DPO դերը
1) Նշանակումը և իրավական մանդատը
Նպատակը 'ապահովել մասնագիտության պահանջներին համապատասխանելը (GDPR/UK GDPR/ePrivacy և տեղական նորմերը), ելույթ ունենալ անկախ վերահսկման կետը և կոնտակտային դեմքը կարգավորողների/տվյալների սուբյեկտների համար։
Երբ պարտական է DPO (տիպիկ հիմքեր)
սուբյեկտների համակարգված և լայնածավալ ստանդարտը (ավելացում, հակաֆրոդ, RG-stugers);
լայնամասշտաբ տվյալների մշակումը (օրինակ, KYC-ում liveness կենսաչափություն);
«կազմակերպության կարգավիճակը, որը մշակում է հասարակական շահերից» (հազվադեպ iGaming-ի համար, բայց հանդիպում է կառավարական ծրագրերում)։
2) Անկախության սկզբունքները և սկզբունքները
Անկախություն 'DPO-ը չի ստանում բանտարկության բովանդակության հրահանգներ։ անընդունելի է շահերի հակամարտությունը (DPO չպետք է միաժամանակ լինի Head of System, CTO, CMO, Drot Owner)։
Ենթակայություն 'C-level/Տնօրենների խորհուրդ; հասանելիություն բոլոր տվյալներին/համակարգերին/պայմանագրերին։
Ռեսուրսներ ՝ բյուջե, մուտք իրավաբաններին, վերլուծողներին, գործիքներին (RoPA, DSAR, DLP/լոգամ)։
Պաշտպանությունը բյուջեից 'տուգանքների/պաշտոնանկության արգելք DPO-ի պարտականությունների համար։
3) Դեր, պատասխանատվության և սահմանների գոտի
DPO-ն պատասխանատու է
խորհրդատվություն ֆինանսական հիմքերով, Privacy by Design/Moscow/;
/ վարվել RoPA, մասնակցել DPIA/DTIA-ին;
վերապատրաստում, մասնագիտության/տիկնիկների/DSAR-ի քաղաքական գործիչ;
Պահեստավորման և պահպանման վերահսկումը, իրավունքների վարժության թեստերը։
փոխազդեցություն օրգանների և տվյալների սուբյեկտների հետ.
Գաղտնիության և ծանուցումների ստուգման իրականացումը (ներառյալ 72-ժամյա պատուհաններում);
անկախ բանտարկություններ և առաջարկություններ (advice & challenge)։
DPO-ը չի պատասխանատու ռիսկերի վիրահատական տիրապետման համար (սա գործընթացների սեփականատերերի գոտին է ՝ Systet, System, Compliance, Lenta.ru)։ DPO-ը վերահսկողության «երկրորդ պաշտպանությունն» է։
4) RACI (փխրուն)
5) Մետրիկի և KPI դերի DPO
SLA DSAR: 387 օրվա հաստատումը, թիվ 30 կատարումը (մասնաբաժինը թիվ 95%)։
DPIA coverage: DPIA-ի բարձր ռիսկային փոփոխությունների տոկոսը 95 տոկոսն է։
Retention compliance-ը 'շարժիչների/անանունացման համակարգերի մասնաբաժինը 90 տոկոսն է։
Privacy incidents: MTTD/MTTR-ը գաղտնիության պատճառով, ծանուցումների մասը 72 ժամվա ընթացքում '100 տոկոսը։
Training: աշխատողների տոկոսը, ովքեր անցել են մասնավոր ուսուցումը 98 տոկոսը (ամեն տարի)։
Vendor privacy score: գենդերների մասնաբաժինը իրական DPA/SCCs/DTIA-ի հետ 100 տոկոսն է։
6) Գործընթացներ (SOP) DPO կուրատորիայի տակ
6. 1 DSAR (սուբյեկտների իրավունքները)
1. Հարցման ընդունումը (պորտալ/փոստ) Թիվ 2) Ինքնության գնահատումը 244) Տվյալների հավաքումը համակարգերից/գողերից թիվ 5): 6) Պատասխանը/մերժումը (հիմնավորմամբ) 387) Տրամաբանություն և բարելավում։
Վերահսկել 'երկֆակտորային հավատացում; կարմիր գծերը չեն բացահայտել PII երրորդ դեմքերը, հակաֆրոդի գաղտնիքները։
