В связи с тем, что приближается годовщина Общего регламента ЕС по защите данных (GDPR), мы начинаем получать некоторое представление об обязанностях сотрудников по защите данных (Data Protection Officer, DPO) и о том, как эта работа выглядит на практике.
CPO Magazine провел опрос более 250 DPO, большая часть из которых работает в крупнейших компаниях мира в сфере технологий и финансов. Они рассказали о том, как они реагируют на пост-GDPR мир и о проблемах, с которыми они сталкиваются, когда массовые утечки данных по-прежнему происходят с неутешительной регулярностью.
Обязанности сотрудника по защите данных в рамках GDPR
Сотрудник, ответственный за защиту данных, отвечает за стратегию защиты данных организации и контролирует её реализацию. DPO является должностным лицом, которое гарантирует, что организация выполняет требования GDPR. Согласно статье 39 GDPR, обязанности сотрудника по защите данных включают:
• Обучение сотрудников соответствию GDPR
• Проведение ревизий по обеспечению соответствия GDPR
• Обеспечение взаимодействия между компанией и соответствующим надзорным органом
• Ведение учета всех мероприятий по обработке данных, проводимых компанией
• Обеспечение связи с субъектами данных, сообщение им сведений о том, как используются их персональные данные и какие меры компания приняла для их защиты
• Обеспечение процесса обработки запросов субъектов данных на просмотр копий их персональных данных или на их удаление
Проблемы, с которыми столкнулись сотрудники по защите данных в 2018 году
Наиболее важный вывод, сделанный в ходе исследования, касается того, насколько трудно было DPO применять передовой опыт, внедрять современные механизмы в своих крупных компаниях. Почти каждый четвертый (23 процента) DPO заявил, что их главная задача заключается в получении достаточных ресурсов для их работы, а еще 13 процентов заявили, что они не имеют поддержки со стороны руководства. Вместе взятые, это более 40 процентов DPO говорят, что их организация недостаточно приоритетно относится к безопасность данных.
Бюджеты показывают, что почти половина (46 процентов) опрошенных организаций потратили менее 5 процентов своего годового бюджета (на управление, риски и соблюдение) на деятельность по защите данных. Крупные компании платили больше, чем мелкие, но 48% компаний, имевших от 1 001 до 5 000 сотрудников по всему миру, тратили менее 250 000 долларов на защиту данных и обеспечение конфиденциальности.
Неудивительно, что из-за отсутствия бюджета и поддержки 75% компаний имели отделы защиты данных с 10 или менее сотрудниками, в том числе примерно 40% компаний с более чем 5000 сотрудниками, и 23% предприятий имели одного сотрудника, работающего над защитой данных.
Цели сотрудников по защите данных на 2019 год
По данным ответственных за защиту данных двумя наиболее популярными приоритетными направлениями на 2019 год являются формирование культуры осведомленности о защите данных и повышение эффективности управления деятельностью по обработке данных, каждый из которых получил 26 процентов ответа.
DPO, которые заявили, что повышение уровня информированности о защите данных является их приоритетом, были разделены почти поровну в том, как они будут повышать данный уровень: 35 процентов сказали, что они будут проводить информационные кампании, 35 процентов сказали, что они будут проводить официальные учебные занятия для сотрудников.
DPO, которые в большей степени озабочены совершенствованием управления деятельностью по обработке данных, то два процесса, на которых они сосредоточили свое внимание, касались в основном ответов на запросы субъектов данных (31 процент) и управления согласием (29 процентов).
Приоритетные направления, которые выбирали DPO, также зависели от того, как долго они работают и насколько программа защиты данных сформирована в их организации. Согласно опросу, первым приоритетом DPO, как правило, является повышение уровня информированности о защите данных среди сотрудников компании. По мере того, как программа защиты данных формируется и организация в целом более последовательно применяет передовые методы защиты данных, DPO может перейти к приоритизации расширенного управления процессами данных, а затем развернуть новые технологии и бизнес-модели для улучшения деятельности по обработке данных, совместимой с GDPR.
Выводы
Вывод из этого отчета заключается в том, что защита данных все еще находится на самых ранних стадиях в большинстве крупных компаний. Команды защиты данных недоукомплектованы и недофинансированы.
Однако при этом сотрудники по защите данных остаются востребованными, согласно сайтам, посвященным найму сотрудников. За последний год количество вакансий, ориентированных на конфиденциальность, увеличилось и продолжает расти. Таким образом, похоже, что число компаний с надежными и ответственными отделами конфиденциальности, вероятно, в ближайшие годы будет увеличиваться.
Болотов Игорь.
Оригинал статьи