SlideShare a Scribd company logo

пр DPO (GDPR)

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация про DPO (Data Protection Officer) GDPR

Law
1 of 21
Download to read offline
Актуальные вопросы GDPR: DPO Прозоров Андрей, CISM 80na20.blogspot.ru 2018-03-22
The Article 29 Working Party: “The GDPR recognises the DPO as a key player in the new data governance system…” GDPR признает DPO как ключевого игрока в новой системе управления данными…
Статьи GDPR про DPO Section 4 Data protection officer • Article 37 Designation of the data protection officer • Article 38 Position of the data protection officer • Article 39 Tasks of the data protection officer
Section 4. Data protection officer Article 37 Designation of the data protection officer 1.The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10. Раздел 4. Инспектор по защите ПДн Статья 37 Назначение на должность инспектора по защите персональных данных 1. Контролёр и обработчик должны назначить инспектора по защите персональных данных при любых обстоятельствах, в случае когда: (a) обработка осуществляется органом власти или учреждением, за исключением судов, действующих в рамках своей судейской дееспособности; (b) ключевая деятельность контролёра или обработчика заключается в обработке данных, которая в силу своего характера, своего объема и/или целей, требует регулярного и систематического мониторинга субъектов данных в больших масштабах; или (c) ключевая деятельность контролёра или обработчика заключается в масштабной обработке особых категорий данных, в соответствии со Статьей 6, а также персональных данных, касающихся осужденных в уголовном порядке и правонарушителей в соответствии со Статьей 10.
«Large-scale» «Regular and systematic monitoring» • processing of patient data in the regular course of business by a hospital • processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards) • processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities • processing of customer data in the regular course of business by an insurance company or a bank • processing of personal data for behavioural advertising by a search engine • processing of data (content, traffic, location) by telephone or internet service providers Do not constitute large-scale • processing of patient data by an individual physician • processing of personal data relating to criminal convictions and offences by an individual lawyer • operating a telecommunications network • providing telecommunications services • email retargeting • profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering) • location tracking, for example, by mobile apps • loyalty programs • behavioural advertising • monitoring of wellness, fitness and health data via wearable devices • closed circuit television • connected devices e.g. smart meters, smart cars, home automation, etc Примеры (The Article 29 Working Party)
2.A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment. 3.Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size. 4.In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors. 2.Группа компаний может назначить единого инспектора по защите персональных данных, при условии, что инспектор по защите персональных данных может быть легко доступен для каждой компании. 3.В случае если контролёр или обработчик является государственным органом или учреждением, единый инспектор по защите персональных данных может быть назначен для нескольких таких органов власти или учреждений, принимая во внимание их организационную структуру и количественный состав. 4.В случаях, иных чем те, которые указаны в параграфе 1, контролёр, или обработчик, или ассоциации и иные органы, представляющие категории контролёров или обработчиков, могут, или если этого требует право Евросоюза или право государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или обработчиков.
5.The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39. 6.The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. 7.The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority. 5.Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в том числе, на основе экспертных знаний в сфере права защиты данных и практики, а также способности осуществлять задачи, предусмотренные Статьей 39. 6.Инспектор по защите персональных данных может являться сотрудником контролёра или обработчика, или осуществлять задачи на основании договора об оказании услуг. 7.Контролёр или обработчик должны опубликовать реквизиты инспектора по защите персональных данных и сообщить их надзорному органу.
Собственный DPO нужен лишь малой части операторов ПДн, подпадающих под GDPR. Но рекомендуется…
Article 38 Position of the data protection officer 1.The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. 2.The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. Статья 38 Должность инспектора по защите персональных данных 1.Контролёр и обработчик должны обеспечить, чтобы инспектор по защите персональных данных участвовал в установленном порядке и согласно указанным срокам во всех делах, которые относятся к защите персональных данных. 2.Контролёр и обработчик должны оказывать содействие инспектору по защите персональных данных в осуществлении задач, предусмотренных в Статье 39, посредством средств, необходимых для осуществления таких задач, а также предоставлением доступа к персональным данным и операциям обработки, и поддерживать его/ее экспертную осведомленность.
3.The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. 4.Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation. communicate them to the supervisory authority. 3.Контролёр и обработчик должны следить за тем, чтобы инспектор по защите персональных данных не получал каких-либо указаний относительно осуществления таких задач. Он/она не должны быть уволены или наказаны контролёром или обработчиком за осуществление их задач. Инспектор по защите персональных данных должен напрямую отчитываться перед руководством высшего уровня контролёра или обработчика. 4.Субъекты данных могут обращаться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных, а также связанных с осуществлением их прав в соответствии с настоящим Регламентом.
5.The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. 6.The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests. 5.Инспектор по защите персональных данных должен быть связан с соблюдением тайны или конфиденциальности, в отношении осуществления его/ее задач, в соответствии с правом Евросоюза или правом государства- члена. 6.Инспектор по защите персональных данных может выполнять иные задачи и обязанности. Контролёр или обработчик должны следить за тем, чтобы любые такие задачи и обязанности не приводили к конфликту интересов.
Типовой конфликт интересов • CEO • COO • CFO • Chief medical officer • Head of marketing department • Head of Human Resources • Head of IT departments The Article 29 Working Party
Article 39 Tasks of the data protection officer 1.The data protection officer shall have at least the following tasks: (a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; (b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; … Статья 39 Задачи инспектора по защите персональных данных 1.Инспектор по защите персональных должен выполнять, как минимум следующие задачи: (a) информировать и давать советы контролёру или обработчику, а также сотрудникам, которые осуществляют обработку, относительно их обязанностей по настоящему Регламенту и иным положениям о защите данных Евросоюза или государства- члена; (b) осуществлять мониторинг соблюдения настоящего Регламента, иных положений Евросоюза или государства-члена о защите данных, и политик контролёра или обработчика в отношении защиты персональных данных, в том числе распределения обязанностей, повышения осведомленности и обучения персонала, занятого в обработке данных, а также относительно аудита. …
(c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; (d) to cooperate with the supervisory authority; (e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. 2.The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing. (c) давать рекомендации, когда они запрашиваются, относительно оценки воздействия на защиту данных, а также осуществлять мониторинг их выполнения, в соответствии со Статей 35; (d) сотрудничать с надзорным органом; (e) действовать в качестве контактного центра для надзорного органа по вопросам, относящимся к обработке, в том числе по предварительному консультированию, предусмотренному Статей 36, а также давать советы, в соответствующих случаях, в относительно иных вопросов. 2.Инспектор по защите персональных данных при выполнении его/ее задач должен соответствующим образом учитывать риск, связанный с операциями обработки, принимая во внимание характер, объем, контекст и цели обработки.
Важно! Не путайте DPO с официальным представителем компании в ЕС. см. GDPR Art.27 «Representatives of controllers or processors not established in the Union»
Разъяснения про DPO • The Article 29 Working Party: • Guidelines on Data Protection Officers ('DPOs') - http://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612048 • DPO FAQs - http://ec.europa.eu/information_society/ newsroom/image/document/2016- 51/wp243_annex_en_40856.pdf • Guide to the GDPR - https://ico.org.uk/for- organisations/guide-to-the-general-data- protection-regulation-gdpr Но, по сути, это пересказ GDPR. Пользы мало…
Сколько требуется DPO? • более 28 000 в ЕС • более 75 000 в Мире По оценкам IAPP
Лишь 38,4% организаций назначили DPO для соблюдения требований GDPR
Кто выполняет функции DPO? 38,5% 11,1%13,0% 0,5% 11,1% 25,9% Data Protection Officer IT Manager ISMS Manager External service provider Not aware Other «GDPR Report» (2017-07), IT Governance
Что важно? • DPO – работа мечты! Задач мало, персональной ответственность за несоблюдение требований GDPR нет, трудно уволить, отчитывается перед высшим руководством • Может быть 1 DPO на несколько компаний или даже аутсорсинг • Важно не путать DPO с «официальным представителем в ЕС», это разные люди! • В РФ будет мало DPO (не в scope). На HH.ru вакансий нет (меньше 10)… • Уедут ли российские CISO в Европу? Скорее нет, нужно хорошо разбираться в европейском законодательстве и взаимодействовать с регуляторами… • Основная задача DPO – повышение осведомленности (awareness)
Спасибо! Прозоров Андрей, CISM 80na20.blogspot.ru

