Data protection officer. Нова роль у компаніях, які працюють із персональними даними

Анастасія Клименкоhttps://legalitgroup.com/
Спеціалізується на написанні політик конфіденційності та розробці документів для відповідності вимогам GDPR

Загальний регламент ЄС про захист персональних даних (General Data Protection Regulation, GDPR) діє вже 3 роки. В Україні ж подано на розгляд до ВР Законопроєкт «Про захист персональних даних» №5628 від 07.06.2021, який майже повністю відтворює положення GDRP, зокрема щодо Офіцера із захисту персональних даних (Data protection officer, DPO). Тож найближчим часом захист персональних даних стане ще однією сферою, що потребуватиме такого ж детального контролю, як і податкова звітність.

Data protection officer. Who is who?

DPO — це особа чи група осіб, які контролюють діяльність компанії у сфері захисту персональних даних. Якщо ваша компанія знаходиться в Україні, але її діяльність передбачає взаємодію з персональними даними громадян ЄС, то вам може знадобитися Data protection officer. Також на часі вищезгаданий український законопроєкт, який теж передбачає роль DPO. Тож у будь-якому випадку більшість українських компаній буде змушена зрозуміти роль і функції DPO. У цій статті ми відповімо на головні запитання та допоможемо зрозуміти, як правильно вибрати Data protection officer.

GDPR вимагає призначення DPO лише в наступних випадках:
  • основна діяльність компанії полягає в регулярній, систематичній та широкомасштабній обробці персональних даних фізичних осіб;
  • основна діяльність компанії полягає в широкомасштабній обробці чутливих категорій даних або даних, що стосуються кримінальних правопорушень та проступків.

Чутливі дані включають інформацію про расове, етнічне походження, політичні думки, релігійні, філософські переконання, членство в профспілках, генетичні та біометричні дані з метою ідентифікації фізичної особи, дані про стан здоров’я та дані щодо статевого життя або сексуальної орієнтації.

GDRP не визначає конкретної цифри для широкомасштабної обробки. Це залежить від загальної кількості населення країни, обсягів персональних даних, що збираються, та характеру бізнесу (наприклад, високотехнологічний чи сировинний). Тобто цей критерій визначається в кожному окремому кейсі.

Що ж стосується регулярної та систематичної обробки, то її можна визначити як збір та аналіз персональних даних на постійній основі з чіткою метою використання цих даних у бізнес-діяльності.

Прикладом є діяльність телекомунікаційних та маркетингових компаній, інтернет-провайдерів, банків, медичних закладів, державних установ (ЦНАП, РАЦС). Також сюди належать health / wellbeing додатки, браслети, смартгодинники, що відстежують стан здоров’я людини, сервіси для профайлінгу та таргетингу, застосунки, які використовують геолокацію (для пошуку ресторанів, салонів краси поруч).

Цей перелік невичерпний, тому якщо ви не впевнені, чи необхідно призначати DPO, краще звернутися до контролювального органу держави-члена ЄС, у якому знаходиться ваше представництво.

У решті випадків Data protection officer призначається за бажанням.


Приєднуйтеся до закритої facebook-групи управлінців

Обов’язки DPO може виконувати як співробітник компанії, так і позаштатний незалежний виконавець. GDPR не розрізняє їх, проте на практиці краще мати freelance DPO, щоб уникнути конфлікту інтересів. Data protection officer не може займати керівну посаду за сумісництвом або таку, яка безпосередньо впливає на визначення цілей та засобів обробки в інтересах компанії, а не законодавства.

Бельгійський контролювальний орган (BDPS) у квітні 2020 року оштрафував компанію на 50 000 євро за порушення принципу конфлікту інтересів. У компанії був Data protection officer, котрий одночасно виконував функції керівника відділу відповідності вимогам GDPR, аудиту та оцінювання ризиків. BDPS визначив, що очільник був безпосередньо зацікавлений у відповідності компанії GDPR, адже це був його основний трудовий обов’язок. Тобто DPO не повинен мати жодного інтересу в тому, щоб догодити керівництву чи показати високі показники відповідності GDPR. Він має неупереджено, незалежно та чесно описувати ситуацію, що існує, без страху звільнення або позбавлення премії.

Робочі будні DPO

На практиці DPO — це багатофункціональний механізм, який повинен контролювати кожен рух компанії, пов’язаний із використанням персональних даних.

Залежно від масштабів обробки Data protection officer може бути одна чи кілька осіб або й цілий відділ.

Головні завдання DPO полягають у наступному:

  • розроблення внутрішніх та зовнішніх політик захисту персональних даних;
  • консультування компанії щодо її зобов’язань відповідно до GDPR;
  • проведення тренінгів для співробітників і керівництва;
  • розподілення сфер відповідальності між співробітниками залежно від характеру обов’язків та ступеня взаємодії з персональними даними;
  • здійснення постійного контролю за виконанням вимог GDPR;
  • співпраця з контролювальними органами у сфері захисту персональних даних;
  • проведення оцінювання ризиків тієї чи іншої діяльності компанії для прав суб’єктів даних (Data Protection Impact Assessment (DPIA));
  • комунікація з особами, які надають дані (відповіді на запити, скарги).


Читайте Нотатки СЕО в Telegram

Вибір DPO

GDPR не встановлює єдиного кваліфікаційного іспиту для отримання звання DPO. Головна вимога — компетентність та професіоналізм. Оскільки компанія, яка наймає DPO, не здатна самостійно перевірити його чи її рівень знань, існують спеціальні приватні організації, що проводять таке оцінювання.

Найбільш авторитетною у цій сфері є The International Association of Privacy Professionals, яка здійснює навчання та сертифікацію DPO. Вона видає сертифікати класу CIPPE/e, що свідчать про рівень компетентності в галузі GDPR.

Також підготовкою DPO займається європейський SECO-Institute, який видає сертифікати категорії CDPO. Для контролювальних органів немає жодної різниці між зазначеними сертифікатами.

Однак відсутність сертифіката не означає професійну непридатність. З сертифікатом або без, DPO повинен мати наступні знання та навички:

  • знання національного закону та GDPR, включаючи інші європейські законодавчі акти щодо захисту персональних даних;
  • розуміння інформаційних технологій (програмування, кібербезпеки), вміння застосувати знання на практиці;
  • глибоке розуміння сфери бізнесу компанії, її особливостей.

Якщо хоча б один із пунктів не виконується, то не варто наймати такого DPO навіть із сертифікатом, адже кожна його помилка матиме юридичні наслідки.

Відповідальність: контролер (процесор) vs. Data protection officer

Відповідальність за порушення норм GDPR лежить на контролерові (процесорові). Консультації DPO не є обов’язковими для компанії, тому вона може не приймати його думку з певного питання та вчиняти інакше.

У випадку, коли компанія прислухалася до поради Data protection officer і її оштрафували, саме вона нестиме першочергову відповідальність.

Питання відповідальності DPO не входить до сфери GDRP та регулюється національним законодавством. Так, в Україні існує право регресної вимоги, тобто право компанії звернутися до DPO з вимогою про повернення коштів, які вона була змушена виплатити у формі штрафу через його помилку.

Тож наймаючи DPO, ви значно полегшуєте процес відповідності вимогам GDPR, проте не забувайте, що фінальне рішення та відповідальність за нього завжди лежить на вас.