GDPR https://icon.partners/ua ua Хто такий Data protection officer https://icon.partners/ua/blog/khto-takiy-data-protection-officer <span>Хто такий Data protection officer</span> <span><span lang="" about="/ua/user/40" typeof="schema:Person" property="schema:name" datatype="">content_admin</span></span> <span>Wed, 05/27/2020 - 16:55</span> <div class="blog_article__body"><h2 class="ic-hash-header">Визначення</h2> <p>Data protection officer (DPO) — незалежний експерт із захисту даних.</p> <ul><li> <p>Слідкує за відповідністю компанії вимогам щодо захисту персональних даних.</p> </li> <li> <p>Інформує та консультує щодо обов'язків.</p> </li> <li>Виступає контактною особою для користувачів, контрагентів або контролюючих органів.</li> </ul><p>Згідно регламенту GDPR компанії зобов'язані визначити, чи потрібно призначати DPO. Регламент створює додаткові складності, адже підприємці зобов'язані, як мінімум, уникати конфлікту інтересів при призначенні DPO. Залежний від начальства DPO не здатний виконувати на 100% трудові функції.</p> <h2 class="ic-hash-header">Задачі DPO </h2> <p>DPO підзвітний безпосередньо "керівництву вищого рівня" (зверніть увагу, підзвітний, а не залежний від керівництва) організації і виконує наступні завдання в межах GDPR:</p> <ul><li> <p>інформування та консультування компанії та співробітників про обов'язки щодо захисту даних;</p> </li> <li> <p>моніторинг дотримання компанією приписів GDPR і внутрішніх політик захисту персональних даних. Це включає в себе моніторинг розподілу обов'язків, підвищення обізнаності та навчання співробітників компанії, залучених в процеси обробки даних;</p> </li> <li> <p>консультування про необхідність проведення DPIA (оцінка впливу на захист даних), способах проведення та очікувані результати такої оцінки;</p> </li> <li> <p>виконання функцій контактної особи для відповідного контролюючого органу з питань захисту даних, включаючи відправку звітів про порушення, пов'язані з персональними даними;</p> </li> <li>виконання функцій контактної особи для суб'єктів персональних даних з питань конфіденційності, включаючи запити щодо доступу до персональних даних.</li> </ul><p>Простими словами — DPO це "головний по GDPR" в компанії.</p> <h2 class="ic-hash-header">Обов'язково призначити DPO</h2> <p>Якщо основна діяльність компанії:</p> <ul><li> <p>безпосередньо пов'язана з операціями з обробки персональних даних, які вимагають регулярного і систематичного моніторингу у великому обсязі;</p> </li> <li>має на увазі обробку спеціальних категорій персональних даних — про здоров'я, релігію, расу або сексуальну орієнтацію, кримінальні вироки і злочини та ін.</li> </ul><p>Визначемося із терміном "основна діяльність".</p> <p>Наприклад, для більшості компаній обробка персональних даних задля управління персоналом буде вторинною функцією відносно основних видів діяльності і тому не вважатиметься основною діяльністю.</p> <p>Однак, рекрутингове агентство обробляє персональні дані в процесі підбору персоналу для клієнтів, отже обробка персональних даних — основна діяльність. У той же час, обробка агентством інформації стосовно власних працівників буде розглядатися як допоміжна діяльність.</p> <p>Регулярний і систематичний моніторинг даних включає всі форми відстеження і профілювання, як онлайн, так і офлайн.</p> <h2 class="ic-hash-header">Обробка великої кількості даних</h2> <p>При визначенні масштабу обробки, який впливає на обов'язок призначити DPO, звертається увага на такі фактори:</p> <ul><li> <p>кількість суб'єктів даних;</p> </li> <li> <p>обсяг оброблюваних персональних даних;</p> </li> <li> <p>діапазон видів персональних даних;</p> </li> <li> <p>географічний масштаб діяльності;</p> </li> <li>тривалість обробки.</li> </ul><p>Наприклад, інтернет-магазин використовує алгоритми для моніторингу пошукових запитів і покупок користувачів і на основі цієї інформації робить рекомендації. Оскільки це відбувається безперервно і відповідно заздалегідь визначеним критеріям, це трактується як регулярний і систематичний моніторинг суб'єктів даних у великих обсягах.</p> <h2 class="ic-hash-header">Малі та середні підприємства</h2> <p>Від малих та середніх підприємств (МСП) не вимагається призначення DPO, якщо до них не застосовуються вищезазначені положення.</p> <p>Це підтвердив представник Британського органу, відповідального за захист персональних даних ISO на конференції Infosec у 2017 році, в особі старшого фахівця з технологій Пітера Брауна.</p> <p>Браун заявив: "Чув, як багато людей говорили про те, що існує виняток по DPO для МСП — це абсолютно не так".