DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Ольга Ефимова: «Скажите бизнесу: «Ваши клиенты хотят того же, что и вы»»

 

Почему сейчас выгодно становиться «прайвасистами»? Как реализовать себя в сфере защиты персональных данных? И что нужно для достижения результатов? Представляем серию интервью со специалистами в сфере «прайваси».

Наш следующий собеседник Ольга Ефимова — директор по правовым вопросам в компании Хантфлоу, основатели которой разработали рекрутинговую систему. Вместе обсудили отношение бизнеса к профессии, обучение, а также перспективы развития сферы GDPR.

 

Начало

 

Я работаю юристом с 2004 года, а вопросами прайваси занимаюсь по мере необходимости с 2015. И с каждым годом эта необходимость становится все больше и больше. Сфера очень быстро развивается, и тема приватности занимает все больше места в российском и международном законодательствах. 

Мой друг придумал программу для рекрутеров и пригласил меня поработать над проектом. Понятно, что все это очень сильно связано с вопросами приватности: в CRM обрабатываются персональные данные не только наших клиентов, но и кандидатов. 

Защита персональных данных — одно из направлений моей деятельности. Были мысли переквалифицироваться в Data Protection Officer, но мне очень нравится заниматься интеллектуальной собственностью и договорами. Возможно, когда-нибудь найму еще одного юриста для работы над текущими правовыми задачами, а сама окунусь в приватность. Я не исключаю такой вариант, потому что сфера очень перспективная, быстроразвивающаяся и к тому же интересная. А еще довольно деликатная. Это одна из причин, по которой я не хочу брать человека со стороны на должность DPO: не готова сразу допускать нового человека в работу с приватностью. 

 

Идеальный вариант — активное взаимодействие юриста и специалиста по информационной безопасности

 

Мне кажется, что в первую очередь в приватность идут юристы. Если говорить о людях, работающих в сфере информационной безопасности, то обычно это те, кто в большей степени заботится о технической стороне вопроса — недопущении утечки данных, шифровании, антивирусах и так далее. У юристов же еще во время получения образования формируется пиетет к правам человека, в том числе к праву на прайваси, на справедливую обработку персональных данных и другим личным правам. Боюсь, что у сотрудников с техническим уклоном нет такого бэкграунда. 

Идеальный вариант — активное взаимодействие юриста и специалиста по информационной безопасности. Один не может без другого. Например, иногда мне сложно понять, какими техническими методами можно обеспечить соблюдение прав субъектов персональных данных, и в этом как раз помогают специалисты по ИБ.

 

Чтобы дать квалифицированные ответы на все вопросы клиентов, пришлось получить дополнительное образование

 

Чтобы разобраться в теме, я читала законы, разъяснения регуляторов разных стран, смотрела образовательные ролики, прошла курс GDPR DPP в Data Privacy Office для лучшего понимания GDPR. У нас есть европейские клиенты, которые задают вопросы не только по российскому федеральному закону «О защите персональных данных» №152-ФЗ, но и по Регламенту. Чтобы давать квалифицированные ответы на них, разобраться в нашей роли и обязанностях, пришлось получить дополнительное образование. 

В моих целях также получение международных сертификаций по защите персональных данных: например, CIPP.

В процессе работы пришлось окунуться в информационную безопасность — теперь я немного разбираюсь и в технической стороне приватности. Это позволяет мне участвовать во встречах с крупными клиентами и в обсуждении не только правовых вопросов обработки, но и технических мер защиты персональных данных.

При этом я стараюсь повышать уровень знаний по теме приватности у рядовых сотрудников, внедряя культуру прайваси не только в своем отделе, но и во всей компании. В первую очередь — в отделе продаж и сервиса. 

Даже наши менеджеры по продажам ориентируются в основах GDPR и 152-ФЗ. Например, они знают, каким должно быть согласие субъекта персональных данных и для чего это нужно, что такое модель угроз и кто такой процессор. Это позволяет им самостоятельно решать некоторые вопросы по приватности. Также обучены сотрудники отдела сервиса, редакции, и, конечно, юристы. А системный администратор и другие технические специалисты разбираются в сфере информационной безопасности. 

 

Приватность — это болезненная сфера

 

Приватность тесно связана с чувствительными данными. Если мы говорим о договорах или о правовом сопровождении ПО в целом, то все это довольно безэмоционально — чистая юриспруденция. А прайваси — сфера, в которой ты так или иначе сталкиваешься с живыми людьми. Поэтому важно уметь разрешать конфликты и щепетильно относиться к персональным данным. 

Если говорить в терминах GDPR, то для клиентов мы — «процессор», а в понимании 152-ФЗ — «обработчик по поручению». Как правило, наших клиентов больше заботит сохранность персональных данных кандидатов, с которыми они работают в нашей системе. Это довольно чувствительная информация. Поэтому высокий уровень заботы о персональных данных соискателей — это наша репутация и ответственность перед клиентами. Мы обязаны обеспечить безопасность таких данных. И не важно, кто мы: контроллер или процессор. 

Кроме этого, кандидаты иногда обращаются к нам напрямую, минуя контроллеров. Как правило, это люди, у которых нет специальных знаний в сфере защиты персональных данных, из-за чего часто возникает недопонимание. И с ними тоже нужно довольно «нежно» все разруливать: важно убедить человека в том, что его права не нарушены. 