Recommended

GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - RussiaAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - RussiaAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Aleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхУчебный центр "Эшелон"
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 

More Related Content

What's hot

пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Aleksey Lukatskiy
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данныхSoftline
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 

What's hot (19)

пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 

Similar to пр DPO (GDPR)

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Банковское обозрение
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Legaltax
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пднpesrox
 
Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Aleksey Lukatskiy
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
 
Правила безопасности информационных систем № 106 Правила ведения и организаци...
Правила безопасности информационных систем № 106 Правила ведения и организаци...Правила безопасности информационных систем № 106 Правила ведения и организаци...
Правила безопасности информационных систем № 106 Правила ведения и организаци...Юрий Ж
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 

Similar to пр DPO (GDPR) (20)

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...Новые требования Европейской Экономической Зоны (European Economic Area) в об...
Новые требования Европейской Экономической Зоны (European Economic Area) в об...
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
 
Ey uisg iv privacy
Ey uisg iv privacyEy uisg iv privacy
Ey uisg iv privacy
 
Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021Защита персональных данных в Беларуси 2021
Защита персональных данных в Беларуси 2021
 
Обеспечение безопасности пдн
Обеспечение безопасности пднОбеспечение безопасности пдн
Обеспечение безопасности пдн
 
Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119Сравнение ПП-781 и ПП-1119
Сравнение ПП-781 и ПП-1119
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"
 
Правила безопасности информационных систем № 106 Правила ведения и организаци...
Правила безопасности информационных систем № 106 Правила ведения и организаци...Правила безопасности информационных систем № 106 Правила ведения и организаци...
Правила безопасности информационных систем № 106 Правила ведения и организаци...
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данных
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр DPO (GDPR)

