Privacy GDPR Russia
#materials #iapp Свеженький отчет IAPP и TRU Staffing Partners по зп в сфере приватности. Скоро подготовим обзор:)
#materials #iapp
🫡 Обзор отчета IAPP и TRU Staffing Partners
ЧАСТЬ 1: ЗАРПЛАТЫ в сфере приватности.
Поехали!
Cредние базовые зп privacy специалистов:
Инхаус:
$146,200 в год - общая средняя базовая зарплата для инхауз-прайвасистов для всех должностей
🔵 $206,000 в год - руководитель отдела приватности
🔵 $137,000 в год - региональный офицер по приватности
🔵 $89,500 в год - аналитик в сфере приватности
Консалтинг:
🔵 $200,800 в год - Внешний юрист по приватности,
🔵 $128,800 в год - внешний консультант по приватности
Связь зарплат privacy специалистов в зависимости от:
🔵 Дохода компании: Специалисты в области приватности, работающие в организациях при годовом доходе менее 100 миллионов долларов, имеют среднюю базовую зарплату на 35% ниже, чем у специалистов по защите приватности, работающих в организациях с годовым доходом более 40 миллиардов долларов
🔵 Количества сотрудников компании: Те,кто работают в организациях с численностью менее 100 сотрудников, сообщили о снижении средней базовой заработной платы на 28% по сравнению с теми, кто работает в организациях с численностью более 80 000 сотрудников.
🔵 Территории: Специалисты в области приватности в Северной Америке зарабатывали значительно больше, чем их коллеги в Европе, на всех опрошенных должностях.
⬇️ Наибольший разброс в базовой заработной плате замечен среди инженеров по защите приватности, причем те, кто работает в Северной Америке, зарабатывают на 103% больше, чем их европейские коллеги.
⬇️ Второе по величине различие было замечено среди аналитиков в сфере приватности, причем в Северной Америке специалисты зарабатывают на 91% больше, чем их европейские коллеги.
📍 Автор: Илья, @levailya
Завтра читаем и вникаем в Часть 2 ✔️
ЧАСТЬ 1: ЗАРПЛАТЫ в сфере приватности.
Поехали!
Cредние базовые зп privacy специалистов:
Инхаус:
$146,200 в год - общая средняя базовая зарплата для инхауз-прайвасистов для всех должностей
Консалтинг:
Связь зарплат privacy специалистов в зависимости от:
Please open Telegram to view this post
VIEW IN TELEGRAM
iapp.org
2023 IAPP Privacy Professionals Salary Survey – Executive Summary
This report explores the compensation, both financial and nonfinancial, offered to privacy professionals.
Privacy GDPR Russia
#materials #iapp Свеженький отчет IAPP и TRU Staffing Partners по зп в сфере приватности. Скоро подготовим обзор:)
#materials #iapp
🫡 Обзор отчета IAPP и TRU Staffing Partners
ЧАСТЬ 2: ОБРАЗОВАНИЕ специалистов в сфере приватности
Общая информация:
🔵 Степень бакалавра является высшим уровнем образования для 19% респондентов, при этом 42% от общего числа респондентов имеют диплом юриста.
🔵 Высшее образование, такое как степень магистра или доктора, было названо самым высоким уровнем образования для 31% респондентов.
🔵 В целом, 95% респондентов сообщили о наличии той или иной квалификации.
Сертификации IAPP и связь с ростом дохода в специалистов в сфере приватности:
🔵 Респонденты с любой IAPP сертификацией зарабатывают более чем на 13% больше
🔵 Респонденты с несколькими сертификациями зарабатывали как минимум на 20% больше, чем их коллеги, имеющие только один серт IAPP, при этом большее вознаграждение получали те, у кого были CIPP, CIPM и CIPT, а также те, у кого был FIP.
🔵 Почти все респонденты, за исключением тех, у кого должность "privacy champion/guru”, получили повышение базовой заработной платы после получения одной сертификации IAPP.
🔵 Наибольший прирост зарплаты наблюдался у внешних консультантов, поскольку те, у кого был один серт IAPP, получали среднюю базовую зарплату на 76% больше
Выводы на основе вышеуказанной статистики:
🔵 Продемонстрированные знания: Работодатели могут быть готовы платить больше тем сотрудникам, которые продемонстрировали определенный уровень знаний, навыков и уровня экспертизы, что подтверждается сертификацией
🔵 Повышение ценности для организации за счет повышения эффективности работы: Сотрудники, имеющие больше сертификатов, могут выполнять свою роль более эффективно, что может повысить их ценность для организации. Это может привести к повышению производительности, повышению качества работы и улучшению результатов для организации.
🔵 Конкурентное преимущество: Работодатели могут быть готовы платить больше сотрудникам, имеющих сертификаты, чтобы сохранить конкурентное преимущество перед другими организациями отрасли.
🔵 Полезность для компании: Высококвалифицированные сотрудники с высоким уровнем знаний могут помочь организации реализовать свою стратегию соблюдения конфиденциальности по сравнению с аналогичными компаниями.
🔵 Снижение затрат на обучение: Более опытным сотрудникам, которые уже обладают необходимыми навыками и экспертизой для выполнения той или иной роли, может потребоваться меньшее обучение и надзор, чем новым сотрудникам, что экономит время и деньги организации, и потенциально позволяет сотруднику быстрее освоиться и стать продуктивным.
