

DPO, юрист, специализируюсь на легализации обработки персональных данных и правовой защите информации.
Предложить сотрудничествоDPO, юрист, специализируюсь на легализации обработки персональных данных и правовой защите информации.
Предложить сотрудничествоКонсультанты значительно улучшат проект по персональным данным
Для консалтинговых проектов от 1 000 000 рублей
Проводя проверки со стороны Роскомнадзора, работая в консалтинге и в качестве DPO я делал сам, изучал и просто видел большое количество документов, подготовленных другими privacy - экспертами России и других стран. Сейчас иногда получаю сообщения с просьбой посмотреть что не так с консалтинговым проектом.
Аудит работы privacy-консультантов - это возможность помочь двум сторонам: заказчику улучшить результат, исполнителю улучшить компетенцию. Для себя я получаю возможность быть в курсе подходов на рынке privacy-консалтинга.
Учитывая, что я смотрю на результат не только со стороны бизнес-управления, но и со стороны инспектора Роскомнадзора, почти в каждом проекте есть что доработать. Некоторые признаки некачественных проектов в области персональных данных обозначены ниже.
Проект договора с проектной командой может не содержать ясную последовательность услуг и/или результат. Часто консультантами не принимается или сильно ограничивается юридическая ответственность за соответствие результата оказанных услуг законодательству или договору.
Прайваси-комплаенс направлен, в том числе, на выполнение нормативных правовых актов. В конечном итоге нужно рассчитывать, что документы по персональным будут рассматриваться административными, правоохранительными или судебными органами. Сам по себе факт отсутствия в проектной команде отраслевого юриста уже создает риск. К правовым проблемам может привести, в том числе, и слабая юридическая техника.
Консультанты могут ссылаться на опыт и примеры из прошлых проектов, которые сложно проверить. Не обоснованные рекомендации могут оказаться гипотезами. Лучшая практика, когда экспертные рекомендации имеют мотивировочную часть.
Часто заказчик услуг понимает это, но не может найти правильных или системных возражений. По некоторым причинам действительно может занижаться качество услуг. Например, из-за того, что консультаты неверно определили сроки и трудозатраты проекта. Снижение качества услуг может выражаться в рекомендациях без обоснования, "запутанных" документах, промежуточной или итоговой передаче документов, которые заказчик должен сам корректировать под свои процессы и т.п.
Документы по персональным данным без внедрения в бизнес-процессы довольно скоро станут неактуальными. Работа с бизнес-процессами и жизненным циклом персональных данных трудоёмкая часть консалтингового проекта, требует опыта и компетенций.
Если бизнес заказчика распространяется на несколько юрисдикций, то изолированные подходы по privacy-соответствию в пределах одной страны могут в последующем создать проблемы при выстраивании системы управления процессами обработки персональных данных, использования общей ИТ-инфраструктуры, при международном обмене персональными данными.
Обмен персональными данными внутри группы компаний и с внешними компаниями базируется на договорах. Договоры определяют поступление и уход данных из компании. В случае если консультанты (юристы) дали рекомендации не исследовав договоры - это признак не завершенного проекта.
Качественный проект по персональным данным должен включать диагностику или изменения в области управления рисками персональных данных, создание или внесение изменений в контрольную среду. Отсутствие системной информации о принятых прайваси-рисках - признак не завершенного проекта.
Встречаются другие признаки некачественного оказания услуг привлеченными командами. Кроме того, можно встретить, как опыт и квалификация консультанта используются для управления "психологическими" ожиданиями клиента, "продавливания" клиента под типовые решения, а не на разработку индивидуальных (лучших) решений.
Помощь оказывается при наличии временных ресурсов для privacy-проектов стоимостью от 1 000 000 рублей. Как правило, здесь исполнителями выступают известные юридические или консалтинговые бренды. Необходимо предварительное обсуждение.