Несколько последних месяцев умы украинских предпринимателей будоражит одна короткая аббревиатура из четырех букв, в которой затаились многомиллионные штрафы. GDPR или General Data Protection Regulation – новый регламент Евросоюза по защите данных, который вступил в силу в конце апреля. Теперь он нагоняет ужас не только на западные компании, но и на украинский бизнес, работающий с персональными данными европейцев. Первый шок уже прошел и наши предприниматели судорожно пытаются понять, как не попасть под штрафные санкции и при этом отделаться «малой кровью». Сценарии внедрения GDPR можно обсуждать очень долго, но я все же сторонник практических советов.
Давайте разберем кейс, где вы уже знаете, что такое стандарты GDPR и уверены, что их нужно внедрять в свой бизнес. Дальше у Вас есть два варианта действий. Можно попытаться имплементировать регламент самостоятельно и тут Вам в помощь знание специализированного английского, юриспруденции и технических наук. Второй вариант менее сложный, но более затратный – нанять специалиста Data Protection Officer (DPO) и делегировать ему внедрение стандартов GDPR. Я, например, обеими руками за второй вариант, потому что умение грамотно делегировать полномочия - признак эффективного лидера. И тут хочу поставить акцент на слове «грамотно». Потому давайте проясним для себя несколько важных вопросов: кто такие DPO, что входит в круг их компетенций и как выбрать настоящего профессионала.
Начнем с азов. DPO – это человек в вашей компании, которому предстоит не только внедрить стандарты GDPR, но и регулярно следить за их соблюдением. Своим клиентам я советую обязательно обзавестись таким специалистом в трех случаях: если основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза, если компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости), а также всем государственным органам. Во всех остальных случаях нанять на работу DPO заставить вас никто не может – его присутствие идет с приставками «желательное» и «рекомендовано». Но на практике цена такой беспечности, в случае возникновения проблем, - штраф в $20 млн евро.
Из своего опыта могу сказать, что для успеха любого кадрового решения руководитель должен четко понимать, зачем ему нужен новый сотрудник и какие конкретно функции он должен на себя взять. А поскольку фигура DPO для украинского рынка труда пока новая и загадочная, не лишним будет расставить все точки над «і». В идеале Data Protection Officer должен взять на себя три основные задачи. И первая из них контроль: помимо внедрения стандартов GDPR и мониторинга их соблюдения, в случае возникновения проблем DPO должен быть контактным лицом с европейскими органами надзора. Во-вторых, этот сотрудник должен выступать в роли внутреннего консультанта и давать свои рекомендации по оценке влияния разных факторов риска на защиту данных. Ну и третья, не менее важная задача – обучить персонал работе в рамках GDPR, потому что соблюдение даже минимальных протоколов безопасности в рутине может сыграть решающую роль.
Но, как известно, хороший урожай взрастает только на благодатной почве. Чтобы DPO справился со своими задачами максимально эффективно, рекомендую организовать ему работу на «особых условиях». К примеру, такой сотрудник должен отчитываться только перед высшим руководством, а также быть максимально независим в принятии решений. Из всего вышеперечисленного напрашивается вполне очевидный вывод - в идеале пользоваться услугами DPO лучше на аутсорсе. Кстати, регламент GDPR даже предполагает, что такой специалист может обслуживать сразу несколько компаний.
Ну и последний незакрытый вопрос - как выбрать компетентного DPO и не прогадать? Прежде всего, он должен быть экспертом в области европейского и украинского права, а также обладать опытом в сфере защиты данных. Думаете найти такого сверхчеловека практически невозможно? А вот и нет! Несмотря на то, что на данный момент в Евросоюзе пока нет обязательной сертификации DPO,некоторые украинские юристы уже проходят обучение за границей и расширяют перечень своих услуг GDPR-сопровождением. К примеру, в компании, где я являюсь генеральным директором, уже есть два сертифицированных DPO, и мы уже предоставляем услугу по внедрению GDPR. Верность такого движения подтверждает статистика: по последним оценкам Международной ассоциации профессионалов в области конфиденциальности в ближайшей перспективе минимум 25000 DPO понадобятся в Евросоюзе, а еще 75000 – по всему миру.
В сухом остатке мы имеем практически шекспировскую дилемму – быть или не быть, а точнее нанимать или не нанимать специалистов по внедрению GDPR. Мой ответ – однозначно быть и обязательно нанимать! Хотя бы потому, что наша страна с каждым годом все стремительней приближается к европейскому законодательству, а значит,рано или поздно, соблюдать стандарты GDPR все же придется всем украинским компаниям. Потому работа с DPO сегодня – это инвестиция в будущее.