  • 1. Актуальные вопросы GDPR: DPO Прозоров Андрей, CISM 80na20.blogspot.ru 2018-03-22
  • 2. The Article 29 Working Party: “The GDPR recognises the DPO as a key player in the new data governance system…” GDPR признает DPO как ключевого игрока в новой системе управления данными…
  • 3. Статьи GDPR про DPO Section 4 Data protection officer • Article 37 Designation of the data protection officer • Article 38 Position of the data protection officer • Article 39 Tasks of the data protection officer
  • 4. Section 4. Data protection officer Article 37 Designation of the data protection officer 1.The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10. Раздел 4. Инспектор по защите ПДн Статья 37 Назначение на должность инспектора по защите персональных данных 1. Контролёр и обработчик должны назначить инспектора по защите персональных данных при любых обстоятельствах, в случае когда: (a) обработка осуществляется органом власти или учреждением, за исключением судов, действующих в рамках своей судейской дееспособности; (b) ключевая деятельность контролёра или обработчика заключается в обработке данных, которая в силу своего характера, своего объема и/или целей, требует регулярного и систематического мониторинга субъектов данных в больших масштабах; или (c) ключевая деятельность контролёра или обработчика заключается в масштабной обработке особых категорий данных, в соответствии со Статьей 6, а также персональных данных, касающихся осужденных в уголовном порядке и правонарушителей в соответствии со Статьей 10.
  • 5. «Large-scale» «Regular and systematic monitoring» • processing of patient data in the regular course of business by a hospital • processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards) • processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities • processing of customer data in the regular course of business by an insurance company or a bank • processing of personal data for behavioural advertising by a search engine • processing of data (content, traffic, location) by telephone or internet service providers Do not constitute large-scale • processing of patient data by an individual physician • processing of personal data relating to criminal convictions and offences by an individual lawyer • operating a telecommunications network • providing telecommunications services • email retargeting • profiling and scoring for purposes of risk assessment (e.g. for purposes of credit scoring, establishment of insurance premiums, fraud prevention, detection of money-laundering) • location tracking, for example, by mobile apps • loyalty programs • behavioural advertising • monitoring of wellness, fitness and health data via wearable devices • closed circuit television • connected devices e.g. smart meters, smart cars, home automation, etc Примеры (The Article 29 Working Party)
  • 6. 2.A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment. 3.Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size. 4.In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors. 2.Группа компаний может назначить единого инспектора по защите персональных данных, при условии, что инспектор по защите персональных данных может быть легко доступен для каждой компании. 3.В случае если контролёр или обработчик является государственным органом или учреждением, единый инспектор по защите персональных данных может быть назначен для нескольких таких органов власти или учреждений, принимая во внимание их организационную структуру и количественный состав. 4.В случаях, иных чем те, которые указаны в параграфе 1, контролёр, или обработчик, или ассоциации и иные органы, представляющие категории контролёров или обработчиков, могут, или если этого требует право Евросоюза или право государства-члена, должны назначить инспектора по защите персональных данных. Инспектор по защите персональных данных может действовать от лица указанных ассоциаций и иных органов, представляющих контролёров или обработчиков.
  • 7. 5.The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39. 6.The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. 7.The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority. 5.Инспектор по защите персональных данных должен назначаться на основе профессиональных качеств и, в том числе, на основе экспертных знаний в сфере права защиты данных и практики, а также способности осуществлять задачи, предусмотренные Статьей 39. 6.Инспектор по защите персональных данных может являться сотрудником контролёра или обработчика, или осуществлять задачи на основании договора об оказании услуг. 7.Контролёр или обработчик должны опубликовать реквизиты инспектора по защите персональных данных и сообщить их надзорному органу.
  • 8. Собственный DPO нужен лишь малой части операторов ПДн, подпадающих под GDPR. Но рекомендуется…
  • 9. Article 38 Position of the data protection officer 1.The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. 2.The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. Статья 38 Должность инспектора по защите персональных данных 1.Контролёр и обработчик должны обеспечить, чтобы инспектор по защите персональных данных участвовал в установленном порядке и согласно указанным срокам во всех делах, которые относятся к защите персональных данных. 2.Контролёр и обработчик должны оказывать содействие инспектору по защите персональных данных в осуществлении задач, предусмотренных в Статье 39, посредством средств, необходимых для осуществления таких задач, а также предоставлением доступа к персональным данным и операциям обработки, и поддерживать его/ее экспертную осведомленность.