🔵 Наставничество и лидерский потенциал: Опытные сотрудники могут выступать в качестве наставников для новых и младших сотрудников, помогая организации воспитывать таланты, предлагать рекомендации и поддержку, а также помогать другим развивать знания, навыки и раскрывать свой потенциал.
📍 Автор: Илья, @levailya
Хочешь часть 3? Поддай огня😀
ЧАСТЬ 2: ОБРАЗОВАНИЕ специалистов в сфере приватности
Общая информация:
Сертификации IAPP и связь с ростом дохода в специалистов в сфере приватности:
Выводы на основе вышеуказанной статистики:
Хочешь часть 3? Поддай огня
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
#materials #iapp Свеженький отчет IAPP и TRU Staffing Partners по зп в сфере приватности. Скоро подготовим обзор:)
#materials #iapp
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 3: Опыт работы специалистов в сфере приватности
Общая информация:
🔵 Данные показывают, что респонденты с большим опытом работы получали более высокие годовые базовые оклады по большинству должностей, с более значительными скачками базовой заработной платы в период от трех до пяти лет опыта, по крайней мере, за шесть лет работы.
🔵 Количество респондентов с опытом работы в процентном соотношении:
👋 12% - от 0 до 2 лет
📈 32% - от 3 до 5 лет
📊 24% - от 6 до 10 лет
🎓 32% - от 10 лет и выше
Крайне рекомендуем ознакомиться с диаграммой на странице 15 отчета, отражающей зависимость роста зарплат и опыта работы респондентов
🙂 Приведем интересные примеры:
Инхаус
Global CPO:
Медианный опыт работы по опрошенным респондентам - 12 лет
От 0 до 2 лет - 💲145,000
От 3 до 5 лет - 💲168,900
От 6 до 10 лет - 💲214,000
Regional privacy officer:
Медианный опыт работы по опрошенным респондентам - 7 лет
От 0 до 2 лет - 💲77,500
От 3 до 5 лет - 💲113,300
От 6 до 10 лет - 💲154,200
Internal privacy lawyer:
Медианный опыт работы по опрошенным респондентам - 5 лет
От 0 до 2 лет - 💲133,100
От 3 до 5 лет - 💲159,500
От 6 до 10 лет - 💲198,000
DPO:
Медианный опыт работы по опрошенным респондентам - 6 лет
От 0 до 2 лет - 💲47,000
От 3 до 5 лет - 💲106,800
От 6 до 10 лет - 💲125,600
Консалтинг:
External privacy consultant:
Медианный опыт работы по опрошенным респондентам - 6 лет
От 0 до 2 лет - 💲65,200
От 3 до 5 лет - 💲121,300
От 6 до 10 лет - 💲146,900
External privacy lawyer:
Медианный опыт работы по опрошенным респондентам - 7 лет
От 0 до 2 лет - 💲153,300
От 3 до 5 лет - 💲185,500
От 6 до 10 лет - 💲224,800
Уже традиционно - лайк за часть 4 🤩
📍 Автор: Илья, @levailya
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 3: Опыт работы специалистов в сфере приватности
Общая информация:
Крайне рекомендуем ознакомиться с диаграммой на странице 15 отчета, отражающей зависимость роста зарплат и опыта работы респондентов
Инхаус
Global CPO:
Медианный опыт работы по опрошенным респондентам - 12 лет
От 0 до 2 лет - 💲145,000
От 3 до 5 лет - 💲168,900
От 6 до 10 лет - 💲214,000
Regional privacy officer:
Медианный опыт работы по опрошенным респондентам - 7 лет
От 0 до 2 лет - 💲77,500
От 3 до 5 лет - 💲113,300
От 6 до 10 лет - 💲154,200
Internal privacy lawyer:
Медианный опыт работы по опрошенным респондентам - 5 лет
От 0 до 2 лет - 💲133,100
От 3 до 5 лет - 💲159,500
От 6 до 10 лет - 💲198,000
DPO:
Медианный опыт работы по опрошенным респондентам - 6 лет
От 0 до 2 лет - 💲47,000
От 3 до 5 лет - 💲106,800
От 6 до 10 лет - 💲125,600
Консалтинг:
External privacy consultant:
Медианный опыт работы по опрошенным респондентам - 6 лет
От 0 до 2 лет - 💲65,200
От 3 до 5 лет - 💲121,300
От 6 до 10 лет - 💲146,900
External privacy lawyer:
Медианный опыт работы по опрошенным респондентам - 7 лет
От 0 до 2 лет - 💲153,300
От 3 до 5 лет - 💲185,500
От 6 до 10 лет - 💲224,800
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
#materials #iapp Свеженький отчет IAPP и TRU Staffing Partners по зп в сфере приватности. Скоро подготовим обзор:)
#materials #iapp
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 4: Повышения и удовлетворенность работой специалистов в сфере приватности
Повышения:
🔵 Опрос о заработной плате показал, что почти восемь из 10 (76%) респондентов получили прибавку к зарплате за предыдущие 12 месяцев.
🔵 Чуть более 22% сообщили, что базовая заработная плата не менялась за предыдущие 12 месяцев, в то время как 2% получили снижение базовой заработной платы.
