Роль юриста, инженера, аутсорсера в обеспечении приватности и защите персональных данных

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

 

На прошлой неделе провели с Ксенией Шудровой (RISC) и Денисом Лукашем (Infobip) провели межблогерский вебинар в котором в режиме батла обсудили разные подходы к назначению, опыту, знаниям и подходам DPO и выстраиванию его взаимодействия с бизнесом.

Раньше я уже делал подобный анализ исходя из требований к функциям, образованию и квалификации DPO, происходящих из нормативных требований и лучших практик.  Если вам интересна эта тема, то рекомендую ознакомится с этим коротким видео.

Но в недавнем вебинаре мы исходили из сложившейся практики и собственного опыта.

Рекомендую вам самостоятельно ознакомится с записью вебинара, и высказать свое мнение, а для затравки приведу несколько интересных цитат из обсуждения:

·        “точка зрения юриста является преобладающей”

·        “мы не видим, что целью закона 152-ФЗ является защита персональных данных”

·        “закон не про защиту данных бизнеса”

·        “какой риск аппетит у бизнеса?”

·        “в большой компании изменение бизнес процесса из-за предписание будет стоить очень дорого”

·        “нужно сразу строить правильные бизнес процессы, которые не потребуется менять долгие годы”

·        “к CEOили правлению нужно приходить не с проблемой, а с решением”

·        DPOдолжен уметь переводить нарушения прав субъектов на бизнес риски”

·        privacyдля небольших типовых компаний легче делать с использованием внешнего аутсорсера. Стандартные риски”

·        “знание процессульного права необходим, когда мы делаем анализ рисков для бизнес процесса”

·        “когда в организации есть человек занимающийся защитой данных, также принимает много организационных мер, почему бы не разработать ещё организацией обработки”

·        “так как штрафы маленькие, то юристам совершенно не интересно заниматься этой темой”

·        “хорошо, когда работает рабочая группа в тесном взаимодействии”

·        “большой драйвер персональных данных использовался для того, чтобы решать проблемы ИБ”

·        “во многом современный CISO уже умеет разговаривать с бизнесом на одном языке и доносить информацию о рисках”

·        “безопасники лучше анализируют информационные системы и ИТ-процессы”

·        “непрофильную активность спихиваем на аутсорсинг”

·        “хочется переложить часть рисков, часть ответственности и получить поддержку при проверках”

·        “С чего начать: бизнес строится вокруг внешних взаимодействий. Нужно провести ревизию всех внешних договоров, контрагентов и обязательств.”

·        “С чего начать: проанализировать бизнес процессы, выявить слабые места”

·        “Безопасник должен уметь слушать представителей бизнеса”

·        “Инженер ИБ по верхам читает законы”

·        “Подход с тем чтобы раз в 3 года выполнять проект по актуализации документов показал свою неэфективность”

·        “прежде чем выходить на руководство с информацией об изменениях законодательства, нужно проанализировать затраты на изменения процессов, возможные риски и подготовить несколько вариантов действий”

·        “аутсорсер как правило готовит дайжест по изменению законодательства с выводами на какие компании и сферы деятельности распространяется, какой типовой порядок действий необходимо предпринять”

·        “нет готовых коммерческих курсов для DPO на русском языке, полезная информация скорее на небольших семинарах, вебинарах экспертов”

·        “полезно пройти обучение по GDPR даже для российских DPO, так как дает хорошее понимание именно в privacy

·        “при планировании инструктажей сотрудников нужно в первую очередь ориентироваться на бизнес-риски. Решаем задачи бизнеса”

·        “аутсорсер как правило ориентируется на типовые вводные инструктажи по законодательству, разработанным политикам и регламентам”

·        “не забывать про системы дистанционного обучения и готовые микрокурсы повышения осведомленности”

·        “лучше начинать повышение осведомленности с раскрытия угрозы фишинга”

·        “внутренние проверки лучше начитать с наиболее высоких рисков”

·        “аутсорсер предпочитает типовые внутренние проверки, по которым есть сложившаяся практика и наибольшая вероятность нарушений”

·        “в первую очередь проверить аттестованные системы”

 

Слайды презентации c вебинара традиционно можно скачать в группах в VK и FB

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.