Положения 679/2016 EC о защите персональных данных: интервью с администратором по информационной безопасности Great Estate Стефано Росси.


Положения 679/2016 EC о защите персональных данных: интервью с администратором по информационной безопасности Great Estate Стефано Росси.

Новости Great Estate , Профессионалы Mar 18, 2021 No Comments

Сегодня состоялся интересный разговор со Стефано Росси, должностным лицом, ответственным за обеспечение безопасности персональных данных (администратором по информационной безопасности).

– Рады нашей встрече с Вами, Стефано. Вначале, объясните нам, что означает администратор по инфобезопасности? 

Ответственный за обеспечение безопасности персональных данных (более известный в английской аббревиатуре DPO – data protection officer) – это специальность, которая уже долгое «практикуется» в Европе, но является новой у нас в Италии. Эта фигура вышла на первый план в свете принятых правил – Общих Положений о защите персональных данных ЕС 679/2016.

В двух словах, DPO – это профессионал, который имеет многопрофильную подготовку, начиная от законодательства о защите персональных данных и заканчивая аспектами информационной безопасности, контроля рисков/ risk management и организации управления, которые GDPR (General Data Protection Regulation – Общее положение о защите данных) намеревается сделать обязательным для всех общественных организаций и некоторых частных компаний – с целью соблюдения конфиденциальности и безопасности при обработке персональных данных (privacy compliance).

– Каковы обязанности администратора по информационной безопасности?

Согласно Статья 39 GDPR в обязанности этого должностного лица входят консультации, информирование владельца компании о законодательных вопросах по конфиденциальности, а также контроль за соблюдением, информированием и обучением лиц, которые ответственны за обработку персональных данных; сотрудничество с национальным органом надзора (Garante Privacy – Гарант конфиденциальности).

Как долго Вы работаете в сфере информационной безопасности?

Я начал заниматься вопросами информационной безопасности много лет назад. На различных обучающих семинарах, которые я провожу, я часто рассказываю об этом времени – начале моей деятельности в сфере IT-безопасности, когда еще пользователи персональных компьютеров не использовали пароли. В европейском контексте, реальная защита персональных данных началась с Директивы 95/46/CE, которая была введена в действие в Италии с принятием Закона 675 от 31 декабря 1996 года. После этого мое первоначальное видение необходимости данного аспекта объективно отразилось и превратилось в новую профессию. 

– Почему так важно защищать личные данные?

Прежде всего, нужно помнить, что защита персональных данных является одним из основных прав человека, что закреплено в статье 8 Хартии Европейского Союза об основных правах. Часто понятие защиты персональных данных путают с понятием конфиденциальности – это два разных аспекта. Понятие частной жизни (неприкосновенность частной жизни) имеет главным образом исключительно значение (право быть оставленным в «покое»).

А концепция защиты данных связана с сохранением полного контроля над своими персональными данными, которые в обязательном порядке доводятся до сведения различных организаций, как государственных, так и частных, на протяжении всего нашего существования.

– Как со временем изменилось законодательство о privacy?

Мы перешли от первоначального подхода, ориентированного на защиту данных человека (определяемого как субъект данных), к защите инфраструктуры обработки. Приведу метафору, которую я часто использую: мы перешли от защиты отдельно взятого золотого слитка в хранилище банка к защите всей банковской системы, по мере необходимости и функциональности для общества. Более того, европейский законодатель разработал новый регламент не только в связи с необходимостью, вызванной технологическими инновациями, с появлением новых медиа и информационных сообществ, которые предлагают свои услуги, но прежде всего с целью восстановления доверия граждан, которые, по большей части, не считают, что их личные данные должным образом защищены.

Текущий период характеризуется быстрым преобразованием экономической модели из object-based economy в data-based economy.
Эта модель экономики, основанная на данных, вскоре будет преобладать, особенно в Европе. Уже сейчас ни одна компания не может обойтись без обработки данных в своей информационной инфраструктуре, а многие уже основывают свою деятельность исключительно на данных.

Восстановление доверия европейских граждан является важнейшим условием развития Цифрового века (Digital Age), пожалуй, самой важным экономическим направлением для последующих поколений.

– С момента введения G.D.P.R. мы все больше и больше слышим о accountability/ подотчетности; объясните нам, пожалуйста, что это такое?

Аccountability – это англо-саксонский термин, который не имеет однозначного соответствия в итальянском языке, наиболее распространенный перевод – “отслеживаемость”, “подотчетность” – но и эти слова не полностью передают понятие.

В Положениях accountability означает, что владелец/руководитель организации полностью осознает ценность персональных данных, которые ему доверили другие лица, делает ответственный и прозрачный выбор при их обработке, принятии стратегий управления, контроля за рисками, и ответственен за свои решения и действия. С этой точки зрения, назначение надежного профессионала, который будет исполнять обязанности администратора по инфобезопасности, является важной составляющей, демонстрирующим отслеживаемость действий.

– Как оценивается компетентность при выборе претендента на должность DPO, и какими знаниями он должен обладать?