🔵 Из тех респондентов, которые получили повышение, шесть из 10 респондентов получили повышение между 1% и 9% от их предыдущей базовой заработной платы, в то время как 18% из этой группы получили прибавку более чем на 20% от своей базовой заработной платы.
🔵 Рассматривая это в разбивке по ролям, мы видим, что privacy champions, за которыми следуют risk officers и compliance managers, с наибольшей вероятностью получали повышение. Privacy analytics с наименьшей вероятностью получали повышение.
Консалтинг:
🔵 Из числа юристов, получивших повышение базовой заработной платы, 68% сообщили о повышении более чем на 10%, а 45% сообщили о повышении более чем на 20%. Из числа консультантов, получивших повышение, 60% сообщили о повышении более чем на 10% от базовой заработной платы и 24% сообщили о повышении более чем 20% от базовой заработной платы.
🔵 Country-specific CPOs, privacy champions/gurus, privacy engineers, cybersecurity professionals и privacy managers, получившие повышение, менее 30% получили прибавки, превышающие 10% от их базовой заработной платы.
Общие выводы по повышениям из отчета:
Повышение заработной платы остается ценным инструментом для организаций, позволяющим:
🔵 Удерживать сотрудников с более высокими показателями, вознаграждая их повышением заработной платы или надбавкой выше среднего показателя по рынку.
🔵 Повысить моральный дух, продемонстрировав, что вклад сотрудников ценится, что может помочь повысить удовлетворенность работой и производительность труда.
🔵 Служит стимулом для сотрудников продолжать работать на высоком уровне.
🔵 Сэкономить затраты на подбор и адаптацию новых сотрудников за счет удержания существующих сотрудников.
Удовлетворенность работой:
🔵 Общие результаты:
86% удовлетворено
7% не удовлетворено
7% безразличны(indifferent)
🔵 Факторы, влияющие на мотивацию поменять место работы
72% - Повышение заработанной платы
42% - Карьерный рост
31% - Улучшенная роль/увеличение обязанностей
22% - Работа, способствующая большему work-life balance
21% - Полностью удаленная работа
17% - Лучшая корпоративная культура
16% - Гибкие варианты работы
16% - Работодатель, более заботящийся о конфиденциальности
15% - Международные возможности для работы
Хотя данные свидетельствуют о том, что большинство респондентов довольны своей ролью, респонденты четко определили, что побудило бы их сменить работу:
🔵 Чуть более 72% респондентов отметили, что повышение заработной платы побудило бы их сменить работу.
🔵 Еще 42% указали, что возможности для карьерного роста могли бы их мотивировать.
🔵 Тройку лидеров замыкают улучшенные роли или обязанности, которые определил 31% респондентов.
📍 Автор: Илья, @levailya
Классно готовить тот материал, который хочешь😍 лично меня это мотивирует
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 4: Повышения и удовлетворенность работой специалистов в сфере приватности
Повышения:
Консалтинг:
Общие выводы по повышениям из отчета:
Повышение заработной платы остается ценным инструментом для организаций, позволяющим:
Удовлетворенность работой:
86% удовлетворено
7% не удовлетворено
7% безразличны(indifferent)
72% - Повышение заработанной платы
42% - Карьерный рост
31% - Улучшенная роль/увеличение обязанностей
22% - Работа, способствующая большему work-life balance
21% - Полностью удаленная работа
17% - Лучшая корпоративная культура
16% - Гибкие варианты работы
16% - Работодатель, более заботящийся о конфиденциальности
15% - Международные возможности для работы
Хотя данные свидетельствуют о том, что большинство респондентов довольны своей ролью, респонденты четко определили, что побудило бы их сменить работу:
Классно готовить тот материал, который хочешь😍 лично меня это мотивирует
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
#materials #iapp Свеженький отчет IAPP и TRU Staffing Partners по зп в сфере приватности. Скоро подготовим обзор:)
#materials #iapp
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 5: Дополнительные финансовые компенсации и нефинансовые выгоды специалистов в сфере приватности:
Вводная информация:
🔵 Дополнительная денежная компенсация включает в себя дополнительную оплату или льготы, которые специалист по приватности получает сверх своей обычной заработной платы. Это может включать бонусы, долгосрочные стимулы, компенсацию на случай непредвиденных обстоятельств, единовременные выплаты и комиссионные, а также пенсии или пенсионные взносы, выплачиваемые работодателями.
🔵 Щедрый пакет дополнительных вознаграждений может повысить общий уровень финансового вознаграждения, доступного сотрудникам, обеспечить мотивацию для достижения поставленных целей и помочь привлечь талантливых специалистов.
Общая статистика:
🔵 Почти 7 из 10 получили бонус, что делает эту форму дополнительной компенсации наиболее популярной среди респондентов.
🔵 Второй по популярности формой дополнительной компенсации были пенсионные взносы работодателя, которые получали трое из 10 респондентов.
🔵 Почти каждый пятый не получил никакой дополнительной компенсации, при этом Канада является страной, где респонденты с наибольшей вероятностью попадали в эту категорию.
Общий пакет финансовой компенсации:
🔵 Global CPOs по всему миру получают самую высокую среднюю базовую заработную плату, в размере 206 000 долларов в год и самые высокие общие компенсационные пакеты - 418 900 долларов в год.
