Кто такой Data protection officer

Определение

Data protection officer (DPO) — независимый эксперт по защите данных. 

  • Отвечает за соответствие компании требованиям по защите персональных данных.
  • Информирует и консультирует об обязательствах.
  • Выступает контактным лицом для пользователей, контрагентов или контролирующих органов.

По регламенту GDPR компании обязаны определить, нужно ли назначать DPO. Регламент создает дополнительные сложности, ведь предприниматели обязаны, как минимум, избегать конфликта интересов при назначении DPO. Зависимый от начальства DPO не способен выполнять на 100% трудовые функции.

Задачи DPO

DPO подотчетный непосредственно "руководству высшего уровня" (обратите внимание, подотчетен, а не зависит от начальства) в организации и выполняет следующие задачи в рамках GDPR:

  • информирование и консультирование компании и сотрудников об обязательствах по защите данных;
  • мониторинг соблюдения компанией предписаний GDPR и внутренних политик защиты персональных данных. Это включает в себя мониторинг распределения обязанностей, улучшение осведомленности и обучение сотрудников компании, участвующих в процессе обработки данных;
  • консультирование о необходимости проведения DPIA (оценка воздействия на защиту данных), способах проведения и ожидаемых результатах такой оценки;
  • выполнение функций контактного лица для соответствующего контролирующего органа по вопросам защиты данных, включая отправку отчетов о нарушениях, связанных с персональными данными;
  • выполнение функций контактного лица для субъектов персональных данных по вопросам конфиденциальности, включая запросы доступа к персональным данным.

Простыми словами — DPO это "главный по GDPR" в компании.

Обязательно назначить DPO

Если основная деятельность компании:

  • напрямую связана с операциями по обработке персональных данных, которые требуют регулярного и систематического мониторинга в большом объеме;
  • подразумевает обработку специальных категорий персональных данных — о здоровье, религии, расе или сексуальной ориентации, уголовных приговорах и преступлениях и др.

Разберемся с термином "основная деятельность".

Например, для большинства компаний обработка персональных данных для управления персоналом будет вторичной функцией по отношению к основным видам деятельности и поэтому не будет основной деятельностью.

Однако рекрутинговое агентство обрабатывает персональные данные в процессе подбора персонала для клиентов, а значит обработка персональных данных — основная деятельность. В то же время, обработка агентством информации о собственных сотрудниках будет рассматриваться как вспомогательная деятельность.

Регулярный и систематический мониторинг данных включает все формы отслеживания и профилирования, как онлайн, так и оффлайн.

Обработка большого количества данных

При определении масштаба обработки, который влияет на обязанность назначить DPO, принимаются во внимание следующие факторы:

  • количество субъектов данных;
  • объем обрабатываемых персональных данных;
  • диапазон видов персональных данных;
  • географический масштаб деятельности;
  • продолжительность обработки.

Например, интернет-магазин использует алгоритмы для мониторинга поисковых запросов и покупок пользователей и на основе этой информации делает рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это рассматривают как регулярный и систематический мониторинг субъектов данных в больших объемах.

Малые и средние предприятия

Малые и средние предприятия (МСП) освобождены от требования назначения DPO, только если к ним не применимы условия выше.

Это подтвердил представитель Британского органа, ответственного за защиту персональных данных ISO на конференции Infosec в 2017 году, в лице старшего специалиста по технологиям Питера Брауна. 

Браун заявил: "Слышал, как много людей говорили о том, что существует исключение по DPO для МСП — это абсолютно не так".

Согласно GDPR государство вправе определять обстоятельства, при которых нужно назначение DPO. Так, британский Data Protection Act (Закон о защите данных) 2018 года не расширяет требования GDPR к DPO. В отличие от Британии, немецкий Закон о защите данных устанавливает, что каждая организация с 10+ сотрудниками, которые постоянно занимаются обработкой персональных данных, назначает DPO.

Даже в тех случаях, когда GDPR конкретно не требует назначения DPO, EDPB (Европейский совет по защите данных) настоятельно рекомендует назначить DPO как дополнительную меру защиты.

Тем не менее, у DPO одинаковый правовой статус, независимо от добровольности или обязательности назначения. Поэтому компании считают целесообразным назначить сотрудника или аутсорсера на сопоставимую должность, но без наделения такого лица статусом DPO в понимании GDPR.

В штат или аутсорс

GDPR дает право выбора. DPO может быть постоянным сотрудником (внутренним) или действовать на основании договора о предоставлении услуг (внешний). 

Независимость

GDPR требует, чтобы DPO работал независимо и без указаний работодателя о том, как DPO делать работу. Включая инструкции о том, какой результат нужно достичь, как расследовать жалобу или следует ли обращаться в контролирующий орган. Организации не указывают DPO как интерпретировать закон о защите персональных данных.

Отсутствие конфликта интересов

Несмотря на то, что GDPR разрешает DPO "выполнять другие задачи и обязанности", компании следят, чтобы другие задачи не приводили к "конфликту интересов" с обязанностями DPO. Совмещение функции DPO с большинством руководящих должностей организации вызывает конфликт интересов (например, CEO, COO, CFO, начальник отдела маркетинга, руководитель отдела кадров и руководитель отдела информационных технологий).

Квалификация

GDPR не предусматривает конкретный перечень знаний и умений DPO. Тем не менее, WP29 (Рабочая группа по статье 29) опубликовала руководство определяющее минимальные требования, которое было утверждено преемником — European Data Protection Board (EDPB).

DPO удовлетворяет требованиям, если: 

  • работал с национальным и общеевропейским законодательством о защите персональных данных;
  • понимает, какие технические и организационные меры уже приняты в компании и какие внедрить;
  • умеет создавать, внедрять и управлять политиками и руководствами по защите данных. 

Чем выше сложность операции по обработке персональных данных в компании, тем опытней нужен DPO.

Ответственность за неисполнение требований по DPO

Штраф до 2% от годового мирового оборота компании или 10 миллионов евро.