Защита данных как услуга

Каковы перспективы развития сервисной модели на российском рынке персональной информации

С 1 сентября в силу вступят самые масштабные за десятилетие поправки в российский закон о персональных данных (ПД). После введения Общего регламента защиты данных (GDPR) в странах Евросоюза сложился рынок услуг по организации работы бизнеса с ПД граждан. В России на фоне растущего количества утечек и ужесточения требований законодательства также стоит ожидать развития подобной модели, считают эксперты. Более того, внешние сервисы, консультирующие компании по вопросам защиты данных, в нашей стране будут развиваться быстрее, чем в Европе, уверены они.

ВНЕШНИЙ И ВНУТРЕННИЙ

Почти половина российских компаний привлекала внешних консультантов по работе с ПД, показало исследование «Персональные данные и российский бизнес» (есть в распоряжении RSpectr.com), подготовленное компанией Б-152 при поддержке Russian Privacy Professionals Association (RPPA). При этом

все больше глав компаний видят риски в сфере Privacy и заинтересованы в получении актуальной информации

Поэтому подавляющее большинство отечественных DPO (90%) имеют возможность отчитываться напрямую руководству.

По словам главы Института исследований интернета Карена Казаряна, в Европе внешние DPO чаще работают на транснациональные корпорации. В беседе с RSpectr он отметил, что

институт защиты ПД наиболее развит в странах Евросоюза, где появилась целая прослойка профессионалов, предоставляющие подобные услуги

В России консультанты по вопросам ПД в основном задействованы в малом и среднем бизнесе, добавил эксперт. Обращение к внешним DPO действительно характерно для небольших российских бизнесов, в которых объемы обработки не столь существенны, подтвердила RSpectr партнер юридической фирмы «Алруд» Мария Осташенко.

В рамках GDPR специалист по работе с данными должен соблюдать отсутствие конфликта интересов, обратил внимание старший консультант группы по оказанию услуг в области кибербезопасности аудиторско-консалтинговой компании Kept (бывшая KPMG в РФ) Роман Мартинсон. Например, работники, участвующие в обработке самих ПД, не могут исполнять функции DPO, так как будут и контролером, и исполнителем, пояснил он RSpectr.

Роман Мартинсон, Kept (бывшая KPMG в РФ):

– В рамках российского законодательства не предусмотрено аналогичное требование, но консалтинговые компании также предлагают услуги по аутсорсингу функции ответственного за обработку данных. Представители Роскомнадзора на публичных мероприятиях подтверждали, что такой подход законом не запрещен.

Если организация полагает, что внутри ее штата нет кандидатуры на должность ответственного за ПД, то она вправе привлечь соответствующее юридическое лицо для организации данных процессов, считает Роман Мартинсон.

ТАНДЕМНЫЙ ФОРМАТ

Старший консультант тренинговой и консалтинговой компании в сфере защиты персональных данных Data Privacy Office Елена Себякина рассказала RSpectr, что международные компании пользуются услугами внешних DPO, когда:

• регулятор обратил на них пристальное внимание;
• они имеют много ПД в обработке;
• пытаются впечатлить инвесторов или акционеров;
• испытывают неуверенность в силах своей внутренней команды.

При этом, отметила она,

многие организации имеют штатного специалиста по работе с ПД, но при этом перекладывают риски на внешнего DPO. Есть даже сервисы, которые обещают компенсировать штраф или страхуют риски штрафа по GDPR

Елена Себякина, Data Privacy Office:

– У компании может сложиться иллюзия, что приглашенный эксперт снимет всю нагрузку по защите приватности с собственной команды. Но это далеко не так: обычно внешний и внутренний DPO работают в тандеме: первый играет роль менеджера, второй – исполнителя и эксперта.

В целом, услуги стороннего профессионала необходимы, чтобы снять риски, если они действительно очень высоки в конкретной индустрии, полагает она.

На фоне реформы российского законодательства у компаний могут возникнуть проблемы с перегруженностью персонала, поскольку обычно вопросы приватности занимают 50% от основной нагрузки сотрудника, обратила внимание Елена Себякина. Зачастую это либо руководитель юридического департамента, либо младший юрист. После нововведений проект по защите ПД, скорее всего, должен будет вести полностью выделенный сотрудник или DPO на аутсорсинге, либо оба могут сотрудничать в тандеме, как это и практикуется в зарубежных компаниях, соблюдающих GDPR, считает эксперт.

БЫСТРЕЕ, ЧЕМ В ЕВРОПЕ

По мнению Марии Осташенко, после вступления в силу закона о ПД 1 сентября кардинальных изменений ожидать не стоит.

Мария Осташенко, «Алруд»:

– При этом очевидно, что роль DPO будет повышаться с учетом рисков и внимания этим вопросам будет больше, поэтому у сервисов [по работе с ПД] есть все шансы развивать свой бизнес.

В сфере защиты персональных данных Россия идет вслед за европейскими странами с лагом в три-четыре года, где действительно уже сложилась целая отрасль по работе с ПД, рассказал RSpectr соучредитель RPPA Алексей Мунтян. По его мнению,

отечественные компании сейчас не могут позволить себе иметь в штате полноценного DPO, поэтому сервисная модель в нашей стране будет развиваться быстрее, чем в Европе

Алексей Мунтян, RPPA:

– Как правило, в России специалист по работе с ПД – это мастер на все руки, на которого навешивается все: моделирование ИБ-угроз, договоры, разбор запросов субъектов, внутренний консалтинг, целеполагание, стратегическое планирование. Поэтому не все компании пока готовы идти по пути аутсорсинга услуг DPO, но многие начинают присматриваться к такому подходу.

Рынок консалтинга по персональным данным в России вошел в активную фазу роста и становления в 2009-2010 годах, в 2011 году произошла реформа в этой сфере, напомнил он.

За прошедшие 10-12 лет практически все крупные компании и значительное количество средних прошли через циклы классического внешнего консультирования – с обращением к юридическим фирмам, которые делают проекты с обследованием процессов, с составлением документов на внутренние процессы обработки ПД и их защиты. Эксперт подчеркивает, что

многие организации переросли эпизодический консалтинг и понимают, что data privacy – это не проект, а перманентный процесс, для которого нужен сервисный подход

Это, обратил внимание Алексей Мунтян, не подразумевает, что организация будет передавать данные своих сотрудников или клиентов другой компании. На аутсорсинг передается не обработка ПД, а часть внутреннего комплаенса – работы по приведению в соответствие требованиям законодательства, пояснил он RSpectr.

Алексей Мунтян, RPPA:

– Внешний DPO не приходит в HR-отдел или бухгалтерию, чтобы вместо них обрабатывать ПД. Его функция – научить клиента делать это правильно, не нарушая нормативных требований, сводя к минимуму потраченные ресурсы и снижая риски.

Около 80-85% различных нарушений, в том числе утечек, происходит из-за действий, зачастую неумышленных, сотрудников компаний, напомнил он. По мнению представителя RPPA,

ценность Data Protection Officer – в создании «культуры информационной приватности» в компаниях: повышения осведомленности персонала, организации тренингов

Для того чтобы сотрудники не создавали проблем ни себе, ни своей организации, нужно повышать культуру информационной приватности, заключил эксперт.

Автор: Тимур Халудоров

Изображения: RSpectr, Adobe Stock, Freepik