🔵 В среднем респонденты, занимавшие эту должность, получали дополнительно 103% от своей средней базовой заработной платы за счет дополнительной компенсации.
📍 Автор: Илья, @levailya
Обзор отчёта IAPP и TRU Staffing Partners
ЧАСТЬ 5: Дополнительные финансовые компенсации и нефинансовые выгоды специалистов в сфере приватности:
Вводная информация:
Общая статистика:
Общий пакет финансовой компенсации:
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
Privacy_Risk_Study_2023_1688026394.pdf
#iapp #materials
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.
Мы честно старались выжать для вас самый сок из этого отчета в одном посте. Но тут было такое количество актуалочки, что вас будут ждать снова несколько частей.
Поехали!🤓
🆔 Основа исследования:
1) Семинары с руководителями высшего звена в сфере приватности с просьбой составить график рисков приватности за 2022 год.
2) Интервью с ведущими специалистами в сфере приватности из 14 организаций. Были представлены организации из 6 различных индустрий с 3 континентов.
3) Годовые отчеты, 10-К формы и другая общедоступная информация об организациях за 2022 и 2023 годы
Часть 1: The complex and evolving risk environment
🤖 The U.K. Information Commissioner’s Office определил 5 основополагающих технологий, которые могут положительно повлиять на нашу жизнь, в то же время потенциально нанося ущерб личной неприкосновенности и частной жизни, а также доверию к самим технологиям в отсутствие надлежащего контроля за соблюдением приватности. К ним относятся:
🔵 потребительские технологии в здравоохранении,
🔵 новое поколение Интернет-вещей,
🔵 иммерсивные технологии,
🔵 децентрализованные финансовые сервисы
🔵 нейротехнологии.
🔒 Фокус внимания в сфере приватности:
Кибератаки и утечки данных: 43% руководителей privacy отделов считают вероятным, что в ближайшие два года кибератаки существенно повлияют на их собственную организацию.
Компания CheckPoint в своем докладе "2023 Cyber Security Report" подсчитала,
🔵 что "количество кибератак выросло “на 38% в 2022 году по сравнению с предыдущим годом;
🔵 было зафиксировано в среднем 1168 еженедельных атак на одну организацию"
❗️ Наиболее серьезные и высоковероятные риски приватности:
По итогам семинаров с руководителями высшего звена в сфере приватности, участники семинаров выявили в общей сложности 75 детализированных рисков, которые были объединены в 36 групп рисков высокого уровня и сгруппированы по соответствующим категории.
Наиболее известные:
1) недостаточность обеспечения ресурсами для проведения комплаенса;
2) неэффективность интеграции правил и принципов приватности в дизайн продукта;
3) риск ущерба репутации организации из-за коллективных исков и/или правоприменительной деятельности.
Наиболее часто возникающие:
1) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;
2) непреднамеренные последствия из-за отсутствия опыта в управления рисками приватности в связи с использованием ИИ;
3) риски приватности в результате попыток монетизировать данные.
Наиболее частые внутренние риски:
1) недостаточность обучения сотрудников по соблюдения требований к приватности;
2) нехватка ресурсов и/или бюджета;
3) неэффективность интеграции правил и принципов приватности в дизайн продукта.
Наиболее частые внешние риски:
1) организации могут быть не в состоянии расставить приоритеты в соблюдении конфиденциальности из-за различий в приоритетах правоприменения и отсутствия прозрачности в отношении этих приоритетов среди регулирующих органов;
2) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;
3) организации, использующие третьи лица для обработки данных, сталкиваются с дополнительным бременем обеспечения соответствия обработки их данных не только нормативным требованиям и юрисдикциям, но и собственной политике организации в области конфиденциальности и безопасности данных.
📍 Автор: Илья, @levailya
Уже традиционно - благодарим за работу👀
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.
Мы честно старались выжать для вас самый сок из этого отчета в одном посте. Но тут было такое количество актуалочки, что вас будут ждать снова несколько частей.
Поехали!
1) Семинары с руководителями высшего звена в сфере приватности с просьбой составить график рисков приватности за 2022 год.
2) Интервью с ведущими специалистами в сфере приватности из 14 организаций. Были представлены организации из 6 различных индустрий с 3 континентов.
3) Годовые отчеты, 10-К формы и другая общедоступная информация об организациях за 2022 и 2023 годы
Часть 1: The complex and evolving risk environment
Кибератаки и утечки данных: 43% руководителей privacy отделов считают вероятным, что в ближайшие два года кибератаки существенно повлияют на их собственную организацию.
Компания CheckPoint в своем докладе "2023 Cyber Security Report" подсчитала,
По итогам семинаров с руководителями высшего звена в сфере приватности, участники семинаров выявили в общей сложности 75 детализированных рисков, которые были объединены в 36 групп рисков высокого уровня и сгруппированы по соответствующим категории.
Наиболее известные:
1) недостаточность обеспечения ресурсами для проведения комплаенса;
2) неэффективность интеграции правил и принципов приватности в дизайн продукта;
3) риск ущерба репутации организации из-за коллективных исков и/или правоприменительной деятельности.
Наиболее часто возникающие:
1) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;
2) непреднамеренные последствия из-за отсутствия опыта в управления рисками приватности в связи с использованием ИИ;
3) риски приватности в результате попыток монетизировать данные.