</p> <p>Згідно GDPR держава має право визначати обставини, при яких потрібно призначення DPO. Так, британський Data Protection Act (Закон про захист даних) 2018 року не робить строгішими вимоги GDPR до DPO. На відміну від Британії, німецький Закон про захист даних встановлює, що кожна організація з 10+ співробітниками, які постійно займаються обробкою персональних даних, призначає DPO.</p> <p>Навіть в тих випадках, коли GDPR конкретно не вимагає призначення DPO, EDPB (Європейська рада із захисту даних) рекомендує призначити DPO як додатковий засіб захисту.</p> <p>Проте, у DPO однаковий правовий статус, незалежно від добровільності або обов'язковості призначення. Тому компанії вважають за доцільне призначити співробітника або аутсорсера на схожу посаду, але без наділення такої особи статусом DPO в розумінні GDPR.</p> <h2 class="ic-hash-header">У штат або аутсорс</h2> <p>GDPR надає право вибору. DPO може бути постійним працівником (внутрішнім) або діяти на підставі договору про надання послуг (зовнішній).</p> <h2 class="ic-hash-header">Незалежність</h2> <p>GDPR вимагає, щоб DPO працював незалежно та без вказівок роботодавця про те, як DPO виконувати роботу. Включаючи інструкції про те, якого результату потрібно досягти, як розслідувати скаргу або чи слід звертатися до контролюючого органу. Керівник не вказує DPO як інтерпретувати закон про захист персональних даних.</p> <h2 class="ic-hash-header">Відсутність конфлікту інтересів</h2> <p>Не дивлячись на те, що GDPR дозволяє DPO "виконувати інші завдання та обов'язки", компанії стежать, щоб інші завдання не призводили до "конфлікту інтересів" із обов'язками DPO. Поєднання функції DPO з більшістю керівних посад організації викликає конфлікт інтересів (наприклад, CEO, COO, CFO, начальник відділу маркетингу, керівник відділу кадрів і керівник відділу інформаційних технологій).</p> <h2 class="ic-hash-header">Кваліфікація</h2> <p>GDPR не передбачає конкретний перелік знань і умінь DPO. Проте, WP29 (Робоча група за статтею 29) опублікувала посібник, що визначає мінімальні вимоги, які були затверджені її наступником — European Data Protection Board (EDPB).</p> <p>DPO задовольняє вимогам, якщо:</p> <ul><li> <p>працював з національним і загальноєвропейським законодавством про захист персональних даних;</p> </li> <li> <p>розуміє, які технічні та організаційні заходи вже прийняті в компанії і які треба впровадити;</p> </li> <li>вміє створювати, впроваджувати та управляти політиками і посібниками щодо захисту даних.</li> </ul><p>Чим вище складність операції з обробки персональних даних в компанії, тим досвідченішим має бути DPO.</p> <h2 class="ic-hash-header">Відповідальність за невиконання вимог відносно DPO</h2> <p>Штраф до 2% від річного світового обороту компанії або 10 мільйонів євро.<br />  </p> </div> <div class="blog_article__tag"> <div>Tag</div> <div> <div><a href="/ua/blog/category/gdpr" hreflang="uk">GDPR</a></div> </div> </div> Wed, 27 May 2020 13:55:27 +0000 content_admin 66 at https://icon.partners GDPR та представник в ЄС https://icon.partners/ua/blog/gdpr-ta-predstavnik-v-es <span>GDPR та представник в ЄС</span> <span><span lang="" about="/ua/user/40" typeof="schema:Person" property="schema:name" datatype="">content_admin</span></span> <span>Wed, 05/27/2020 - 15:16</span> <div class="blog_article__body"><p>Європейський Загальний регламент про захист даних (GDPR) містить вимогу щодо призначення представника в ЄС — контактної особи для громадян ЄС і наглядових органів.</p> <div class="ic-blog-img"> <picture><source type="image/webp" data-srcset="/sites/default/files/styles/max_325x325/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.webp?itok=aJ9cm_Ho 325w, /sites/default/files/styles/large/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.webp?itok=E_Zxob9s 480w, /sites/default/files/styles/max_650x650/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.webp?itok=7tblknrE 650w, /sites/default/files/styles/team_photo/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.webp?itok=I5AyunsT 720w, /sites/default/files/styles/max_1300x1300/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.webp?itok=B9JEzBRK 1300w" data-sizes="100vw"></source><source type="image/heif" data-srcset="/sites/default/files/styles/max_325x325/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.heif?itok=aJ9cm_Ho 325w, /sites/default/files/styles/large/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.heif?itok=E_Zxob9s 480w, /sites/default/files/styles/max_650x650/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.heif?itok=7tblknrE 