Кто такой DPO в кибербезопасности?

Кто такой DPO (Data Protection Officer) и какие у него функции в кибербезопасности?

С 25.05.2018 принят европейский регламент по защите персональных данных (GDPR), его действие распространяется на все европейские страны и частично — на не европейские компании, поэтому многие фирмы вынуждены работать с учетом его требований. Регламент устанавливает строгие требования к защитному режиму относительно персональных данных, вводит обязательства для фирм, которые обрабатывают ПД (персональные данные). Именно этот Регламент усовершенствовал профессию ответственного по защите данных, которая давно существовала (DPO — Data Protection Officer). Если ранее законом была дана рекомендация специалиста, а теперь компании, которые распоряжаются базами ПД, обязаны иметь в штате DPO. Об этом неоднократно сообщали наши партнеры из компании Datami.ua

Data Protection Officer
Data Protection Officer
Data Protection Officer

Какие фирмы обязаны иметь в штате DPO

GDPR обязывает принимать на работу специалиста DPO, если фирма:

  • ведет крупный мониторинг лиц (например для контекстной рекламы Google Ads/Adwords);
  • обрабатывает особые категории ПД, например, о состоянии здоровья (особенно для компаний по медицинскому обслуживанию);
  • относится к публичным органам, обрабатывающим ПД.

Остальные компании могут принять специалиста по защите ПД, но не обязаны. Цели усиления защиты баз ПД — повышение ответственности обрабатывающих личные сведения сотрудников.

Функции DPO

Сотрудник DPO приводит компанию в соответствие европейскому регламенту, актам в сфере защиты ПД, чтобы фирма избежала санкций, договорных рисков с контрагентами. DPO проводит аудит работы компании, выявляет категории обрабатываемых ПД, предлагает меры для их защиты, создает общий план развития в применении данных законным путем. При необходимости ему приходится работать с правоохранительными органами, отвечать на запросы лиц, чьи данные обрабатывает компания.

Хороший специалист в этой сфере сочетает в себе профессии специалиста IT и юриста с хорошими навыками управленца. Регламент возлагает на DPO широкий круг обязанностей: при утечках необходимо правильно реагировать, обеспечивать безопасность ПД, но также специалистам приходится заключать договоры, которые отвечают требованиям GDPR, вести особые реестры, общаться с прокуратурой, прочими органами надзора, оформлять документацию.

DPO можно принять в штат или использовать привлеченных специалистов из внешней консалтинговой компании. Качество защиты баз данных зависит от уровня навыков, компетенции DPO. О назначении DPO компания должна сообщить регулятору.

DPO — молодая профессия, мировой и европейский тренд, решительно покоряющий и отечественный рынок труда.

В последнее время, в 2020 году тема защиты данных становится все более значимой, особенно на фоне перехода сотрудников на удаленную работу в незащищенные сети, подвергая угрозе всю систему кибербезопасности компании, будь то обычная DDoS атака или сложный пентест на уязвимость (penetration test).

Любой сотрудник компании, не зависимо от должности должен знать, что такое кибербезопасность и основные ее принципы для безопасной работы в информационной среде компании.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store