Наиболее частые внутренние риски:
1) недостаточность обучения сотрудников по соблюдения требований к приватности;
2) нехватка ресурсов и/или бюджета;
3) неэффективность интеграции правил и принципов приватности в дизайн продукта.
Наиболее частые внешние риски:
1) организации могут быть не в состоянии расставить приоритеты в соблюдении конфиденциальности из-за различий в приоритетах правоприменения и отсутствия прозрачности в отношении этих приоритетов среди регулирующих органов;
2) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;
3) организации, использующие третьи лица для обработки данных, сталкиваются с дополнительным бременем обеспечения соответствия обработки их данных не только нормативным требованиям и юрисдикциям, но и собственной политике организации в области конфиденциальности и безопасности данных.
Уже традиционно - благодарим за работу
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
Privacy_Risk_Study_2023_1688026394.pdf
#iapp #materials
Часть 2: Roles and responsibilities to manage privacy risk
🛡 Фокус внимания: Трудности в интеграции рисков в сфере приватности в систему по управлению рисками компании.
Почти 93% организаций указали, что соблюдение приватности входит в топ-10 рисков, а 36% включили ее в первую пятерку.
НО!
Только 64% заявили о полностью интегрированных программах по управлению риском в сфере приватности в компании. Одна из причин, которая может быть особенно актуальна для крупных компаний, заключается в том, что риски приватности трудно соотнести с другими рисками, чтобы соответствовать уже хорошо зарекомендовавшим себя корпоративным стратегиям управления рисками.
Например, некоторые организации указали на проблемы с привязкой средств контроля за приватностью к общей системе ERM, в то время как другие заявили о трудностях с количественной оценкой рисков приватности в отсутствие стандартизированных методологий.
🔧 Способы решения проблемы:
🔵 Улучшение коммуникации между отделами внутри компании, в компетенцию которых могут войти риски приватности, при этом исключая возможность дублирования функций отделов.
Например, путем координации действий юридического, комплаенс отделов и отдела кибербезопасности друг с другом.
🔵 Внедрять подотчетность в «линии защиты» приватности. Независимо от размера команды ответственность должна быть четко доведена до сотрудников и внедрена в их трудовую функцию,ю
🛡 Например, модель «трех линий защиты» широко использовалась респондентами как способ доведения до сотрудников данных полномочий.
Первая линия отвечает за выявление рисков и управление ими в рамках их повседневных задач (100% опрошенных заявляли о существовании 1-ой линии в своей компании).
Вторая линия предоставляет и создает политики, инструменты и другие способы обеспечения эффективного снижения рисков и поддержания согласованности отделов в подходе к определению и измерению риска (57% также указали, что у них есть роли и обязанности, определенные и во второй «линии защиты».
Третья линия обеспечивает независимую проверку первых двух линий и, обычно, отчитывается перед правлением или комитетом по аудиту. (Только около 21% организаций уполномочили третью линию защиты проводить аудит).
Аудит может выявить пробелы в стратегии управления рисками до того, как они будут реализованы. Нет никаких сомнений в том, что организации предпочитают узнавать об этих недостатках от внутренних аудиторов, а не после того, как они отразились на клиентах или привлекли внимание регулирующих органов.
🔵 Усиление роли руководства компании в управлении рисками
🔵 Была подчеркнута важность nonexecutive directors, занимающих многочисленные руководящие должности в различных организации, способные передавать сообщения "сверху вниз".
🔵 Приватность не является самостоятельным комплаенс-риском и обычно может быть связана с другими
областями риска, такими как управление данными, кибербезопасность и этика обработки данных. Возможно, потребуется предпринять шаги по координации отчетности по управлению рисками по этим направлениям, чтобы не перегружать руководство и последовательно информировать о существующих рисках.
🔵 Более крупные организации, возможно, захотят рассмотреть вопрос о том, может ли консультативный совет по вопросам приватности, состоящий из внутренних и внешних заинтересованных сторон, оценить и расставить приоритеты в отношении рисков
📍 Автор: Илья, @levailya
Часть 2: Roles and responsibilities to manage privacy risk
Почти 93% организаций указали, что соблюдение приватности входит в топ-10 рисков, а 36% включили ее в первую пятерку.
НО!
Только 64% заявили о полностью интегрированных программах по управлению риском в сфере приватности в компании. Одна из причин, которая может быть особенно актуальна для крупных компаний, заключается в том, что риски приватности трудно соотнести с другими рисками, чтобы соответствовать уже хорошо зарекомендовавшим себя корпоративным стратегиям управления рисками.
Например, некоторые организации указали на проблемы с привязкой средств контроля за приватностью к общей системе ERM, в то время как другие заявили о трудностях с количественной оценкой рисков приватности в отсутствие стандартизированных методологий.
Например, путем координации действий юридического, комплаенс отделов и отдела кибербезопасности друг с другом.
Первая линия отвечает за выявление рисков и управление ими в рамках их повседневных задач (100% опрошенных заявляли о существовании 1-ой линии в своей компании).
Вторая линия предоставляет и создает политики, инструменты и другие способы обеспечения эффективного снижения рисков и поддержания согласованности отделов в подходе к определению и измерению риска (57% также указали, что у них есть роли и обязанности, определенные и во второй «линии защиты».
