Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Niestety nie mam abonamentu na Law360, a trial mi się dawno skończył... Pojawił się tam ostatnio ciekawy artykuł na temat boomu na zatrudnianie specjalistów od ochrony prywatności - http://www.law360.com/legalindustry/articles/376689 Niestety - boom ten jest w USA, czyli w kraju, który my, europejczycy, powszechnie uznajemy, jako niepewny w kwestiach ochrony danych i prywatności.

Z zajawki:

"Law360, New York (September 10, 2012, 9:30 PM ET) -- Technology companies are increasingly turning in-house to address their privacy issues — as evidenced by Amazon.com Inc.'s recent hire of its first chief privacy officer — a trend experts expect to continue as protecting information becomes vital not only to appeasing regulators but also to building trust with consumers.



Amazon became the latest of a wave of Internet giants hiring chief privacy officers when, on Sept. 4, it revealed it had lured away General Electric Co. senior privacy attorney Nuala O'Connor to serve as its vice..."

Potwierdza to lista poszukiwanych ludzi na takie stanowiska, chociażby z Linkedin:

Associate General Counsel - Privacy and Contracts

E*TRADE Financial - Washington D.C. Metro Area 

 

Health IT Senior Assoc Privacy Compliance Data Security Protection

PwC - Philadelphia, PA - Sep 13, 2012

 

Data Privacy Engineer, Privacy Red Team

Google - Mountain View, CA - Aug 23, 2012

 

 

Privacy & Safety Strategist, Senior - Trustworthy Computing

Microsoft - Redmond, WA, US 

 

Director of Data Privacy

SVB Financial Group - Santa Clara, CA

 

Privacy & Safety Strategist, Senior - Trustworthy Computing

Microsoft - Redmond, WA, US 

 

Director of Data Privacy

Silicon Valley Bank - Santa Clara, CA 

 

Senior Privacy Manager

Alta Associates - San Francisco, CA 

 

 

Software Engineer, Privacy

Google - Mountain View, CA 

 

Global IP/Privacy Policy Strategy Lead

Nike EMEA - Portland, OR 

 

Ethics and Compliance Counsel, Data Security and Privacy Compliance

Google - Mountain View, CA 

 

Data Privacy Attorneys

Special Counsel - Financial District 



Sr Manager, Privacy Compliance

Disney Interactive - Palo Alto, CA 

 

Sr. Manager Privacy Compliance

Disney Interactive - San Francisco Bay Area 



Privacy Associate

Hunton & Williams LLP - New York, NY 

 

Privacy Compliance/Data Security Manager (SF) (Job ID: 22665)

Morrison & Foerster LLP - Financial District 



 

Enterprise Risk Services - Snr Consultant / Manager - Security & Privacy - SIEM

Deloitte Canada - Toronto, Canada Area 

 

Product Counsel, Privacy

Google - Mountain View, CA 



 

Associate General Counsel- Privacy & Data Protection

CUNA Mutual Group - Madison, WI, US

 

Director of Privacy and Breach Services

ID Experts - Portland, Oregon Area

 

Health IT Manager Privacy Compliance and Data Security & Protection

PwC - New York, NY 



i tak dalej przez kolejnych 5 stron...

A u nas, gdzie świadomość praw w zakresie ochrony danych i prywatności jest podobno tak duża? U nas są spółki, dla których 1000 zł za opracowaną indywidualnie Politykę i Instrukcję to zdecydowanie za dużo. Cytat: "Za dokument, który możemy sami zrobić i który nie powinien mieć więcej niż 2 strony, nie powinniśmy zapłacić więcej niż 500 zł."

Jak już gdzieś tu pisałem: Obawiam się, że zniesienie powszechnego (lecz powszechnie nie realizowanego) obowiązku rejestracji zbiorów jeszcze bardziej obniży świadomość, a może nie tyle świadomość, co potrzebę skorzystania ze specjalistów z naszej dziedziny... Bo 90% klientów przychodzi z prośbą o rejestrację zbioru - wszelkie pozostałe usługi są tego konsekwencją...

