В последнее время я читаю много заметок и часто общаюсь с различными юристами и консультантами по GDPR. Удалось выделить несколько признаков людей, которые действительно «в теме».
Итак, хороший юрист / консультант:
- Знает отличия/особенности национального законодательства и GDPR.
- Не пугает штрафами (до 20 000 000 EUR), а понимает риски, знает общие условия наложения штрафов (Art.83) и полномочия надзорных органов (Art.58). Знает примеры по стране и отрасли...
- Знает основные рекомендации EDPB и WP29; понимает, что это за организации.
- Понимает нужны ли вам DPO (Art.37) и DPIA (Art.35).
- Понимает задачи DPO (Art.39) и его роль в организации (Art.38).
- Понимает разницу между Data Protection и Privacy.
- Знает суть концепции “Privacy by design” (да-да, именно Privacy).
- Может описать основные шаги внедрения требований GDPR в вашей организации.
- Знает особенности требований для SME (что можно НЕ делать).
- Знает что такое CIPP-E, CIPM, CIPT. А может и обладает одним из этих сертификатов.
Ну, и, конечно, читает мой блог. Шутка ;)
P.S. Еще можно поспрашивать юриста / консультанта что-то более сложное, например, про состав и содержание согласия на обработку (Consent), особенности обработки ПДн детей, разницу между анонимизацией и псевдоанонимизацией, содержание записей об обработке (Records of processing activities, Art.30), сертификацию (Art.42), представителя в Европе (Representative in the Union, Art.27), подходы к оценке DPIA и многое другое. Но это уже в случае, если вы планируете получить платную консультацию и хотите понять, что не зря потратите свои деньги...