Третья линия обеспечивает независимую проверку первых двух линий и, обычно, отчитывается перед правлением или комитетом по аудиту. (Только около 21% организаций уполномочили третью линию защиты проводить аудит).
Аудит может выявить пробелы в стратегии управления рисками до того, как они будут реализованы. Нет никаких сомнений в том, что организации предпочитают узнавать об этих недостатках от внутренних аудиторов, а не после того, как они отразились на клиентах или привлекли внимание регулирующих органов.
областями риска, такими как управление данными, кибербезопасность и этика обработки данных. Возможно, потребуется предпринять шаги по координации отчетности по управлению рисками по этим направлениям, чтобы не перегружать руководство и последовательно информировать о существующих рисках.
Please open Telegram to view this post
VIEW IN TELEGRAM
#materials #iapp
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.
Часть 3: Privacy risk management
👁 Фокус внимания: Только в 57% организационных повестках дня поднимаются вопросы по рискам приватности.
🔵 Когда респондентов спросили о внедрении стандартизированных методологий для поддержки системы оценки рисков приватности, около 14% респондентов отметили, что они их не используют, в то время как еще 14% использует их только изредка.
🔧 Способы решения: использование стандартизированных систем и
методологий.
1) ISO 31000: Risk management — Guidelines, предоставляет структуру и соответствующий набор принципов для управления рисками.
🔵 В связи с возможными проблемами интеграции системы контроля рисков в сфере приватности в общую систему управления рисками, представленную стандартом, указанная раннее система ISO также может использоваться вместе с ISO/IEC 27557: Application of ISO 31000:2018.
🔵 Стандарт ISO/IEC 27557 был разработан в качестве дополнительного руководства, призванного помочь интегрировать связанные с этим риски приватности в программу управления рисками организации.
2) The National Institute of Standards and Technology также разработал фреймворки, которые предлагают основанный на оценке рисков подход к разработке систем и сервисов.
🔵 The NIST Risk Management Framework содержит семиступенчатый процесс, который может быть применен к любому типу технологической системы или сервиса, независимо от уровня организации, позволяя пользователям выбирать средства контроля информационной безопасности, соответствующие их программе управления рисками в организации.
🔵 NIST фокусируется исключительно на выявлении рисков приватности и управлении ими для обеспечения совместимости с широким набором областей правового регулирования.
📍 Автор: Илья, @levailya
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.
Часть 3: Privacy risk management
методологий.
1) ISO 31000: Risk management — Guidelines, предоставляет структуру и соответствующий набор принципов для управления рисками.
2) The National Institute of Standards and Technology также разработал фреймворки, которые предлагают основанный на оценке рисков подход к разработке систем и сервисов.
Please open Telegram to view this post
VIEW IN TELEGRAM
#materials #iapp
А вот и инфографика на случай, если нет времени читать отчет IAPP и KPMG о рисках и наш пересказ🙂
А вот и инфографика на случай, если нет времени читать отчет IAPP и KPMG о рисках и наш пересказ
Please open Telegram to view this post
VIEW IN TELEGRAM
#materials #iapp
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности
Часть 4(заключительная). Communicating on privacy risk management
✉️ Фокус внимания: Важнейшим атрибутом сильной команды по управлению рисками приватности является способность эффективно сообщать о своих процедурах управления рисками и любых мероприятиях по митигации рисков.
Способы улучшения коммуникации в риск-менеджменте в сфере приватности:
👥 1) Балансировка своего подхода к раскрытию информации
Из опрошенных организаций 83% включают в свой годовой отчет информацию о рисках приватности.
Для более чем 70% организаций раскрытие информации понимается не как просто заявление, основанное на показателях, а как качественный анализ ландшафта рисков и их функции.
👥 2) Внутренние коммуникации
Как отмечалось ранее, примерно 93% организаций указали, что приватность входит в топ-10 общих рисков, а 36% отнесли ее к первой пятерке.
Для многих организаций эта стратегия будет разделена на два пути коммуникации:
1) Информация, представляемая правлению и/или руководящему составу, должна быть достаточно подробной, чтобы помочь в процессе принятия решений.
2) Менеджерам приватности потребуется постоянный канал
связи, чтобы они могли эффективно отслеживать риски приватности в организации и, при необходимости, принимать соответствующие меры контроля.
📍 Автор: Илья, @levailya
PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности
Часть 4(заключительная). Communicating on privacy risk management
Способы улучшения коммуникации в риск-менеджменте в сфере приватности:
Из опрошенных организаций 83% включают в свой годовой отчет информацию о рисках приватности.
Для более чем 70% организаций раскрытие информации понимается не как просто заявление, основанное на показателях, а как качественный анализ ландшафта рисков и их функции.
Как отмечалось ранее, примерно 93% организаций указали, что приватность входит в топ-10 общих рисков, а 36% отнесли ее к первой пятерке.
Для многих организаций эта стратегия будет разделена на два пути коммуникации:
1) Информация, представляемая правлению и/или руководящему составу, должна быть достаточно подробной, чтобы помочь в процессе принятия решений.