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Ten tysiąc to dzisiaj już zdecydowanie zbyt dużo. Oczywiście dla niektórych ;-)

A problem jest głębszy i jest związany z filozofią ochrony prywatności. W EU jest to model oparty o organy regulacyjne i relatywnie niskie sankcje. W USA akcent spoczywa na samoregulacji, a naruszenia bywają drogie...

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Paweł Litwiński:
Ten tysiąc to dzisiaj już zdecydowanie zbyt dużo. Oczywiście dla niektórych ;-)

No bo tak: wzory można znaleźć w sieci, w literaturze. Nie odnosząc się oczywiście do jakości takich dokumentów, więszości to wystarczy. Dwie strony polityki, która nijak się ma do rzeczywistych problemów administratora i jego organizacji pracy. Mają, więc są kryci. Co im grozi? Nic. I tu przchodzimy do sedna, czyli przyczyn problemu.

A problem jest głębszy i jest związany z filozofią ochrony prywatności. W EU jest to model oparty o organy regulacyjne i relatywnie niskie sankcje. W USA akcent spoczywa na samoregulacji, a naruszenia bywają drogie...

Dokładnie. Już nawet w UK czy za naszą zachodnią granicą do prawa do prywatności podchodzi się poważnie. A u nas?

Ja widzę trzy podstawowe przyczyny braku troski o ochronę danych. Stoimy niestety jakby okrakiem pomiędzy dwoma systemami ochrony. Z jednej strony mamy organ regulacyjny. Ale organ bez faktycznej możliwości ukarania nie jest postrzegany w Polsce poważnie. To raz.

Dwa - mimo ciążącego na nim obowiązku, GIODO nie kieruje do prokuratury spraw dotyczących naruszenia UODO. Tak się nie działo za mojej kadencji w GIODO, teraz też zawiadomienia są rzadkością. A jak już sprawa trafia, to zostaje umorzona z powodu znikomej społecznej szkodliwości, albo (SIC!) z powodu braku znamion czyny zabronionego.

Trzy - kwoty zadośćuczynienia za naruszenie dóbr osobistych zasądzane przez sądy cywilne są śmiesznie małe, w porównaniu do tych zza wielkiej wody. Przedsiębiorcy opłaca się nic nie robić - 3000 zł zadośćuczynienia to i tak o wiele mniej niż koszt obsługi prawnej i informatycznej przy przygotowaniu prawidłowego systemu ochrony informacji w przedsiębiorstwie.

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Nieco się wyrażę, bo mam wrażenie, że chyba nie do końca potrafimy sprzedać to co robimy. Przepraszam, na blogu niedługo już pojawi się kilka obiecanych artów w ramach tygodnia marketingu, ale pewne idee trzeba już teraz chyba przedstawić.

1. - nurt zgodnościowy. Compliance - to główny kierunek tworzenia dokumentacji ochronnej w zakresie danych osobowych. Idąc dalej - bywa to główny cel dla takiej dokumentacji, co ... jest niestety niekoniecznie adekwatne.

2. W powiązaniu z 1. brak tak naprawdę .. spełnienia tejże zgodności. Art 36 mówi o systemie, jaki jest adekwatny do zagrożeń, ale szczerze, stwierdzam po kilkudziesięciu audytach w niewielu politykach jest cokolwiek na temat zagrożeń i dalej idąc rozpoznanych ryzyk.

A jakby tak ładnie było...

Odejść od nurtu zgodnościowego jako CELU, a przejść jako METODY? Metody reakcji na ryzyko wynikające z .. no właśnie - i to jest spory problem, bo niestety, ale ucieczka w tekst - nie spełnienia wymogów prawa, wraca nas do zgodności jako celu naszej pracy dla klienta. A to chyba nie tędy droga.

