Резюме выступлений: позиции спикеров конференции по рассмотренным вопросам.
Запись секции доступна на платформах Rutube и VK.
1. Какому функциональному руководителю должен подчиняться DPO?
1) DPO функционально должно подчиняться единоличному или коллегиальному исполнительному органу, поскольку получает указания от него и подотчетно ему.
Чем выше уровень подчиненности DPO, тем больше у него полномочий и тем эффективнее он будет их реализовывать.
2) Подчинение отделу информационной безопасности, юридическому отделу и тд. менее эффективно. Ответственность — это всегда не только обязанности, но и соответствующие права, поскольку без этого невозможно исполнять свои функции. Чем меньше прав и полномочий у ответственного за обработку персональных данных, тем менее эффективной будет его деятельность. Когда над DPO еще 10 начальников, которые формально при этом ответственными ни за что не являются, это ставит под сомнение эффективность работы.
3) Если в одном лице сочетаются две должности (например, руководитель отдела информационной безопасности и DPO), то необходимо обращать внимание, чтобы в полномочиях не было конфликта интересов. Он не должен проверять сам себя.
2. Ответственность DPO
1) Относительно банковской сферы и ответственности DPO: если DPO становится на уровне заместителя первого лица и входит в состав правления, то он становится КДЛ и привлекается к субсидиарной ответственности, кроме того, что он DPO. Судебная практика не разбирается в функционалах членов правления и всех вместе привлекает к субсидиарной ответственности или возмещению убытков. В данном случае стоит понимать, что не бывает высоких зарплат на безрисковых позициях. Уровень ответственности принимается во время подписания трудового договора и должностной инструкции.
2) В крупных организациях часто встречается размывание ответственности путем делегирования обязанностей (но не прав) на нижнеуровневых сотрудников. Схема снятия части ответственности может быть «рабочей» в случае, если вместе с обязанностями по принятию рисков, нижестоящие сотрудники наделяются и соответствующими правами документально. Однако при такой системе делегирования обязанностей и ответственности, нужно выстроить эффективную систему внутреннего контроля, поскольку на DPO лежит функция контроля. Кроме того, система делегирования не спасает делегировавшего за действия того, кому он делегировал.
3. Управление рисками
1) С риском не нужно бороться, им нужно управлять, а чтобы им управлять, он должен быть качественно описан, а дальше - контроль и мониторинг исполнения.
2) Риски по № 152 ФЗ - риски ИБ, ошибки сотрудников или мошенничество? Ответ на этот вопрос поможет решить проблему управления этими рисками. Должна быть мультимодальная структура рисков. Ответственным за сбор должен быть DPO.
3) Нужна аналитика рисков с точки зрения их вероятности, так как они должны быть учтены до инцидентов. Система контроля должна быть выстроена с учетом этих рисков.
4) Для риск-ориентированного управления надо быть глубоко компетентным в своей области: знать процессы, анализировать, видеть в них слабые звенья. Риски, как правило, на стыках, пересечениях полномочий разных подразделений. Все это нужно оценить и попытаться предложить дополнительные контрольные процедуры.
4. Возможна ли передача полномочий DPO на аутсорсинг?
1) Передача функции DPO на аутсорсинг не спасёт генерального директора от ответственности, поскольку решение о передаче принимал он. Более того, у компании есть чувствительные процессы, в которые нежелательно посвящать аутсорс.
2) В договоре с аутсорсом нужно прописать каждый случай, за который они понесут ответственность. В суде придется доказать, что а) произошли убытки, б) есть заинтересованность лица, на которого вы хотите возложить убытки, в причинении убытков, в) причинно-следственную связь между этими составляющими.
3) Договор с внешним DPO - гражданско-правовые отношения. Человек навряд ли согласится на полную компенсацию убытков своей работы. Тем более, он не находится внутри компании. Внешний DPO - хороший инструмент для управления рисками. Но договор с ним не является страхованием отсутствия рисков.