2) Менеджерам приватности потребуется постоянный канал
связи, чтобы они могли эффективно отслеживать риски приватности в организации и, при необходимости, принимать соответствующие меры контроля.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
IAPP_EY_Privacy_Governance_Report_2023_Executive_Summary_1699563791.pdf
#iapp #research
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 0 (введение и краткое резюме) | Foreword and Executive summary
Основная статистика
📈 Несмотря на сложные экономические условия,
в прошлом году в 33% организаций наблюдался рост числа сотрудников, занимающихся приватностью.
🎓 Информация о регулировании приватности легкодоступна, и чуть более 96% респондентов заявили, что уверены в своей способности оставаться в курсе новых законов и инициатив. Нет никаких сомнений в важности приватности, и, похоже, нет недостатка в информации для тех, кто хочет углубить свое собственное понимание этой области.
Из опрошенных организаций 83% включают в свой годовой отчет информацию о рисках приватности.
Для более чем 70% организаций раскрытие информации понимается не как просто заявление, основанное на показателях, а как качественный анализ ландшафта рисков и их функции.
👥 Из числа респондентов 63% согласились с тем, что ограниченная доступность ресурсов в их организации влияет на способность достигать своих целей в области приватности.
Ограничения были четко обозначены в ответах на опрос:
⬇️ 63% указали, что в настоящее время набор персонала не проводится,
⬇️ 67% указали, что бюджета более чем достаточно,
⬇️ только двое из 10 опрошенных сообщили, что полностью уверены в соблюдении законодательства в сфере приватности в своей организации.
Парадигма делать больше с меньшими затратами - это громкий призыв к увеличению инвестиций и более эффективным способам работы. Инвестиции в обучение и технологии, будут расти по мере их важности.
📍 Автор: Илья, @levailya
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 0 (введение и краткое резюме) | Foreword and Executive summary
Основная статистика
в прошлом году в 33% организаций наблюдался рост числа сотрудников, занимающихся приватностью.
Из опрошенных организаций 83% включают в свой годовой отчет информацию о рисках приватности.
Для более чем 70% организаций раскрытие информации понимается не как просто заявление, основанное на показателях, а как качественный анализ ландшафта рисков и их функции.
Ограничения были четко обозначены в ответах на опрос:
Парадигма делать больше с меньшими затратами - это громкий призыв к увеличению инвестиций и более эффективным способам работы. Инвестиции в обучение и технологии, будут расти по мере их важности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
#iapp #research IAPP-EY Privacy Governance Report 2023 - Обзор отчета IAPP и EY об управлении приватностью Часть 0 (введение и краткое резюме) | Foreword and Executive summary Основная статистика 📈 Несмотря на сложные экономические условия, в прошлом…
#materials #iapp
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 1 (комплаенс) | Part I.
Compliance
✉️ Фокус внимания: Из опрошенных организаций 18% сообщили о полной уверенности в соблюдении ими законодательства о персональных данных, а 10% сообщили об отсутствии такой уверенности.
Основная статистика по комплаенсу
👁 Насколько прайваси-профессионалы уверены в соблюдении их компаниями законов и политик в области приватности в 2023 году?
⬇️ В то время как 2 из 10 респондентов заявили, что они полностью уверены в способности своей организации соблюдать различные нормативные требования в области приватности, каждый десятый заявил, что они совсем в этом не уверены.
⬇️ При более детальном рассмотрении «доверия» по секторам респонденты, работающие в госсекторе, были одними из наиболее уверенных в способности своей организации соблюдать законодательство о приватности, в то время как большая доля респондентов, работающих в сфере потребительских товаров, услуг и розничной торговли, сообщили, что они менее уверены в способности своей организации соблюдать законодательство.
⬇️ Одной из причин этого может быть международный характер фирм, работающих в секторе потребительских товаров, услуг и розничной торговли, ориентированных на потребителей, а это означает, что прайвасисты с большей вероятностью будут сталкиваться с широким спектром юрисдикций.
🔒 Учитывая появление и распространение основных глобальных законов о приватности, авторы исследования стремились понять, как организации структурируют свои ответы на различные глобальные требования.
⬇️ 6 из 10 респондентов указали, что их организации придерживаются глобального подхода, который предусматривает повышенные или пониженные нормативные требования там, где это позволяют определенные юрисдикции.
⬇️ 2 из 10 респондентов указали, что их организации придерживаются единого глобального подхода независимо от локальных требований
⬇️ в то время как еще 2 из 10 указали, что их организации применяют индивидуальный подход к соблюдению требований приватности в каждой стране.
👥 Респонденты из международных организаций заявили, что их компании используют глобальный подход и определяют исключения, основанные на локальных требованиях вместо использования единого фиксированного глобального подхода. Чем на большем количестве рынков работает организация, тем больше вероятность того, что она будет использовать глобальную базовую модель с вариациями.
💬 Способы оставаться в курсе новых законов о приватности и политических инициатив
⬇️ Прайваси-специалисты используют различные методы, чтобы оставаться в курсе событий, и почти 7 из 10 используют списки рассылки по электронной почте. Это были респонденты в основном из юридических фирм или внешние консультанты.
⬇️ Почти 5 из 10 респондентов пользуются услугами внешних компаний и консультациями внутренних юрисконсультов, чтобы оставаться в курсе событий, в то время как почти 4 из 10 пользуются услугами внешних юрисконсультов.
