Сегодня состоялся интересный разговор со Стефано Росси, должностным лицом, ответственным за обеспечение безопасности персональных данных (администратором по информационной безопасности).
— Рады нашей встрече с Вами, Стефано. Вначале, объясните нам, что означает администратор по инфобезопасности?
Ответственный за обеспечение безопасности персональных данных (более известный в английской аббревиатуре DPO — data protection officer) — это специальность, которая уже долгое «практикуется» в Европе, но является новой у нас в Италии. Эта фигура вышла на первый план в свете принятых правил — Общих Положений о защите персональных данных ЕС 679/2016.
В двух словах, DPO — это профессионал, который имеет многопрофильную подготовку, начиная от законодательства о защите персональных данных и заканчивая аспектами информационной безопасности, контроля рисков/ risk management и организации управления, которые GDPR (General Data Protection Regulation — Общее положение о защите данных) намеревается сделать обязательным для всех общественных организаций и некоторых частных компаний — с целью соблюдения конфиденциальности и безопасности при обработке персональных данных (privacy compliance).
— Каковы обязанности администратора по информационной безопасности?
Согласно Статья 39 GDPR в обязанности этого должностного лица входят консультации, информирование владельца компании о законодательных вопросах по конфиденциальности, а также контроль за соблюдением, информированием и обучением лиц, которые ответственны за обработку персональных данных; сотрудничество с национальным органом надзора (Garante Privacy — Гарант конфиденциальности).
—Как долго Вы работаете в сфере информационной безопасности?
Я начал заниматься вопросами информационной безопасности много лет назад. На различных обучающих семинарах, которые я провожу, я часто рассказываю об этом времени – начале моей деятельности в сфере IT-безопасности, когда еще пользователи персональных компьютеров не использовали пароли. В европейском контексте, реальная защита персональных данных началась с Директивы 95/46/CE, которая была введена в действие в Италии с принятием Закона 675 от 31 декабря 1996 года. После этого мое первоначальное видение необходимости данного аспекта объективно отразилось и превратилось в новую профессию.
— Почему так важно защищать личные данные?
Прежде всего, нужно помнить, что защита персональных данных является одним из основных прав человека, что закреплено в статье 8 Хартии Европейского Союза об основных правах. Часто понятие защиты персональных данных путают с понятием конфиденциальности — это два разных аспекта. Понятие частной жизни (неприкосновенность частной жизни) имеет главным образом исключительно значение (право быть оставленным в «покое»).
А концепция защиты данных связана с сохранением полного контроля над своими персональными данными, которые в обязательном порядке доводятся до сведения различных организаций, как государственных, так и частных, на протяжении всего нашего существования.
— Как со временем изменилось законодательство о privacy?
Мы перешли от первоначального подхода, ориентированного на защиту данных человека (определяемого как субъект данных), к защите инфраструктуры обработки. Приведу метафору, которую я часто использую: мы перешли от защиты отдельно взятого золотого слитка в хранилище банка к защите всей банковской системы, по мере необходимости и функциональности для общества. Более того, европейский законодатель разработал новый регламент не только в связи с необходимостью, вызванной технологическими инновациями, с появлением новых медиа и информационных сообществ, которые предлагают свои услуги, но прежде всего с целью восстановления доверия граждан, которые, по большей части, не считают, что их личные данные должным образом защищены.
Текущий период характеризуется быстрым преобразованием экономической модели из object-based economy в data-based economy.
Эта модель экономики, основанная на данных, вскоре будет преобладать, особенно в Европе. Уже сейчас ни одна компания не может обойтись без обработки данных в своей информационной инфраструктуре, а многие уже основывают свою деятельность исключительно на данных.
Восстановление доверия европейских граждан является важнейшим условием развития Цифрового века (Digital Age), пожалуй, самой важным экономическим направлением для последующих поколений.
— С момента введения G.D.P.R. мы все больше и больше слышим о accountability/ подотчетности; объясните нам, пожалуйста, что это такое?
Аccountability — это англо-саксонский термин, который не имеет однозначного соответствия в итальянском языке, наиболее распространенный перевод — «отслеживаемость», «подотчетность» — но и эти слова не полностью передают понятие.
В Положениях accountability означает, что владелец/руководитель организации полностью осознает ценность персональных данных, которые ему доверили другие лица, делает ответственный и прозрачный выбор при их обработке, принятии стратегий управления, контроля за рисками, и ответственен за свои решения и действия. С этой точки зрения, назначение надежного профессионала, который будет исполнять обязанности администратора по инфобезопасности, является важной составляющей, демонстрирующим отслеживаемость действий.
— Как оценивается компетентность при выборе претендента на должность DPO, и какими знаниями он должен обладать?