 

Забота о персональных данных — это конкурентное преимущество, которое выгодно выделяет на рынке

 

Очень сложно объяснить бизнесу важность приватности. Точно так же, как невозможно доказать, что юрист — это не блок-фактор, который стремится только запретить что-то. Очень тяжело подобрать аргументы.

Я бы попробовала обратиться к бизнесу как к пользователю стороннего ПО: «Вы же хотите, чтобы другие компании заботились о ваших персональных данных? Чтобы они находились в безопасности и никому не передавались? Того же самого хотят и ваши клиенты». 

С точки зрения маркетинга, забота о персональных данных — это конкурентное преимущество, которое выгодно выделяет на рынке. К сожалению, пока в России к прайваси относятся как к ограничителю. Как правило, если риск-менеджер или юрист что-либо запретили, то сотрудники или руководство не пытаются разобраться с проблемой и найти баланс между интересами компании и пользователей. Они просто отказываются от введения новых «рискованных» процессов, связанных с обработкой персональных данных. Надеюсь, в ближайшем будущем эта ситуация изменится. Например, появятся инструменты, которые позволят без больших потерь для бизнеса воплощать в реальность принципы Регламента. 

 

Для эффективной работы необходимо «проникнуться духом» приватности 

 

Когда мы запускали наше ПО, сразу стало понятно, что будем иметь дело с персональными данными. Тогда пришлось погрузиться в закон. Было сложно, потому что в то время приватность в России (да и в мире тоже) находилась только на заре своего развития. Нужно ли уведомлять Роскомнадзор? Оператор мы или нет? Было очень много вопросов. Мне пришлось сразу погрузиться в эту тему, во всем этом разобраться и подготовить необходимые документы. 

После появления первых европейских клиентов мы стали получать много запросов о соблюдении GDPR. Я поняла, что мне не хватает системного подхода: знания слишком разрозненны, из-за чего трудно увидеть картину целиком. И тогда записалась на курс GDPR DPP к Сергею Воронкевичу. Он прекрасно систематизирует знания и раскладывает все по полочкам. Курс помогает уловить дух приватности, что очень важно для дальнейшей работы. 

После курса решила полностью обновить все имеющиеся документы с учетом систематизированных знаний: реестр обработок, политику приватности. Основной целью стала попытка поженить 152-ФЗ и Регламент. Для европейских клиентов я составила чек-лист, где показано, что мы сделали для GDPR-сompliance и как помогаем клиентам его соблюдать. 

Многие клиенты признаются, что мы — одна из немногих компаний-контрагентов, которая так сильно озабочена вопросами приватности: начиная от технических мер и заканчивая документацией. Они сталкивались с несколькими подобными рекрутинговыми системами и нигде не находили такого подхода, как у нас. Соблюдение принципов приватности стало нашим конкурентным преимуществом. 

 

Практика дает свои плоды: ты начинаешь критически смотреть на законы, теорию и взгляды других людей

 

В первую очередь, я бы посоветовала проанализировать свой собственный пользовательский опыт. Старайтесь всегда помнить, что человек, чьи персональные данные обрабатываете, — это вы в другой роли. Это поможет найти баланс между бизнес-задачами и соблюдением прайваси. 

После этого можно уделить внимание лучшим мировым практикам: например, почитать о компаниях, которые славятся своим соответствием законам прайваси. Это поможет проникнуться духом работы. Просто посмотрите, что пишут Apple и Google в своих политиках приватности. 

А уже после всего этого переходите к чтению законов, просмотру образовательных видео и так далее. Возможно, стоило посоветовать сделать это в самом начале, но, как мне кажется, лучше первым делом набрать определенную практическую базу, а затем раскладывать ее по понятиям и принципам законов, дополнять ее знаниями, полученными на курсах и из специальной литературы.  

 

Прайваси-специалист должен быть упертым идеалистом, который стремится сделать мир лучше 

 

В первую очередь прайвасисту нужны: 

  1. Настойчивость и устремленность. Интересы DPO часто идут вразрез с интересами бизнеса: мягкий человек вряд ли сможет отстоять свою позицию. Постоянно придется доказывать, что приватность важна и это не ограничение, а преимущество, что для налаживания всех процессов нужны люди, бюджет и время. Важно постоянно защищать свою точку зрения, верить в нее и в свои силы, особенно, услышав огромное количество «нет» подряд.

  2. Уважительное отношение к правам человека. Вами не должны управлять слепое следование букве закона и боязнь штрафов. Важно хотеть защищать права людей и относиться к ним как к ценности.

  3. Усидчивость — предстоит работать с большим объемом информации.

  4. Любовь к обучению. Сфера динамична и быстро развивается: постоянно появляются новые разъяснения, инструкции и дополнительные материалы. Нельзя один раз в жизни что-то изучить и продолжать так работать. Нужно быть в тонусе и поддерживать форму, постоянно вариться в этой сфере и быть в курсе всех трендов. Если человек не готов постоянно обучаться, то ему не стоит идти в приватность. 
Расписание курсов загружается, подожди несколько секунд