать сотрудников.
Персональные данные — это любая информация (ID, имя, номер телефона и т.д.), которая позволяет соотнести пользователя интернет-продукта с реальной личностью.
Несмотря на то, что неофициально эту работу так или иначе выполняли и ранее, как отдельный специалист DPO появился недавно — с введением GDPR в 2018 году.
Весь спектр задач DPO можно разделить на три категории.
- Консультации: регулярное представление актуальной информации и пояснений по вопросам GDPR для сотрудников, связанных с обработкой персональных данных.
- Контроль и мониторинг: сюда входит разработка внутренних нормативных актов, усовершенствование бизнес-процессов в IT-компании, обучение сотрудников, внутренний аудит компании и т.д.
- Работа с надзорным органом: предоставление информации об IT-компании надзорным органам. В качестве надзорных органов выступают независимые органы государственной власти в странах — членах ЕС (конкретный список по странам можно узнать на сайте).
В большинстве случаев DPO подключается еще на этапе рresales, чтобы удостовериться, что договор о предоставлении услуг будет содержать в себе положения об обработке персональных данных. Главные задачи DPO на этом этапе следующие.
- Убедиться, что роли распределены верно. От того, какую роль занимает компания-подрядчик в процессе обработки персональных данных, будет зависеть степень ее ответственности в случае нарушения положений GDPR.
- Убедиться в том, что договор между двумя сторонами содержит перечисление целей обработки данных, видов данных, подлежащих обработке, информацию о длительности хранения, порядке уничтожения и т.д.
- Прописать гарантии соблюдения правил обработки персональных данных. Согласно GDPR, компании-заказчики могут напрямую обратиться к DPO компании-подрядчика, поэтому наличие DPO — дополнительная гарантия для европейского клиента, что будет производиться мониторинг за соблюдением правил обработки данных, а в случае нарушения компания-подрядчик будет подвергнута санкциям.
Кроме того, DPO также ответственен за мониторинг безопасности обработки и хранения персональных данных на этапе разработки ПО. В случае «утечки» данных DPO обязан уведомить об этом компанию-заказчика, а также выработать план по реагированию на инцидент.
Основные задачи DPO
Таким образом, профессиональные качества DPO должны включать правовую и техническую составляющую. Это больше, чем юрист, но и к разработчикам эту роль отнести нельзя.
Когда компании нужен DPO
Наличие DPO в IT-компании может быть обязательным и опциональным. GDPR предусматривает случаи, когда роль DPO в компании должна быть обязательно:
- если обработкой персональных данных занимаются государственные органы (за исключением судов), например, Министерство здравоохранения;
- если компания отслеживает персональные данные в больших масштабах на постоянной основе, например, фитнес-приложения, трекеры здоровья и т.д.;
- если компания обрабатывает специальные категории данных, такие как расовая и этническая принадлежность, религиозные убеждения, здоровье и т.д.
Другими словами, если ваша IT-компания разрабатывает продукты в сфере email-таргетинга, банковского дела, фитнеса, здоровья, поведенческой рекламы и предиктивной аналитики, к вам, скорее всего, применимо требование обязательного назначения DPO. И это далеко не полный список сфер, поэтому еще до вывода продукта на рынок необходимо проверять все юридические аспекты, связанные с обработкой персональных данных.
Однако компании, которые не подпадают под это требование, также могут нанять DPO для усиления своих позиций на этапе рresales. Дело в том, что GDPR требует от компании-клиента проверки своих подрядчиков на предмет соблюдения регламента. Таким образом, наличие DPO у вас в штате даст значительный перевес в переговорах, если вы работаете с европейским заказчиком.
Например, вы аутсорс IT-компания из Беларуси, которая находится на этапе рresales с европейским клиентом. В рамках потенциального проекта разработчики из Беларуси получат доступ к персональным данным европейцев, которые хранятся в базе данных на стороне клиента. Следовательно, европейский клиент будет обязан убедиться, что компания-подрядчик соблюдает требования GDPR, например, у разработчиков есть возможность полностью удалить данные пользователя из базы, или доступ к базе с персональными данными нельзя получить всем подряд. В этом случае DPO может помочь IT-компании привести рабочую документацию в соответствие с нормами GDPR, а также составить Privacy Summary — небольшой документ, описывающий, как компания подходит к вопросам обработки и хранения персональных данных пользователей.
Наглядная презентация, содержащая распределение ролей на проекте, принятых мер безопасности, вкупе с понятной и актуальной документацией (privacy policy, cookie policy и др.) может значительно увеличить шансы на успешное заключение контракта с европейскими клиентами.
Где искать DPO
Как видим, к DPO предъявляются довольно жесткие требования: необходимо иметь высокий уровень экспертных знаний в защите персональных данных и высокую техническую компетенцию для выполнения своих задач. Кроме того, в зависимости от области работы (e-commerce, банковское дело и др.), объемов данных и сложности процессов их обработки вам понадобится DPO с разным уровнем экспертизы. Основные компетенции, которые требуют от DPO, — это:
- знание национальных, европейских и международных законов и практик по защите данных, а также глубокое понимание GDPR и связанных с ним правил/механизмов;
- четкое понимание законов о конфиденциальности и защите данных;
- хорошее понимание и знакомство с программированием и инфраструктурой в области информационных технологий, а также с методами и аудитами информационной безопасности.
Зачастую также требуют сертификацию в области законодательства о конфиденциальности.
Вакансии Data Protection Officer
Несмотря на это, каких-то сертификаций или реестров DPO не существует, поэтому вся ответственность при выборе DPO ложится на IT-компанию. Чаще всего DPO становятся юристы, compliance-менеджеры или специалисты по информационной безопасности при условии специальной переподготовки. А вот с этим на рынке проблема. Дело в том, что в высших учебных заведениях Беларуси и всего СНГ не готовят специалистов такого плана. Единственный вариант — всевозможные курсы, тренинги и сертификации.
1) Пока возможный вариант стать DPO — пройти специальные курсы. 2) Сертификации, часто требуемые на позицию DPO. 3) Также DPO-специалистов можно искать на профильных конференциях, таких как GDPR Day, DPO Circle, DPO Spring Congress и др. 4) И еще конференции и сообщества DPO
Широкий круг обязанностей, большая ответственность и новизна профессии делают DPO высокооплачиваемыми сотрудниками. Средняя зарплата DPO на рынке СНГ составляет $2,5–3k. Практически ни одна компания не рассматривает на эту позицию Junior-специалистов, поскольку уровень ответственности очень высокий.
Кроме того, услуги DPO также можно аутсорсить — есть специальные сервисы, где вы можете найти компанию-подрядчика, оказывающую услуги DPO.
Find DPO — сервис по поиску DPO-сотрудников и услуг
Краткие итоги
- Если вы работаете на европейском рынке, лучше нанять DPO вне зависимости от сферы деятельности — так вы обеспечите дополнительные гарантии по защите персональных данных для европейских клиентов.
- Лучше привлекать DPO еще на этапе рresales, чтобы убедиться, что роли между заказчиком и подрядчиком распределены верно, а договор по предоставлению услуг содержит в себе положения об обработке персональных данных.
- Дефицит DPO на рынке — порядка 75 000 сотрудников, что делает эту профессию высокооплачиваемой и очень востребованной.
HRPR — это 10+ лет подготовки IT-рекрутеров
Наши рекрутеры работают уже на трех континентах. Blizzard, Actvision, Google, AT&T, Bell, Amazon — это начало алфавита компаний, где работают наши выпускники.