В статье 37 Положения указано, что администратор по информационной безопасности назначается на основании его профессиональных качеств, в частности, знаний нормативов законодательства и практики (процедур) по вопросам защиты персональных данных, также учитывается его способность выполнять эти обязанности. Термин «нормативы» в большей степени относится к правовой компетенции, в то время как термин «практика» в основном относится к знаниям в области технологий.
На сегодняшний день не существует обязательной программы обучения или «значка» DPO, хотя имеются некоторые схемы для сертификации, которые могут быть показателями уровня компетентности специалиста. Что касается меня, то я получил образование в областях технологий, а также последующее последипломное образование по правовым дисциплинам. В августе 2020 года я также получил сертификат UNI 11697/2017. Однако, хочу отметить, что обучение и постоянное обновление знаний для этой профессиональной деятельности просто необходимы.
— Расскажите немного о своей работе в GE.
Считаю, в основе этой работы — контроль риска при обработке персональных данных. В этом контексте специалист оценивает текущую ситуацию, определяет уровень риска, предлагает свои решения, а также отслеживает полученные эффекты в классическом цикле Deming моделей управления.
Сегодня соблюдение нормативных требований по privacy не может быть получено статически, а может быть достигнуто с помощью динамичных и про-активных действий, которые влияют на большинство бизнес-процессов. Новый modus operandi (рабочий метод) — ключ для понимания недавнего постановления ЕС — необходимый для работы в условиях быстро меняющегося мира, нашел отклик и понимание со стороны Great Estate.
Кроме всего прочего, администратор по информационной безопасности выполняет не менее важную функцию — гаранта по отношению ко всем stakeholders (вовлеченным сторонам). Помимо предоставления консультаций владельцу (компании) и контроля, DPO также является референтом для заинтересованных лиц (людей, которые предоставили свои данные компании). Последние могут связаться с ним по любому вопросу, касающемуся обработки их данных.
Таким образом, DPO является независимым и гарантирующим субъектом, который сотрудничает с владельцем, но также взаимодействует с физическими лицами, с целью протекции общих интересов и защиты данных.
Пользуясь случаем, хотим напомнить читателям, что с мая 2018 года в штате компании Great Estate состоит референт по вопросам privacу — субъект координации всех функций компании с точки зрения конфиденциальности и защиты личных данных. Как с референтом, так и с администратором по информационной безопасности можно связаться по адресам электронной почты, которые указаны на информационной странице сайта greatestate.it.
— По вашему мнению, каковы будущие сценарии? Какое развитие будет иметь тема защиты данных?
Новое видение ЕС — это будущее — digital-data based — основанное на цифровых технологиях и данных; в этом контексте становится жизненно необходимой рациональная схема регулирования для экономической экосистемы, основанной на цифровых данных. На горизонте новые «вызовы», в то время как новейшие технологии уже среди нас (подумайте о цифровых ассистентах, автономном вождении, IoT (Internet of Things), вплоть до искусственного интеллекта и электроников, что пока что представлено в сценариях научной фантастики).
Поэтому защита прав человека приобретает первостепенное значение.
Следующим шагом, несомненно, станет новые Положения о Privacy, направленные на обеспечение безопасности, а, следовательно, и конфиденциальности электронных коммуникаций европейских граждан. Эти правила будут существенно влиять на работу всех организаций, которые используют IT-технологии, в том числе и на Great Estate.
Совсем недавно Совет ЕС приступил к пересмотру текста, с тем, чтобы как можно быстрее подготовить окончательный проект. Ожидается, что он вступит в силу через 2-3 года. Конечно, мы с интересом следим за законодательным процессом по внесению различных изменений, и которые необходимо принять еще до того, как они станут обязательными.
— Какие наиболее значимые действия предприняты Great Estate согласно G.D.P.R. (Общим Положениям о Защите Данных)?
G.D.P.R. были введены новые правила по защите персональных данных, но самым важным аспектом является другой подход, который уже сегодня должен быть про-активным, следовательно, необходимо предусматривать и просчитывать наперед, а не предпринимать меры пост-фактум.
Таким образом, оценка, управление и сокращение рисков с целью применения надлежащих инструментов и процедур обработки, в том числе с учетом новой концепции privacy by design (адресная защита персональных данных).
Затем, очень важный аспект — приобщение и обучение сотрудников, занимающихся обработкой данных с целью изучения нормативов и best practicies (передового практического опыта), но прежде всего, чтобы свести к минимуму ошибки, также несознательные, и «обезопасить» проводимые операции. С этой целью мы организовываем различные семинары, периодически проводим совещания для оценки текущего состояния, определения «зон и областей» для улучшения и проводим необходимые действия.
Хотелось бы также отметить начатый с 2018 года процесс «ревизии» информационной инфраструктуры компании, который Great Estate по моему предложению провела с целью улучшения оказываемых услуг и инфо-безопасности, а также возвращение под прямое управление большинства сервисов, реализованных в cloud (глобальная сеть). Очевидные улучшения, которые, я уверен, ваши клиенты обязательно для себя отметят!