650w, /sites/default/files/styles/team_photo/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.heif?itok=I5AyunsT 720w, /sites/default/files/styles/max_1300x1300/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.heif?itok=B9JEzBRK 1300w" data-sizes="100vw"></source><source type="image/png" data-srcset="/sites/default/files/styles/max_325x325/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=aJ9cm_Ho 325w, /sites/default/files/styles/large/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=E_Zxob9s 480w, /sites/default/files/styles/max_650x650/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=7tblknrE 650w, /sites/default/files/styles/team_photo/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=I5AyunsT 720w, /sites/default/files/styles/max_1300x1300/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=B9JEzBRK 1300w" data-sizes="100vw"></source><img alt="тест1" class="lazyload" data-src="/sites/default/files/styles/max_1300x1300/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=B9JEzBRK" data-srcset="/sites/default/files/styles/max_325x325/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=aJ9cm_Ho 325w, /sites/default/files/styles/large/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=E_Zxob9s 480w, /sites/default/files/styles/max_650x650/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=7tblknrE 650w, /sites/default/files/styles/team_photo/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=I5AyunsT 720w, /sites/default/files/styles/max_1300x1300/public/2020-05/%D1%82%D0%B5%D1%81%D1%82_1.png?itok=B9JEzBRK 1300w" data-sizes="100vw" typeof="foaf:Image" /></picture></div> <p>Дві відповіді "Так" — представник в ЄС не потрібен.</p> <h2 class="ic-hash-header">Вимоги до представника</h2> <p>Представником з GDPR призначають людину або компанію, що базується в ЄС. Якщо бізнес збирає інформацію від суб'єктів даних, наприклад, у Франції — представник повинен перебувати у Франції.</p> <p>Однак, якщо особисті дані збирають в декількох країнах, то представника обирають в одній з цих країн. Наприклад, якщо обробляються дані парижан і жителів Стокгольма, представник повинен жити (або мати юр. адресу) у Франції або Швеції.</p> <p>Якщо збирають по всій території ЄС — представник може бути в будь-якій країні ЄС.<br /> Оскільки представник — головна контактна особа, мінімальна вимога — знати мову та володіти законодавством.</p> <h2 class="ic-hash-header">Обов’язки представника в ЄС</h2> <ol><li> <p>взаємодія між суб'єктами даних і наглядовими органами;</p> </li> <li>ведення записів про діяльність з обробки даних та надання цих записів наглядовому органу (на вимогу).</li> </ol><p>Компанії, які призначили представника в ЄС і розташовані за межами Європейського Союзу, не звільняються від обов'язків прописаних в GDPR.</p> <h2 class="ic-hash-header">Призначення представника</h2> <p>Усне призначення представника не допускається. У письмовій угоді або договорі повинні бути вказані права і обов'язки представника.</p> <h2 class="ic-hash-header">Виключення</h2> <p>GDPR передбачив виключення із зобов’язання призначення представника для контролерів чи процесорів, які не перебувають в ЄС. Наприклад, представник не потрібен, коли:</p> <ul><li> <p>персональні дані обробляються не на постійній основі, або</p> </li> <li>обробка не включає в себе великомасштабну обробку спеціальних категорій персональних даних або персональних даних, що стосуються кримінальних вироків і злочинів, і обробка навряд чи становитиме ризик для прав і свобод суб'єктів даних.</li> </ul><h2 class="ic-hash-header">Відповідальність</h2> <p>Якщо стаття 27 GDPR, яка регулює діяльність представника, може бути застосована до бізнесу, а представника не призначено — з'являється ризик штрафу в 10,000,000 EUR.</p> <h2 class="ic-hash-header">Відмінність між представником та DPO</h2> <p>Представник — контактна особа, а DPO — незалежний експерт, який відповідає за дотримання компанією Загального регламенту про захист даних, проводить аудит діяльності, виявляє категорії персональних даних, які обробляються компанією, пропонує заходи безпеки і т.д.</p> <p>Дотримання GDPR — це повага базових європейських цінностей і прав людини, турбота про репутацію компанії, підвищення конкурентоспроможності, мінімізація ризику бути оштрафованим.</p> </div> <div class="blog_article__tag"> <div>Tag</div> <div> <div><a href="/ua/blog/category/gdpr" hreflang="uk">GDPR</a></div> </div> </div> Wed, 27 May 2020 12:16:46 +0000 content_admin 64 at https://icon.partners