  • 10. 3.The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. 4.Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation. communicate them to the supervisory authority. 3.Контролёр и обработчик должны следить за тем, чтобы инспектор по защите персональных данных не получал каких-либо указаний относительно осуществления таких задач. Он/она не должны быть уволены или наказаны контролёром или обработчиком за осуществление их задач. Инспектор по защите персональных данных должен напрямую отчитываться перед руководством высшего уровня контролёра или обработчика. 4.Субъекты данных могут обращаться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных, а также связанных с осуществлением их прав в соответствии с настоящим Регламентом.
  • 11. 5.The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. 6.The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests. 5.Инспектор по защите персональных данных должен быть связан с соблюдением тайны или конфиденциальности, в отношении осуществления его/ее задач, в соответствии с правом Евросоюза или правом государства- члена. 6.Инспектор по защите персональных данных может выполнять иные задачи и обязанности. Контролёр или обработчик должны следить за тем, чтобы любые такие задачи и обязанности не приводили к конфликту интересов.
  • 12. Типовой конфликт интересов • CEO • COO • CFO • Chief medical officer • Head of marketing department • Head of Human Resources • Head of IT departments The Article 29 Working Party
  • 13. Article 39 Tasks of the data protection officer 1.The data protection officer shall have at least the following tasks: (a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; (b) to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; … Статья 39 Задачи инспектора по защите персональных данных 1.Инспектор по защите персональных должен выполнять, как минимум следующие задачи: (a) информировать и давать советы контролёру или обработчику, а также сотрудникам, которые осуществляют обработку, относительно их обязанностей по настоящему Регламенту и иным положениям о защите данных Евросоюза или государства- члена; (b) осуществлять мониторинг соблюдения настоящего Регламента, иных положений Евросоюза или государства-члена о защите данных, и политик контролёра или обработчика в отношении защиты персональных данных, в том числе распределения обязанностей, повышения осведомленности и обучения персонала, занятого в обработке данных, а также относительно аудита. …
  • 14. (c) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; (d) to cooperate with the supervisory authority; (e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. 2.The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing. (c) давать рекомендации, когда они запрашиваются, относительно оценки воздействия на защиту данных, а также осуществлять мониторинг их выполнения, в соответствии со Статей 35; (d) сотрудничать с надзорным органом; (e) действовать в качестве контактного центра для надзорного органа по вопросам, относящимся к обработке, в том числе по предварительному консультированию, предусмотренному Статей 36, а также давать советы, в соответствующих случаях, в относительно иных вопросов. 2.Инспектор по защите персональных данных при выполнении его/ее задач должен соответствующим образом учитывать риск, связанный с операциями обработки, принимая во внимание характер, объем, контекст и цели обработки.
  • 15. Важно! Не путайте DPO с официальным представителем компании в ЕС. см. GDPR Art.27 «Representatives of controllers or processors not established in the Union»
  • 16. Разъяснения про DPO • The Article 29 Working Party: • Guidelines on Data Protection Officers ('DPOs') - http://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=612048 • DPO FAQs - http://ec.europa.eu/information_society/ newsroom/image/document/2016- 51/wp243_annex_en_40856.pdf • Guide to the GDPR - https://ico.org.uk/for- organisations/guide-to-the-general-data- protection-regulation-gdpr Но, по сути, это пересказ GDPR. Пользы мало…
  • 17. Сколько требуется DPO? • более 28 000 в ЕС • более 75 000 в Мире По оценкам IAPP
  • 18. Лишь 38,4% организаций назначили DPO для соблюдения требований GDPR
  • 19. Кто выполняет функции DPO? 38,5% 11,1%13,0% 0,5% 11,1% 25,9% Data Protection Officer IT Manager ISMS Manager External service provider Not aware Other «GDPR Report» (2017-07), IT Governance
  • 20. Что важно? • DPO – работа мечты! Задач мало, персональной ответственность за несоблюдение требований GDPR нет, трудно уволить, отчитывается перед высшим руководством • Может быть 1 DPO на несколько компаний или даже аутсорсинг • Важно не путать DPO с «официальным представителем в ЕС», это разные люди! • В РФ будет мало DPO (не в scope). На HH.ru вакансий нет (меньше 10)… • Уедут ли российские CISO в Европу? Скорее нет, нужно хорошо разбираться в европейском законодательстве и взаимодействовать с регуляторами… • Основная задача DPO – повышение осведомленности (awareness)