DPO-as-a-service или аутсорсинг функций ответственного за обработку персональных данных — что выбрать?

Юлия Смолина

Руководитель центра компетенций по консалтингу ИБ ГК Softline

Анастасия Мещерякова

Архитектор департамента обеспечения соответствия требованиям в области ИБ ГК Softline

В эру цифровизации и развития онлайн-коммуникаций ценность персональных данных возрастает во всём мире. Чем больше личной информации обрабатывается в электронном виде, тем важнее и актуальнее становится ее защита. В нашей России защита приватных сведений регулируется законом «О персональных данных» от 2006 года. За прошедшие годы во исполнение требований данного закона издано множество подзаконных актов и нормативных документов, детализирующих требования к обработке и защите персональных данных, а сам закон претерпел большое количество изменений и дополнений. Для выполнения требований законодательства в соответствии со ст.22.1 закона «О персональных данных» каждая организация, осуществляющая обработку информации о гражданах, обязана назначить лицо, ответственное за организацию обработки персональных данных, или DPO (Data Protection Officer). В качестве такого лица может выступать как штатный сотрудник, так и сторонняя компания.

Юлия Смолина, руководитель центра компетенций по консалтингу ИБ ГК Softline, и Анастасия Мещерякова, архитектор департамента обеспечения соответствия требованиям в области ИБ ГК Softline, для портала Cyber Media рассмотрят, какие задачи решает DPO и почему передача этих функций на аутсорсинг может быть выгодным решением.

Роль DPO в компании

Фактически все компании в РФ являются операторами персональных данных — они обрабатывают, как минимум, информацию о своих сотрудниках и обязаны соблюдать требования закона «О персональных данных» и подзаконных актов.

Однако выполнение этих требований зачастую оказывается сложной или неприоритетной задачей. Существует множество нюансов, разобраться в которых без специальных знаний и опыта непросто. Погружение в предметную область, отслеживание изменений законодательства, позиции регуляторов и правоприменительной практики требуют немало времени. К тому же в компаниях, относящихся к малому и среднему бизнесу, не всегда есть возможность выделить в штатной структуре отдельную позицию для DPO. Вместо этого данные обязанности возлагаются на ИТ-службу, юристов и других сотрудников. Данные специалисты не имеют специальной подготовки в области информационной безопасности и вынуждены совмещать свои непосредственные обязанности с функциями DPO.

Такая ситуация создает риски для компаний, так как нарушение порядка обработки персональных данных может привести к серьезным наказаниям и штрафам, размеры которых с учетом последних изменений в КоАП и УК значительно выросли и могут составлять внушительные суммы. Например, штраф за несвоевременное уведомление РКН в случае утечки персональных данных может достигать 3 млн рублей, а за незаконное использование персональных данных может быть назначена уголовная ответственность, предусматривающая лишение свободы на срок до десяти лет со штрафом в размере до 3 млн рублей с лишением права занимать определенные должности на срок до пяти лет.

Кроме того, потенциальная утечка персональных данных может привести не только к штрафам. Помимо прямых потерь компания также понесет и косвенные, такие как потеря клиентов и/или снижение их притока, затраты на расследование инцидента, выплата компенсаций субъектам персональных данных, маркетинговые затраты на восстановление репутации и т.д.

Чтобы правильно оценить потери необходимо проанализировать различные бизнес-метрики, описывающие деятельность компании. Этими метриками могут быть, например, количество клиентов и сделок, средняя прибыль от сделки, средняя стоимость аренды. Полученные итоговые оценки помогут принять верные решения и аргументированно обосновывать важность системы защиты руководству компании.

Также необходимо учитывать, что имеющимися пробелами в соблюдении требований законодательства по защите персональных данных могут воспользоваться недобросовестные конкуренты и обиженные работники, направляя регуляторам жалобы и, тем самым, провоцируя ситуации, которые повлекут за собой внеплановые проверки, штрафные санкции, репутационные потери и иной ущерб.

Как деятельность DPO помогает снизить вышеперечисленные риски? DPO отвечает за контроль соблюдения требований законодательства, разработку и внедрение политик и процедур обработки данных, повышение культуры информационной безопасности, а также за взаимодействие с субъектами персональных данных и регулирующими органами.

