Хто такий Data protection officer

Визначення

Data protection officer (DPO) — незалежний експерт із захисту даних.

  • Слідкує за відповідністю компанії вимогам щодо захисту персональних даних.

  • Інформує та консультує щодо обов'язків.

  • Виступає контактною особою для користувачів, контрагентів або контролюючих органів.

Згідно регламенту GDPR компанії зобов'язані визначити, чи потрібно призначати DPO. Регламент створює додаткові складності, адже підприємці зобов'язані, як мінімум, уникати конфлікту інтересів при призначенні DPO. Залежний від начальства DPO не здатний виконувати на 100% трудові функції.

Задачі DPO 

DPO підзвітний безпосередньо "керівництву вищого рівня" (зверніть увагу, підзвітний, а не залежний від керівництва) організації і виконує наступні завдання в межах GDPR:

  • інформування та консультування компанії та співробітників про обов'язки щодо захисту даних;

  • моніторинг дотримання компанією приписів GDPR і внутрішніх політик захисту персональних даних. Це включає в себе моніторинг розподілу обов'язків, підвищення обізнаності та навчання співробітників компанії, залучених в процеси обробки даних;

  • консультування про необхідність проведення DPIA (оцінка впливу на захист даних), способах проведення та очікувані результати такої оцінки;

  • виконання функцій контактної особи для відповідного контролюючого органу з питань захисту даних, включаючи відправку звітів про порушення, пов'язані з персональними даними;

  • виконання функцій контактної особи для суб'єктів персональних даних з питань конфіденційності, включаючи запити щодо доступу до персональних даних.

Простими словами — DPO це "головний по GDPR" в компанії.

Обов'язково призначити DPO

Якщо основна діяльність компанії:

  • безпосередньо пов'язана з операціями з обробки персональних даних, які вимагають регулярного і систематичного моніторингу у великому обсязі;

  • має на увазі обробку спеціальних категорій персональних даних — про здоров'я, релігію, расу або сексуальну орієнтацію, кримінальні вироки і злочини та ін.

Визначемося із терміном "основна діяльність".

Наприклад, для більшості компаній обробка персональних даних задля управління персоналом буде вторинною функцією відносно основних видів діяльності і тому не вважатиметься основною діяльністю.

Однак, рекрутингове агентство обробляє персональні дані в процесі підбору персоналу для клієнтів, отже обробка персональних даних — основна діяльність. У той же час, обробка агентством інформації стосовно власних працівників буде розглядатися як допоміжна діяльність.

Регулярний і систематичний моніторинг даних включає всі форми відстеження і профілювання, як онлайн, так і офлайн.

Обробка великої кількості даних

При визначенні масштабу обробки, який впливає на обов'язок призначити DPO, звертається увага на такі фактори:

  • кількість суб'єктів даних;

  • обсяг оброблюваних персональних даних;

  • діапазон видів персональних даних;

  • географічний масштаб діяльності;

  • тривалість обробки.

Наприклад, інтернет-магазин використовує алгоритми для моніторингу пошукових запитів і покупок користувачів і на основі цієї інформації робить рекомендації. Оскільки це відбувається безперервно і відповідно заздалегідь визначеним критеріям, це трактується як регулярний і систематичний моніторинг суб'єктів даних у великих обсягах.

Малі та середні підприємства

Від малих та середніх підприємств (МСП) не вимагається призначення DPO, якщо до них не застосовуються вищезазначені положення.

Це підтвердив представник Британського органу, відповідального за захист персональних даних ISO на конференції Infosec у 2017 році, в особі старшого фахівця з технологій Пітера Брауна.

Браун заявив: "Чув, як багато людей говорили про те, що існує виняток по DPO для МСП — це абсолютно не так".

Згідно GDPR держава має право визначати обставини, при яких потрібно призначення DPO. Так, британський Data Protection Act (Закон про захист даних) 2018 року не робить строгішими вимоги GDPR до DPO. На відміну від Британії, німецький Закон про захист даних встановлює, що кожна організація з 10+ співробітниками, які постійно займаються обробкою персональних даних, призначає DPO.

Навіть в тих випадках, коли GDPR конкретно не вимагає призначення DPO, EDPB (Європейська рада із захисту даних) рекомендує призначити DPO як додатковий засіб захисту.

Проте, у DPO однаковий правовий статус, незалежно від добровільності або обов'язковості призначення. Тому компанії вважають за доцільне призначити співробітника або аутсорсера на схожу посаду, але без наділення такої особи статусом DPO в розумінні GDPR.

У штат або аутсорс

GDPR надає право вибору. DPO може бути постійним працівником (внутрішнім) або діяти на підставі договору про надання послуг (зовнішній).

Незалежність

GDPR вимагає, щоб DPO працював незалежно та без вказівок роботодавця про те, як DPO виконувати роботу. Включаючи інструкції про те, якого результату потрібно досягти, як розслідувати скаргу або чи слід звертатися до контролюючого органу. Керівник не вказує DPO як інтерпретувати закон про захист персональних даних.

Відсутність конфлікту інтересів

Не дивлячись на те, що GDPR дозволяє DPO "виконувати інші завдання та обов'язки", компанії стежать, щоб інші завдання не призводили до "конфлікту інтересів" із обов'язками DPO. Поєднання функції DPO з більшістю керівних посад організації викликає конфлікт інтересів (наприклад, CEO, COO, CFO, начальник відділу маркетингу, керівник відділу кадрів і керівник відділу інформаційних технологій).

Кваліфікація

GDPR не передбачає конкретний перелік знань і умінь DPO. Проте, WP29 (Робоча група за статтею 29) опублікувала посібник, що визначає мінімальні вимоги, які були затверджені її наступником — European Data Protection Board (EDPB).

DPO задовольняє вимогам, якщо:

  • працював з національним і загальноєвропейським законодавством про захист персональних даних;

  • розуміє, які технічні та організаційні заходи вже прийняті в компанії і які треба впровадити;

  • вміє створювати, впроваджувати та управляти політиками і посібниками щодо захисту даних.

Чим вище складність операції з обробки персональних даних в компанії, тим досвідченішим має бути DPO.

Відповідальність за невиконання вимог відносно DPO

Штраф до 2% від річного світового обороту компанії або 10 мільйонів євро.