A więc jakby ładnie było, jakby w każdej firmie, na każdym jej obiekcie i poza (urządzenia przenośne) było kilka zdań na temat ryzyk. Np:

Ryzyko 1. - ujawnienie danych osobowych w wyniku dostępu osób nieuprawnionych. Wyczerpuje znamiona braku zabezpieczenia przed dostępem, ale ... ważniejszym ryzykiem jest UJAWNIENIE z ryzykami reputacyjnymi, prawnymi i pewnym skutkiem. Skutkiem w postaci potencjalnej decyzji inspektorów GIODO w zakresie natychmiastowego przerwania przetwarzania danych osobowych bo... (tu uzasadnienie proszę sobie wpisać, ale przykładowo wdrożone mechanizmy zabezpieczenia nie gwarantują bezpieczeństwa DO). W niektórych firmach zaprzestanie przetwarzania DO jest ryzykiem krytycznym przerywającym proces biznesowy, więc do BCM/BCP wstęp jak znalazł. W innych tez (ryzyka istotne), bo może powodować chwilowe utrudnienia w logistycznym z przekroczeniem RTO (recovery time objective) co w kaskadzie naruszy limit czasowy zatrzymania głównej usługi (interruption limit) i... spowoduje skutki powyżej akceptowanych.

Ryzyko 2 - zniszczenie danych osobowych w wyniku zdarzenia - np pożaru. Wiele danych osobowych znajduje się w tej samej strefie pożarowej co np magazyn, produkcja, czy inne równie "ciekawe" zakresy funkcjonowania organizacji. O ile w przypadku 1 możemy mówić o chwilowych problemach i potencjalnym naruszeniu RTO czy IL - to w przypadku całkowitego zniszczenia DO, wraz z serwerami - praktycznie GWARANTUJE przeciągnięcie i RTO w składowej procesu i IL w całości. Bo trzeba odtwarzać (mam nadzieję, że RPO - jako punkt przywrócenia jest na tyle bliski, że sporo się uda odtworzyć).

Nieco podsumuję. Wynik działania inspektora GIODO potrafi skutkować naruszeniem RTO jako czasu przywrócenia usługi w zakresie korzystania z danych osobowych przetwarzanych DO. Ale mało kiedy to widziałem. Idąc dalej, mało gdzie widziałem skuteczne wpięcie DO właśnie w bezpieczeństwo obiektu jako takie, ale również i co ważniejsze - w plany ciągłości działania (BCP) lub całe zarządzanie (BCM).

A do tego DO to przecież informacje, w niektórych elementach procesu KLUCZOWE do jego realizacji.

Pytanie jak to teraz wszystko sprzedać ;-)))

P.S. to tylko minimalna zajawka dlaczego DO chronić, jak chronić i jak przekonać klienta, że MUSI chronić. Wtedy zapisy ustawy przestają być maksymalnym wymaganiem, stają się spełnianym "przy okazji".

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Obawiam się, że trudno to sprzedać:-) Jak widzę tak fachowe opisanie problemów to jako klient nawet bym nie zapytał o cenę - na pewno jest przeogromna ;-) Z drugiej strony nie wiedzieć czemu w większości przypadków jedymym kryterium jest cena. Nie ważne jak, nie ważne co będzie zrobione, nie ważne kto będzie robił. Ważne żeby cena była najniższa z możliwych.

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Filip Turyk:
Obawiam się, że trudno to sprzedać:-) Jak widzę tak fachowe opisanie problemów to jako klient nawet bym nie zapytał o cenę - na pewno jest przeogromna ;-) Z drugiej strony nie wiedzieć czemu w większości przypadków jedymym kryterium jest cena. Nie ważne jak, nie ważne co będzie zrobione, nie ważne kto będzie robił. Ważne żeby cena była najniższa z możliwych.

Jako ilustrację przedstawię odpowiedź niedoszłego klienta: "Przepraszamy, nie skorzystamy z Pana usług. Zdecydowała cena. Audyt i dokumentację wykona dla nas zaprzyjaźniona firma kurierska. :) A sprawa dotyczyła między innymi danych wrażliwych z badań klinicznych.Daniel Wieszczycki edytował(a) ten post dnia 14.09.12 o godzinie 15:18

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Najlepsze jest to, że przy wspomnianym tysiącu złotych za usługę po odliczeniu VAT, podatku i zapłaceniu ZUS trzeba szukać następnego klienta za tysiąc złotych żeby po odliczeniu podatków wyjśc mniej więcej na zero i cieszyć sie niezaleganiem z podatkami ;-))

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Daniel Wieszczycki:

Jako ilustrację przedstawię odpowiedź niedoszłego klienta: "Przepraszamy, nie skorzystamy z Pana usług. Zdecydowała cena. Audyt i dokumentację wykona dla nas zaprzyjaźniona firma kurierska. :) A sprawa dotyczyła między innymi danych wrażliwych z badań klinicznych.

