GDPR: як впровадити нові стандарти у Ваш бізнес
Декілька останніх місяців уми українських підприємців розбурхує одна коротка абревіатура з чотирьох літер, в якій причаїлися багатомільйонні штрафи. GDPR або General Data Protection Regulation – новий регламент Євросоюзу із захисту даних, який набув чинності наприкінці квітня. Тепер він наганяє жах не лише на західні компанії, а й на український бізнес, який працює із персональними даними європейців. Перший шок уже пройшов і наші підприємці намагаються зрозуміти, як не потрапити під штрафні санкції. Сценарії впровадження GDPR можна обговорювати дуже довго, але я прихильник практичних порад.
Розберемо кейс, де ви вже знаєте, що таке стандарти GDPR і впевнені, що їх потрібно впроваджувати у свій бізнес. Далі у Вас є два варіанти дій. Можна спробувати імплементувати регламент самостійно і тут Вам допоможе знання спеціалізованої англійської, юриспруденції та технічних наук. Другий варіант менш складний, але більш витратний – найняти спеціаліста Data Protection Officer (DPO) та делегувати йому впровадження стандартів GDPR. Я, наприклад, обома руками за другий варіант, тому що вміння грамотно делегувати повноваження – ознака ефективного лідера. І тут хочу наголосити на слові «грамотно». Тому давайте прояснимо для себе кілька важливих питань: хто такі DPO, що входить до кола їх компетенцій і як вибрати справжнього професіонала.
Почнемо з азів. DPO – це людина у вашій компанії, яка має не тільки впровадити стандарти GDPR, але й регулярно стежити за їх дотриманням. Своїм клієнтам я раджу обов'язково придбати такий спеціаліст у трьох випадках: якщо основні види діяльності включають регулярний і масштабний моніторинг персональних даних громадян Євросоюзу, якщо компанія обробляє «чутливі дані» (дані про стан здоров'я, расову належність, судимість), а також усім державним органам. У всіх інших випадках найняти на роботу DPO змусити вас ніхто не може – його присутність йде з приставками «бажана» та «рекомендована». Але на практиці ціна такої безтурботності у разі виникнення проблем - штраф у $20 млн євро.
Зі свого досвіду можу сказати, що для успіху будь-якого кадрового рішення керівник повинен чітко розуміти, навіщо йому потрібен новий співробітник і які конкретно функції він повинен на себе взяти. А оскільки фігура DPO для українського ринку праці поки що нова та загадкова, не зайвим буде розставити всі крапки над «і». В ідеалі Data Protection Officer має взяти він три основні завдання. І перша з них – контроль: крім впровадження стандартів GDPR та моніторингу їх дотримання, у разі виникнення проблем DPO має бути контактною особою з європейськими органами нагляду. По-друге, цей співробітник повинен виступати в ролі внутрішнього консультанта та давати свої рекомендації щодо оцінки впливу різних факторів ризику на захист даних. Ну і третє, не менш важливе завдання – навчити персонал роботі в рамках GDPR, тому що дотримання мінімальних протоколів безпеки в рутині може відіграти вирішальну роль.
Але, як відомо, добрий урожай зростає лише на благодатному ґрунті. Щоб DPO впорався зі своїми завданнями максимально ефективно, рекомендую організувати роботу на «особливих умовах». Наприклад, такий співробітник повинен звітувати лише перед вищим керівництвом, а також бути максимально незалежним у прийнятті рішень. З усього перерахованого вище напрошується цілком очевидний висновок - в ідеалі користуватися послугами DPO краще на аутсорсі. До речі, регламент GDPR навіть припускає, що такий фахівець може обслуговувати одразу кілька компаній.
Ну й останнє незакрите питання - як вибрати компетентного DPO і не помилитися? Насамперед він має бути експертом у галузі європейського та українського права, а також мати досвід у сфері захисту даних. Думаєте знайти таку надлюдину практично неможливо? А ось і ні! Попри те, що наразі в Євросоюзі поки що немає обов'язкової сертифікації DPO, деякі українські юристи вже проходять навчання за кордоном та розширюють перелік своїх послуг GDPR-супроводом. Наприклад, у компанії, де я є генеральним директором, вже є два сертифіковані DPO, і ми вже надаємо послугу з впровадження GDPR. Вірність такого руху підтверджує статистика: за останніми оцінками Міжнародної асоціації професіоналів у галузі конфіденційності у найближчій перспективі щонайменше 25000 DPO знадобляться в Євросоюзі, а ще 75000 – у всьому світі.
У сухому залишку ми маємо практично шекспірівську дилему – бути чи не бути, а точніше наймати чи не наймати спеціалістів із впровадження GDPR. Моя відповідь – однозначно бути та обов'язково наймати! Хоча б тому, що наша країна з кожним роком все швидше наближається до європейського законодавства, а значить рано чи пізно дотримуватися стандартів GDPR все ж таки доведеться всім українським компаніям. Тому робота з DPO сьогодні – це інвестиція у майбутнє.