📍 Автор: Илья, @levailya
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 1 (комплаенс) | Part I.
Compliance
Основная статистика по комплаенсу
Please open Telegram to view this post
VIEW IN TELEGRAM
Privacy GDPR Russia
#materials #iapp IAPP-EY Privacy Governance Report 2023 - Обзор отчета IAPP и EY об управлении приватностью Часть 1 (комплаенс) | Part I. Compliance ✉️ Фокус внимания: Из опрошенных организаций 18% сообщили о полной уверенности в соблюдении ими законодательства…
#materials #iapp
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 2 (прайваси-стратегия) | Part II. Privacy Strategy
✉️ Фокус внимания: Важность управления искусственным интеллектом возросла и в настоящее время является важным стратегическим приоритетом на всех континентах.
Основная статистика по прайваси-стратегии
📊 Стратегические приоритеты, определенные в отчете за этот год, отражают
изменения во внешней и внутренней средах. Управление ИИ значительно повысило приоритетность для респондентов, причем каждый третий в настоящее время определяет его как стратегический приоритет, поднявшись с 9-го по приоритетности
в 2022 году до 2-го в 2023 году.
⬇️ Трансграничная передача данных и удаление данных были в тройке лидеров в 2022 году, в 2023 году они опустились на четвертое и пятое места соответственно.
⬇️ Третье место на 2023 год, как дань сложной глобальной задаче обеспечения приватности, принадлежит трансграничному соблюдению новых законов в различных юрисдикциях, что было стратегическим приоритетом почти для трети респондентов.
🙋 Больше об ИИ: в частности, управление ИИ-теперь стало стратегическим приоритетом на разных континентах:
⬇️ приоритет искусственному интеллекту отдали 40% опрошенных в Азии,
⬇️ 38% в Европе,
⬇️ 30% в Северной Америке. ИИ получил самый быстрый рост в Северной Америке, поднявшись с 11-го места в 2022 году на второе место в 2023-м.
⬇️ Учитывая появление Закона ЕС об ИИ и прогресс в его реализации, а также заметное правоприменение ЕС в отношении ИИ, управление ИИ, вероятно, останется в центре внимания до конца 2023 года (прим. а также учитывая, что IAPP инвестирует в свои курсы и сертификацию по этой тематике🤣)
🎙 Трансграничка: деятельность и прогресс, достигнутый в рамках Соглашения о конфиденциальности данных между ЕС и США привели к тому, что в 2023 году трансграничная передача стала менее приоритетной на всех континентах, опустившись до шестого места в Северной Америке и четвертого в Европе.
⬇️ Трансграничное соответствие для согласования программ обеспечения приватности в рамках новых законов является главным приоритетом только в Азии. Вероятно, это связано с тем, что организации отреагировали на множество новых законов и правовых реформ в Азии за последний год, от Индии до Южной Кореи.
🔍 Privacy impact assessments + PbD VS cross-border compliance
Сочетание Privacy Impact assessment-а и PbD было приоритетом номер один в 4
секторах: банковское дело и страхование, потребительские товары, услуги и розничная торговля, государственное управление), в то время как cross-border compliance было выбрано в качестве главного приоритета в трех секторах: бизнес-услуги, наука о жизни, здравоохранение и производство).
⬇️ PIA и PbD были в пятерке главных приоритетов в восьми секторах и на шестом месте в двух других секторах, что подчеркивает относительную стратегическую важность этой темы.
⬇️ Управление ИИ было определено в качестве стратегического приоритета в восьми секторах, но не вошло в пятерку лидеров в секторе потребительских товаров, услуг и розничной торговли, где оно заняло 11-е место, или в производственном секторе, где оно заняло восьмое место.
🎭 Рассвет после бури или затишье перед бурей?
⬇️ В банковском и страховом секторах управление искусственным интеллектом и управление политикой приватности были одними из самых быстрорастущих по сравнению с 2022 годом, поднявшись на восемь и девять позиций соответственно. С
другой стороны, минимизация данных упала сильнее всего, опустившись на 13 позиций с восьмого места в 2022 году.
⬇️ Это может быть связано с завершением проектов по минимизации данных или отражать противоречие между принципом минимизации данных и значительными потребностями в данных для продуктов и услуг, основанных на искусственном интеллекте.
📍 Автор: Илья, @levailya
IAPP-EY Privacy Governance
Report 2023 - Обзор отчета IAPP и EY об управлении приватностью
Часть 2 (прайваси-стратегия) | Part II. Privacy Strategy
Основная статистика по прайваси-стратегии
изменения во внешней и внутренней средах. Управление ИИ значительно повысило приоритетность для респондентов, причем каждый третий в настоящее время определяет его как стратегический приоритет, поднявшись с 9-го по приоритетности
в 2022 году до 2-го в 2023 году.
Сочетание Privacy Impact assessment-а и PbD было приоритетом номер один в 4
секторах: банковское дело и страхование, потребительские товары, услуги и розничная торговля, государственное управление), в то время как cross-border compliance было выбрано в качестве главного приоритета в трех секторах: бизнес-услуги, наука о жизни, здравоохранение и производство).
другой стороны, минимизация данных упала сильнее всего, опустившись на 13 позиций с восьмого места в 2022 году.
Please open Telegram to view this post
VIEW IN TELEGRAM