Персданные как учеба

Что показал опыт сертификации профессионалов в области приватности

Фундаментальные знания делают работу специалиста по защите данных значительно эффективнее. Они позволяют разделять значимые и не носящие принципиального характера обстоятельства и тратить ресурсы только на то, что действительно влияет на конфиденциальность. О призрачности бумажной приватности и фундаментальных закономерностях обработки сведений читателям RSpectr рассказывает соучредитель RPPA.pro, участник рабочей группы «Электронная коммерция» Комиссии ООН по праву международной торговли Николай Дмитрик.

СВОЕ И ОБЩЕЕ

С ноября 2023 года Общественное учреждение Российской ассоциации специалистов по защите данных «Сообщество профессионалов в области приватности» (RPPA.PRO) проводит сертификацию профессионалов по защите персональных данных. Сертификация проходит не в формате тестирования, а в виде собеседования, аналогичного интервью при приеме на работу, но по четко выстроенному плану.

За основу был взят Перечень компетенций Data Protection Officer (DPO, специалист по защите данных), одобренный сообществом RPPA ранее. По нему были подготовлены примерные вопросы, которые и обсуждаются в ходе сертификации – с учетом опыта и специфики работы каждого кандидата.

Сертификация проводится отдельно по направлениям:

• теоретические основы – в режиме вопросов и ответов;
• практические навыки – на основе защиты проекта;
• навыки межпрофессионального общения – путем проведения деловой игры);
• ценностно-этические основы приватности – с учетом отзывов коллег, работодателей и заказчиков кандидата.

Основной вывод, который можно сделать на основании десятков состоявшихся интервью:

приватность у каждого своя, но в то же время у всех общая

Кандидаты на сертификацию приходят из сферы телекоммуникаций, банков, медиа, информационной безопасности и даже энергетики. Компании, в которых работают соискатели сертификатов, ведут свои проекты в России, Беларуси, странах Центральной и Юго-Восточной Азии и в Латинской Америке.

Предметом для разговора с кандидатами оказываются не только законодательное регулирование и базовые принципы обработки персональных данных, права субъекта и обязанности оператора, но и теория и история приватности.

Интервью демонстрируют, что

разница в регулировании приватности между разными отраслями и странами не означает разницу в европейской, азиатской или американской приватности

Точно так же в разных странах существуют разные законы, регулирующие деятельность в Сети, телекоммуникации, авиаперевозки или, как с недавних пор, искусственный интеллект. Но теория телекоммуникаций, авиации и нейросети в целом общая.

НОРМА И ДЕЙСТВИТЕЛЬНОСТЬ

Для сообщества RPPA является базовым тезис о том, что приватность существует не потому, что о ней написано в международном договоре, законе или судебном решении. Наоборот, это

судебные решения, законы и международные договоры возникают в силу объективного существования приватности

Она будет общей для людей из разных стран, хотя законодательство этих стран может сильно различаться. Общаясь в ходе сертификации с кандидатами, которым приходится организовывать обработку персональных данных в странах Европы, Азии и Америки, нельзя не убедиться в верности этого базового подхода.

Значительные проблемы для постижения приватности создает нормативный подход, заложенный как в правовых нормах, так и в юридическом образовании. Учебные курсы, статьи по праву и комментарии к законам излагают положения международных договоров, законов, подзаконных актов, судебной практики, оценивают возможные противоречия между этими документами и предлагают возможные пути их преодоления.

Ни один учебник, статья или комментарий не помогут в ситуации, когда норма не соответствует действительности

Об этом печальном обстоятельстве можно узнать, только попытавшись применить правило на практике. Ситуация становится еще хуже, когда речь идет об иностранной юрисдикции, где общение идет на другом языке, действуют иные культурные и управленческие традиции.

ПО СУТИ ИЛИ ПО ФОРМЕ

На преодоление этого направлен фундаментальный подход к изучению предмета, заложенный в курсе RPPA Privacy Fundamentals. Он рассматривает базовые, общие для всех закономерности в сфере приватности.

Например, во всех странах и юрисдикциях используются пароли для защиты частной информации. На каком бы языке ни велась переписка, она организуется отдельно по отправителям и получателям сообщений, а в чаты, в каком бы мессенджере они ни велись, требуется добавлять участников по правилам этого чата. Это следует из зависимостей между текстом и контекстом, идентификацией и идентичностью субъектов персональных данных, источниками и субъектами правил.

Эти зависимости и лежат в основе остальных элементов приватности – оснований и принципов обработки данных о человеке, базовых ролях в обработке, потребностей в регулировании и статусе регулятора, возможностях и пределах регулирования трансграничной обработки персональных данных.

Более того,

игнорирование в законодательстве ряда стран этих закономерностей приводит к неработоспособности национальных законодательств

А также неконкурентоспособности национальных экономик в цифровую эпоху.

Первый выпуск курса Privacy Fundamentals состоялся в феврале, и его студенты уже применяют полученные знания на практике. Судя по полученным отзывам, фундаментальные знания непросто даются специалистам-практикам.

Бумажная приватность намного легче в освоении: достаточно ограничиться составлением правильных политик конфиденциальности и форм согласий и их же показывать при проверках и судебных разбирательствах.

Намного сложнее выстраивать дизайн бизнес-процессов и административных процедур в соответствии с фундаментальными закономерностями обработки и накладываемыми ими ограничениями.

Высший пилотаж – в возможности передать, перевести полученные фундаментальные знания на язык ИТ-специалистов, маркетологов и инженеров

Очень важно привлечь их на свою сторону и организовать защиту персональных данных по сути, а не по форме.

Изображение: RSpectr, Adobe Stock, Freepik