Починати думати про безпеку даних, зокрема персональних, потрібно на етапі, коли жодних даних ще не існує. Попередити проблему краще до того, як вона може виникнути. Наталя Семчук, кандидатка юридичних наук, адвокатка та стипендистка Варшавського університету з права нових технологій, розповіла з чого почати роботу з персональними даним і чим у цій справі допоможе юрист.
Підхід, згідно якого найголовніші розробки з питань захисту приватності мають бути проведені на етапі проектування певної системи має назву «Privacy by design». Навіть перші інженерні рішення, які будуть покладені в основу майбутньої системи, мають включати відповідь на питання: «як ми забезпечимо захисту приватності». Тому про захист персональних даних варто подумати з моменту, коли у компанії з’явився перший працівник і навіть до того, як прийшов перший клієнт, дані якого треба охороняти.
Другим важливим принципом захисту інформації є «Privacy by default» — впровадження найсуворіших доступних налаштувань конфіденційності за замовчуванням.
Поєднання цих двох принципів, “Privacy by design” та “Privacy by default” дозволяє побудувати надійну систему захисту персональних даних, коли найсуворіші вимоги конфіденційності будуть враховані з першої секунди проектування рішень, пов’язаних з безпекою персональних даних.
Основою для розробки рішень у галузі персональних даних є «підхід, заснований на ризику» — порівняння вірогідності настання наслідків зі шкодою, яку вони можуть спричинити, та регулярне оновлення такої оцінки.
Відповідальність на підставі ризиків також означає, що у випадку, якщо були вжиті необхідні заходи для зменшення ризиків, але негативна подія все одно настала, відповідальність може не настати. Водночас, вірно і протилежне. Відповідальність настане, якщо в певний момент часу шкода не настала, але в організації відсутні документи щодо захисту даних, за безпеку інформації ніхто не відповідає, або відповіді на питання клієнтів щодо захисту їх прав не надаються.
Ризики можна поділити на дві групи:
- Пов’язані з технічним фактором, для запобігання яких потрібна співпраця з інженерами, що проєктують відповідні системи, та проходження сертифікаційних процедур.
- Пов’язані з «людським фактором», для їх запобігання пишуться регламенти, розробляються та суворо контролюються процедури доступу, розробляються документи для клієнтів та проводяться регулярні навчання персоналу.
Тому, юрист, який практикує в галузі захисту персональних даних, має бути «на всі руки майстром»:
- Добре знати українське, європейське та американське законодавство з питань захисту персональних даних та кібербезпеки.
- Вміти грамотно і якісно писати політики, регламенти та інші юридичні документи.
- Періодично проводити аудит з питань захисту персональних даних у своїй організації.
- Взаємодіяти з державними органами, часто в кількох юрисдикціях.
- Розуміти технічні рішення та сертифікаційні процедури в даній галузі, принципи руху даних та інші аспекти. Бути в курсі нових розробок і технологій.
- Розуміти основи врахування ризиків та вміти засовувати ці знання на практиці.
- Бути лідером команди, яка складається з різних спеціалістів в різних галузях та координувати їх роботу.
- Вміти проводити регулярні та цікаві тренінги з питань захисту персональних даних для команди організації.
Оволодіти цими навичками та отримати практичні рекомендації з впровадження принципів “Privacy by design” та “Privacy by default” ви зможете на онлайн-курсі “Захист персональних даних”. Ми оновили програму на 90%, тепер ще більше практики та інтерактивного навчання прямо на лекціях.
Коли компаніям варто задуматися про захист персональних даних?