6. 2 DPIA/DTIA
Փոփոխությունների սկրինինգը (feature flag CAB) բացատրում է DPIA-ի ռիսկի դասակարգումը (ռիսկեր/միջոցներ) մեջբերում է DPO/Legal-ը backlog-ում (CAPA) ռուսական ստուգման համար։
DTIA-ն ինքնաբերաբար 'մեխանիզմ (SCCS/IDTA), տեխնոլոգիական միջոցներ (E2EE/հաճախորդների բանալիներ), տվյալների երկրագրությունը։
6. 3 Պատահարների/արտահոսքերի կառավարում
«Անձնական ռիսկի» գնահատումը սուբյեկտներին. ծանուցումների պատրաստումը կարգավորիչին/կարգավորիչին; տեքստերի խմբագրումը; թայմլայնային ամսագիր; գաղտնիության հետմորտը։
6. 4 RoPA և տվյալների քարտեզը
Կենդանի հոսքերի լուծումը 'նպատակներ, հիմքեր, ստացողներ, ժամկետներ, TOMS, ավտոմատացված լուծումներ/ավելացում։
Եժեքվարթական հեղափոխություն և կապ ճարտարապետության հետ/ETL։
6. 5 Կուկի/SMR և մարքեթինգը
Գրանուլային համաձայնությունները (TCF/համարժեքներ), տարբերակների տրամաբանությունը։ նախասիրությունների կենտրոններ; Գործարքային vs մարքեթինգային հաղորդակցություն; Աֆֆիլիատների վերահսկումը/MSK։
7) Փոխազդեցությունը կարգավորիչների և սուբյեկտների հետ
Կապի միասնական կետը 'հանրային email DPO և փոստի հասցեն։
Կոմմ սկզբունքները 'փաստեր, միջոցներ, ժամկետներ։ խուսափել հիպոթեզներից և մարքեթինգային ձևակերպումներից։
Կարգավորող կոնտակտների 'հարցումների, պատասխանների, տեղեկատվության, ծրագրերի։
8) Շահերի բախումները և ընդունելի խիղճը
Արգելված է համատեղել նպատակների/մշակման միջոցների հետ (CTO/Head of You/Head of Marketing/Wint Owner)։
Թույլատրելի է համադրվել խորհրդատուի հետ, եթե անկախությունը և «վետոյի» իրավունքը ընդունված են և ձևականացված։
9) Վենդորներն ու հիբրիդային փոխանցումները (DPO-ի վերահսկողության տակ)
Մինչև բանտարկությունը 'due diligence (ISO/SOC2, միջադեպեր, երկրագրություն, ենթահամակարգեր, TOMS), DPA, ճշգրտության մեխանիզմ (SCCS/IDTA), DTIA։
Գործողության մեջ են ենթահամակարգերը, փոփոխությունների մասին ծանուցումները, փորձարկումները, պարբերական հարցումները և PII-ի հասանելիության օրինակները։
Diboarding: Հասանելի ակնարկներ, հեռացում/տվյալների փաթեթ, փակման ակտ։
10) Privacy by Design/Lenta.ru-ը կառուցում է
CAB-ի չեկի թերթիկը 'նպատակը/հիմքը, նվազագույնի հասցնելը, կեղծանունացումը, պահեստավորման ժամանակահատվածը, կտորները/MSK-ը, DPIA-սկրինինգը, համաձայնության/առարկության մեխանիզմը, թեստային միջավայր առանց «կենդանի» PII-ի։
Քաղաքականությունը «տվյալները լռելյայն փակված են»։ Ամենափոքր իրավունքների սկզբունքը. Ռուսական դերերը և գաղտնի ղեկավարությունը։
11) Ձևանմուշներ և արտեֆակտներ
Հանրային քաղաքականությունը (տարբերակումը, DPO շփումները)։
Տիկնիկների քաղաքականությունը և CBS-banners-ը (կատեգորիաներ, Noble-ը, համաձայնությունների ամսագիրը)։
DSAR (ձևեր, SLA, Veriation, FAQ)։
DPIA/DTIA (ռիսկի մատրիցա, միջոցներ, հիբրիդային ռիսկ, go/108-go լուծումը)։
System RoPA (պլաստիկ ձևանմուշ)։
