Иллюзорные сертификации GDPR

 

 

Клиенты Data Privacy Office часто задают вопрос: “Каким образом мы будем демонстрировать, что наша компания соответствует требованиям GDPR?”

В интернете можно найти большое количество организаций, предлагающих выдать сертификат, который покажет всему миру, что ваша компания соответствует Регламенту. И, конечно, подтверждение будет якобы подписано международной ассоциацией. 

Для некоторых такая бумажка покажется возможностью застраховаться от риска проверок, организованных надзорными органами, и доказать заботу о клиентах. 

И также вас убедят, что подобный сертификат необходим, добавив информацию о том, как замечательно вы выполняете и требования информационной безопасности, и принципы прозрачности, конфиденциальности, целостности, доступности при реализации прав субъектов данных, и прочее, прочее, прочее…

Однако всё это создаёт иллюзию: некая бумажка прикроет компанию в случае аудита надзорного органа и успокоит партнеров, которые могли бы поинтересоваться до начала взаимодействия, есть ли у вас реестр персональных данных.

Так почему иллюзия? На текущий момент не существует всемирной единой сертификации согласно 42 статье GDPR. Поэтому все сертификаты, дипломы и грамоты о “100% GDPR compliance”, которые можно разместить на сайте, не больше, чем маркетинговая уловка. И, скорее, его наличие, наоборот, ставит под сомнение тех, кто в теме. 

По сути, любая компания, которая сегодня продает канцелярские товары, завтра может разработать свой сертификат по соответствию Регламенту, а послезавтра утверждать, что проводит проверки соблюдения правил GDPR и уполномочена выдавать подтверждения. 

Подытоживая, почему сертификат о GDPR-compliance для компании — это не ваш вариант? 

Во-первых, надзорные органы прекрасно знают, что официальной сертификации не существует, она не разработана и вряд ли появится в скором времени. Именно поэтому они прекрасно понимают, что компания, которая пользуется такого рода подтверждениями, вероятно, никаких активных шагов для соответствия GDPR не предпринимает. 

Во-вторых, компании, которые в действительности следуют правилам Регламента, знают, что официальной сертификации не существует. Наверное, они зададут резонный вопрос: “А зачем вы нас обманываете и вводите в заблуждение?” Для репутации уважающей себя компании это может стать серьезным ударом.

! Зато получить сертификат может специалист (не компания). Наличие опытных сотрудников по защите персональных данных может стать доказательством стремления организации выполнять правила Регламента. Например, вы можете стать сертифицированным профессионалом в области защиты персональных данных, обучившись на единственном регулярном курсе по GDPR на русском языке от Сергея Воронкевича, сертифицированного профессионала и менеджера в информационной приватности. 

Расписание курсов загружается, подожди несколько секунд