Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных
На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом.
Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и лучших практик. Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео.
Но в недавнем
вебинаре мы исходили из сложившейся практики и собственного опыта.
Рекомендую вам самостоятельно ознакомится с записью вебинара, и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения:
·
“точка зрения юриста является преобладающей”
·
“мы не видим, что целью закона 152-ФЗ является
защита персональных данных”
·
“закон не про защиту данных бизнеса”
·
“какой риск аппетит у бизнеса?”
·
“в большой компании изменение бизнес процесса из-за
предписание будет стоить очень дорого”
·
“нужно сразу строить правильные бизнес
процессы, которые не потребуется менять долгие годы”
·
“к CEO
или
правлению нужно приходить не с проблемой, а с решением”
·
“DPO
должен
уметь переводить нарушения прав субъектов на бизнес риски”
·
“privacy
для
небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные
риски”
·
“знание процессульного права необходим, когда
мы делаем анализ рисков для бизнес процесса”
·
“когда в организации есть человек занимающийся
защитой данных, также принимает много организационных мер, почему бы не разработать
ещё организацией обработки”
·
“так как штрафы маленькие, то юристам
совершенно не интересно заниматься этой темой”
·
“хорошо, когда работает рабочая группа в
тесном взаимодействии”
·
“большой драйвер персональных данных
использовался для того, чтобы решать проблемы ИБ”
·
“во многом современный CISO уже умеет разговаривать с бизнесом на
одном языке и доносить информацию о рисках”
·
“безопасники лучше анализируют информационные
системы и ИТ-процессы”
·
“непрофильную активность спихиваем на
аутсорсинг”
·
“хочется переложить часть рисков, часть
ответственности и получить поддержку при проверках”
·
“С чего начать: бизнес строится вокруг внешних
взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и
обязательств.”
·
“С чего начать: проанализировать бизнес процессы,
выявить слабые места”
·
“Безопасник должен уметь слушать
представителей бизнеса”
·
“Инженер ИБ по верхам читает законы”
·
“Подход с тем чтобы раз в 3 года выполнять
проект по актуализации документов показал свою неэфективность”
·
“прежде чем выходить на руководство с
информацией об изменениях законодательства, нужно проанализировать затраты на
изменения процессов, возможные риски и подготовить несколько вариантов действий”
·
“аутсорсер как правило готовит дайжест по
изменению законодательства с выводами на какие компании и сферы деятельности распространяется,
какой типовой порядок действий необходимо предпринять”
·
“нет готовых коммерческих курсов для DPO на русском языке, полезная информация
скорее на небольших семинарах, вебинарах экспертов”
·
“полезно пройти обучение по GDPR даже для российских DPO, так как дает хорошее понимание именно в privacy”
·
“при планировании инструктажей сотрудников
нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”
·
“аутсорсер как правило ориентируется на типовые
вводные инструктажи по законодательству, разработанным политикам и регламентам”
·
“не забывать про системы дистанционного
обучения и готовые микрокурсы повышения осведомленности”
·
“лучше начинать повышение осведомленности с раскрытия
угрозы фишинга”
·
“внутренние проверки лучше начитать с наиболее
высоких рисков”
·
“аутсорсер предпочитает типовые внутренние
проверки, по которым есть сложившаяся практика и наибольшая вероятность
нарушений”
·
“в первую очередь проверить аттестованные
системы”
Слайды презентации c вебинара традиционно можно скачать в группах в VK и FB
Комментарии