Najbardziej mi się podoba "zaprzyjaźniona firma ..." czy raczej jakiś "zaprzyjaźniony" kolega?

A fakt ostatnio "jakość" nie jest w cenie.

Temat: In-House Privacy Hiring Boom Shows No Signs Of Fading :)...

Filip Turyk:
Obawiam się, że trudno to sprzedać:-) Jak widzę tak fachowe opisanie problemów to jako klient nawet bym nie zapytał o cenę - na pewno jest przeogromna ;-) Z drugiej strony nie wiedzieć czemu w większości przypadków jedymym kryterium jest cena. Nie ważne jak, nie ważne co będzie zrobione, nie ważne kto będzie robił. Ważne żeby cena była najniższa z możliwych.

Oj Panie Filipie, ja to tak między nami specjalistami ;-)))

Klient ma nieco inaczej przedstawione. Np tak - skoro idę po obiekcie i robię szacowanie ryzyka dla danych osobowych, to przecież one są na serwerach i komputerach. Więc siłą rzeczy robię tez analizę i szacowanie dla mienia. Idąc przez ochronę, sprawdzając skuteczność izolowania obszaru przetwarzania - sprawdzam skuteczność procedur ochrony fizycznej, jak ona ta kontrolę dostępu robi (nieważne czy na systemach czy na ludziach zrobiona). Itd, itp. Jeszcze pożarówka, strefy czyste mi wychodzą przy okazji, strefy bezpieczeństwa, zasady dostaw i spedycji (CMR-ki i listy z danymi kierowców) i masa innych.

I już jest pierwszy plus - klient poza robotą w kierunku danych osobowych, otrzymuje informacje związane z bezpieczeństwem jego mienia, ludzi, skuteczności działań ochronnych, a jeszcze jak wrzucę mu to w BCP - to już w ogóle jest uszczęśliwiony. I wtedy ta faktura wcale tak nie boli. Bo nie robię jednego zakresu, tylko wszystkie związane.

Tak to jest z bezpieczeństwem, że informacje w tym dane osobowe, nie są wyizolowane, wyodrębnione. Przetwarzają je ludzie, w biurach, na komputerach. Więc robiąc bezpieczeństwo danych - robię całość.

A cena... Cóż, ja ceną nie gram. Ostatnio odmówiłem dalszych negocjacji na cenie i klientowi robi ktoś inny. Cóż... Mam już jednak informację zwrotną i zostałem zaproszony że jednak może porozmawiamy... ;-))) Negocjacje były na początku sierpnia, więc może jest tak jak zazwyczaj. Czyli klient zobaczył nieco inny wymiar pracy i to, że dane osobowe to jest ZASÓB BIZNESOWY, a nie tylko "regulatory compliance". A ich wyciek czy zniszczenie, poza tym, że narobi bałaganu w ryzykach prawnych i reputacyjnych, to i biznesowo nieco zaszkodzić może.

A faktura wcale nie jest duża ;-))) Nieco większa niż normalnie, ale nie zabija.

EDIT:
Skojarzyło mi się, że już na ten temat pisałem. Przepraszam za kryptoreklamę, ale myślę, że się przyda:
http://ibii.eu/bezpieczenstwo-oglnie/78-co-wybrac-cz-ii

PS przy okazji, chciałem przypomnieć, że z mojej strony nadal jest aktualna propozycja zorganizowania seminarium dla ABI i wdrażających w zakresie właśnie współpracy z innymi systemami bezpieczeństwa. Warszawa - koszt jak liczyłem nie powinien przekroczyć całych 50 pln netto (faktury będą i cert uczestnictwa też, ale salę, kawę i soki trzeba mimo wszystko opłacić). I tak myślę do 4 godzin.Grzegorz K. edytował(a) ten post dnia 15.09.12 o godzinie 10:23