Этот специалист должен обладать обширными компетенциями, включая знание нормативно-правовой базы, опыт выстраивания системы внутреннего контроля, навыки донесения до руководства компании сведений о потенциальных рисках и внедрение организационных механизмов защиты персональных данных.

Таким образом, значение DPO в современной организации трудно переоценить, так как этот специалист играет ключевую роль в снижении рисков, связанных с нарушением порядка обработки персональных данных.

Основные преимущества DPO-as-a-service

В последнее время все большую популярность набирает концепция DPO-as-a-service, или аутсорсинг функций ответственного за обработку персональных данных. Рассмотрим подробнее эту модель, а также ее плюсы.

К преимуществам DPO-as-a-service можно отнести экономическую эффективность, высокую экспертизу и гибкость.

Размер оклада DPO довольно высок, а спрос на специалистов, имеющих соответствующий опыт работы, на рынке труда превышает предложение. По состоянию на первую половину 2025 года затраты на штатного DPO в среднем составляют 3 млн рублей в год и более. В то время как аутсорсинг функций DPO оценивается в 1,5-2 млн рублей в год.

Не все организации готовы содержать штатного DPO, особенно если речь идет о малом и среднем бизнесе. В этих условиях концепция DPO-as-a-service, или аутсорсинг функций ответственного за обработку персональных данных, становится все более актуальной. Она позволяет компаниям получить квалифицированную помощь в соблюдении требований законодательства без найма штатного специалиста. Это особенно выгодно для организаций, где объем работы по защите персональных данных не требует постоянной занятости.

Не стоит забывать и о быстром доступе к требуемой экспертизе. Компании, предоставляющие услуги DPO-as-a-service, имеют в своем штате специалистов с опытом работы в различных отраслях, постоянно повышающих свою квалификацию, следящих за изменениями в законодательстве и, что особенно важно, за правоприменительной практикой. DPO-as-a-service – это не один эксперт, а команда, состоящая из специалистов разного профиля, каждый из которых подключается к работе по мере возникновения потребности в применении его знаний и компетенций. Таким образом, у компании появляется возможность использовать базу знаний и лучшие практики в области защиты персональных данных без найма и адаптации сотрудника.

Гибкость и масштабируемость – еще одно преимущество DPO-as-a-service. В зависимости от текущих потребностей компании, объем услуг может быть легко увеличен или уменьшен. В случае необходимости команда специалистов может быть оперативно расширена для решения поставленной задачи в сжатые сроки. Это особенно важно для бизнесов с сезонными колебаниями активности или для растущих компаний, чьи потребности в защите данных могут быстро меняться.

Использование DPO-as-a-service также позволяет компании сосредоточиться на своей основной деятельности, передав решение вопросов приватности на аутсорсинг. Это особенно ценно для малых предприятий, где каждый сотрудник часто выполняет множество функций.

Однако, выбирая DPO-as-a-service, компании следует тщательно подойти к выбору поставщика услуг. Необходимо убедиться, что партнер имеет не только соответствующий опыт и компетенции, но также понимает специфику бизнеса и заинтересован в достижении компанией высокого уровня безопасности данных, а по некоторым аспектам даже готов разделить эту ответственность. Также рекомендуем обратить внимание на обеспечение конфиденциальности при работе с чувствительной информацией и безопасность поставщика, т.к. атаки через подрядчиков становятся все более популярными.

Заключение

Концепция DPO-as-a-service не является универсальным решением для любой организации. Выбор между штатным DPO и DPO-as-a-service должен основываться на тщательном анализе потребностей компании, количества процессов обработки персональных данных и финансовых возможностей.

Для крупных компаний, или бизнеса, работающего в сферах с повышенными требованиями по приватности, предпочтительным вариантом может быть наличие штатного DPO. При этом, в некоторых ситуациях даже у штатного DPO может возникать необходимость во внешней поддержке, когда объем задач становится слишком высок, например, если компания представляет из себя группу юридических лиц, либо когда в компании возникают внутренние противоречия, требующие взгляда со стороны и независимой оценки ситуации.

И передача функций DPO на аутсорсинг для многих организаций может представлять собой эффективное решение, позволяющее обеспечить высокий уровень защиты персональных данных при оптимальных затратах. В любом случае, независимо от выбранного подхода, защита персональных данных должна оставаться приоритетом для любой компании.