szhbakov Aug 21 2018 at 09:08

Data Protection Officer — GDPR обновляет профессию

6 min

12K

Digital Rights Center corporate blogIT Standards*Business Models*Information Security*Research and forecasts in IT*

Comments 13

dlneo Aug 21 2018 at 09:41

Сейчас DPO одна из профессий по которой россиянину можно работать в Европе в связи с востребованностью. Правда в общем случае английского будет маловато, нужно знать хорошо один из европейских целевой страны.

GDPR Aug 21 2018 at 15:55

Персональныке данные -это конечный массив данных (приблизительно).
Когда все данные будут в 3-4 х базах тогда все GDPR и закончится.
Рынок победит.
Персданные будут товаром (они и сейчас таковые есть, но с разной ценой).
Я думаю 10 лет срок стабилизации ситуации.

AndreyKas Aug 22 2018 at 13:40

Конечный? Люди перестанут рождаться, увольняться, переезжать, жениться, разводиться и т.д.?

GDPR Aug 23 2018 at 09:38

Вы говорите об обновлении данных, о работе уже с готовым массивом данных — а так он конечный (приблизительно)…

dlneo Aug 23 2018 at 12:38

Перс данные находятся в информационных системах различных категорий, это бесконечный и меняющийся предмет регулирования.

GDPR Aug 23 2018 at 13:42

Количество субъектов ПДн на планете конечно!
Я говорю о том, что Иванов Иван Иванович + его перс данные — это конечный экземпляр! А регулировать инфосистемы мы можем до бесконечности.
Т.е. БД сформируются и далее будут только обслуживаться — обработка, хранение, уничтожение…

dlneo Aug 27 2018 at 17:39

В этом контексте понятно, мысль о том, что операторами всех субъектов ПДН будут 2-3 компании, тоже имеет право на существование.

Gailans Aug 21 2018 at 19:15

Всё верно, но есть тонкости. Например некоторые страны вводят дополнительные требования к DPO на своём законодательном уровне (так как GDPR сам по себе существует редко где в ЕС, его дополняют, где разрешено, детализированными национальными законами о защите персональных данных. Я в Латвии сдавал экзамен на специалиста по защите персональных данных ещё до того, как вступил в силу GDPR. По опыту могу сказать, что 80% сдававших — юристы, и лишь оставшиеся 20 — представители IT. Сам я имею оба диплома, и на практике DPO почти всегда юристы — на инциденты реагируют инфосеки и бизнес оунеры, а уж DPO решает, как поступить в конкретной ситуации.

dlneo Aug 22 2018 at 19:16

Вроде как можно дополнить требования к DPO на своем национальном уровне, если DPO штатный и работает по трудовому законодательству. В целом же GDPR не дает право расширять толкование по DPO, там ряд императивных указаний, услуги DPO вполне можно законно оказывать и из России (или Латвии) по любой стране Европы. Вот с назначением представителя уже сложнее. Или я не прав?

Gailans Aug 23 2018 at 10:27

GDPR, как и любой регламент ЕС, имеет прямое действие. Однако страны могут его дополнять в местах, где GDPR даёт такое право. Расширительно толковать GDPR нельзя, тут вы правы, но вот ввести конкретные детализированные требования, например, по надзорным органам и правилам общения с ними (ст. 51), страна может. Также страна может установить дополнительные, более жесткие условия для назначения DPO (ст. 37. п.4.). Жесткой привязки к контракту DPO нет — он может работать как на основании трудового договора, так и на основании договора об оказании услуг (ст. 37. п. 6.). Представитель может быть один на всю группу компаний, работающих в нескольких странах EC.

szhbakov Aug 23 2018 at 11:19

Представитель может быть один на всю группу компаний, работающих в нескольких странах EC.

Вот как раз в этом случае не совсем очевидно, какому именно регулятору нужно декларировать DPO.
Лично мне представляется странным декларировать одного и того же DPO во всех странах ЕС, где представлена компания. Тем более в случае договора об оказании услуг.

dlneo Aug 23 2018 at 12:36

По представителю же, получается, нужно и адрес национальный показать.

GDPR Sep 5 2018 at 13:57

если компания транснациональная, то DPO в составе отдела может быть один (так и будет) на несколько регионов и с одним адресом в центре.