В статье 37 Положения указано, что администратор по информационной безопасности назначается на основании его профессиональных качеств, в частности, знаний нормативов законодательства и практики (процедур) по вопросам защиты персональных данных, также учитывается его способность выполнять эти обязанности. Термин “нормативы” в большей степени относится к правовой компетенции, в то время как термин “практика” в основном относится к знаниям в области технологий.

На сегодняшний день не существует обязательной программы обучения или «значка» DPO, хотя имеются некоторые схемы для сертификации, которые могут быть показателями уровня компетентности специалиста. Что касается меня, то я получил образование в областях технологий, а также последующее последипломное образование по правовым дисциплинам. В августе 2020 года я также получил сертификат UNI 11697/2017. Однако, хочу отметить, что обучение и постоянное обновление знаний для этой профессиональной деятельности просто необходимы.

– Расскажите немного о своей работе в GE.

Считаю, в основе этой работы  – контроль риска при обработке персональных данных. В этом контексте специалист оценивает текущую ситуацию, определяет уровень риска, предлагает свои решения, а также отслеживает полученные эффекты в классическом цикле Deming моделей управления.

Сегодня соблюдение нормативных требований по privacy не может быть получено статически, а может быть достигнуто с помощью динамичных и про-активных действий, которые влияют на большинство бизнес-процессов. Новый modus operandi (рабочий метод) – ключ для понимания недавнего постановления ЕС – необходимый для работы в условиях быстро меняющегося мира, нашел отклик и понимание со стороны Great Estate.  

Кроме всего прочего, администратор по информационной безопасности выполняет не менее важную функцию – гаранта по отношению ко всем stakeholders (вовлеченным сторонам). Помимо предоставления консультаций владельцу (компании) и контроля, DPO также является референтом для заинтересованных лиц (людей, которые предоставили свои данные компании). Последние могут связаться с ним по любому вопросу, касающемуся обработки их данных.

Таким образом, DPO является независимым и гарантирующим субъектом, который сотрудничает с владельцем, но также взаимодействует с физическими лицами, с целью протекции общих интересов и защиты данных.

Пользуясь случаем, хотим напомнить читателям, что с мая 2018 года в штате компании Great Estate состоит референт по вопросам privacу – субъект координации всех функций компании с точки зрения конфиденциальности и защиты личных данных. Как с референтом, так и с администратором по информационной безопасности можно связаться по адресам электронной почты, которые указаны на информационной странице сайта greatestate.it.

По вашему мнению, каковы будущие сценарии? Какое развитие будет иметь тема защиты данных?

Новое видение ЕС – это будущее – digital-data based – основанное на цифровых технологиях и данных; в этом контексте становится жизненно необходимой рациональная схема регулирования для экономической экосистемы, основанной на цифровых данных. На горизонте новые “вызовы”, в то время как новейшие технологии уже среди нас (подумайте о цифровых ассистентах, автономном вождении, IoT (Internet of Things), вплоть до искусственного интеллекта и электроников, что пока что представлено в сценариях научной фантастики).

Поэтому защита прав человека приобретает первостепенное значение.

Следующим шагом, несомненно, станет новые Положения о Privacy, направленные на обеспечение безопасности, а, следовательно, и конфиденциальности электронных коммуникаций европейских граждан. Эти правила будут существенно влиять на работу всех организаций, которые используют IT-технологии, в том числе и на Great Estate.

Совсем недавно Совет ЕС приступил к пересмотру текста, с тем, чтобы как можно быстрее подготовить окончательный проект. Ожидается, что он вступит в силу через 2-3 года. Конечно, мы с интересом следим за законодательным процессом по внесению различных изменений, и которые необходимо принять еще до того, как они станут обязательными.

– Какие наиболее значимые действия предприняты Great Estate согласно G.D.P.R. (Общим Положениям о Защите Данных)?

G.D.P.R. были введены новые правила по защите персональных данных, но самым важным аспектом является другой подход, который уже сегодня должен быть про-активным, следовательно, необходимо предусматривать и просчитывать наперед, а не предпринимать меры пост-фактум.

Таким образом, оценка, управление и сокращение рисков с целью применения надлежащих инструментов и процедур обработки, в том числе с учетом новой концепции privacy by design (адресная защита персональных данных).

Затем, очень важный аспект – приобщение и обучение сотрудников, занимающихся обработкой данных с целью изучения нормативов и best practicies (передового практического опыта), но прежде всего, чтобы свести к минимуму ошибки, также несознательные, и «обезопасить» проводимые операции. С этой целью мы организовываем различные семинары, периодически проводим совещания для оценки текущего состояния, определения «зон и областей» для улучшения и проводим необходимые действия.

Хотелось бы также отметить начатый с 2018 года процесс «ревизии» информационной инфраструктуры компании, который Great Estate по моему предложению провела с целью улучшения оказываемых услуг и инфо-безопасности, а также возвращение под прямое управление большинства сервисов, реализованных в cloud (глобальная сеть). Очевидные улучшения, которые, я уверен, ваши клиенты обязательно для себя отметят!

Поделиться в социальных сетях:

Halyna Vyshnevska

Leave a Reply

Your email address will not be published. Required fields are marked *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

error: Content is protected !!