Պլանը կատարվում է գաղտնիության միջադեպերի վրա (72 ժամ, հասցեներ, ծանուցման ձևանմուշներ)։
DPA/SCCS/IDTA (ծրագրերի ձևանմուշներ, ենթահամակարգերի ցանկը)։
12) Ուսուցում և մասնավոր մշակույթ
Onbording բոլորի համար + տարեկան նորարարություն; Sport դասընթացներ Supert/Marketing/Engineering համար։
DSAR-ի և «tabletop» արտահոսքի դասընթացները։ լուսավորության վերահսկողություն (քվիզա, մետրիկներ)։
«Privacy moments» հաղորդակցությունը մետրոպոլիտենի սպրինտներում։
13) Ճանապարհային քարտեզը DPO ֆունկցիայի ներդրման համար
Շաբաթներ 1-2: Նշանակումը/անկախության աուդիտը, տվյալների քարտեզը և RoPA-ը, ռուսական գողերը, քաղաքական։
Շաբաթներ 3-4 'CBS-ի և նախընտրությունների կենտրոնի արձակումը, Քաղաքականության նորարարությունը, DSAR/DPIA/2019 մոդելները, ուսուցումը։
Մեկ ամիս 2 'գողերի աուդիտ (DPA/SCCS/DTIA), փորձնական DPIA, retensh-jobs, DSAR թեստ։
Մեկ ամիս 3 + ՝ Խորհրդի եռամսյակային հաշվետվությունները, արտահոսքի ուսմունքները, շեմերի վերանայումը, բարելավման պլանը։
14) DPO Խորհրդատվություն (եռամսյակային - նվազագույն կազմը)
KPI/միջադեպեր/DSAR; DPIA/DTIA կարգավիճակը; քննադատական ռիսկեր և առաջարկություններ; CAPA առաջընթաց; գողություն և կայունություն; roadmap-ը հասունության բարձրացման համար։
15) DPO ֆունկցիայի հասունության չեկի ցուցակ
- Անկախությունը կազմված է (մանդատ, ենթակայության հոսք, հակամարտության բացակայություն)։
- DPO շփումները հրապարակվում են; գոյություն ունի կարգավորող փոխազդեցություններ։
- RoPA-ն իրական է, տվյալների հոսքերի քարտեզը աջակցվում է։
- DPIA/DTIA կառուցվում են CAB-ում։ որոշումների ամսագիրը կատարվում է։
- DSAR գործընթացը SLA-ի և լոգարանների հետ։ թեստային հարցումներ են անցկացրել։
- Գաղտնիության/կտորների/ռետենշնի քաղաքականությունը տեղայնացված է և տեղայնացված։
- Ռուսական ենթահամակարգերը հրապարակայնորեն/հասանելի են; DPA/SCCs/IDTA-ն արդիական է։
- Աշխատակազմի ուսուցումը 98 տոկոսն է։ անցել են tabletop ուսուցումները։
- Metriki/KPI հետևում են. Խորհրդի եռամսյակային զեկույցը կատարվում է։
16) JD (Job Description) - գոյատևման օրինակ
Պարտականությունները 'մասնագիտության oversight, DPIA/DTIA, DSAR, պատահականություն, ուսուցում, կարգավորող կապ, հաշվետվություններ, գողերի աուդիտ։
Պահանջները ՝ 5 + տարվա փորձառություն մասնագիտության/համադրման մեջ, GDPR/UK GDPR/ePrivacy-ի գիտությունը, ֆոսֆորի հետ փոխազդեցության փորձը, տեխնիկան։ գրագիտությունը (ամպեր, կոդավորում, տրամաբանություն)։
Soft-skills: անկախություն «վետոյի իրավունքի», հաղորդակցման, շահերի հակամարտությունների ֆիլիտացիայի հետ։
TL; DR
DPO-ն անկախ «երկրորդ պաշտպանություն» է, խորհուրդ է տալիս, վերահսկում, առաջնորդում է RoPA/DPIA/DSAR-ը, պատասխանատու է ծանուցումների և փոխազդեցության համար կարգավորիչների հետ, սովորեցնում և զեկույցորեն խոսում է Խորհրդի հետ։ Ուժեղ DPO = ներկառուցված գաղտնիությունը սննդի մեջ, կառավարվող ռիսկերը և ապացուցված բարեխիղճությունը բոլոր միգրացիաներում։