DPO (DATA PROTECTION OFFICER): ЗАКОННА ВИМОГА ЧИ НЕОБХІДНІСТЬ ДЛЯ БІЗНЕСУ

28 Грудня 2019

З прийняттям General Data Protection Regulation, на деяких українських ресурсах з’явилося багато матеріалів щодо DPO (Data protection officer), як про особу без якої неможливе гарантування того, що компанія працює у відповідності з вимогами GDPR. Насправді, в деяких ситуаціях це дійсно так, адже існують певні законні вимоги, коли така особа повинна призначатися, але є ситуації, коли DPO не так вже й потрібен.

Визначення Data Protection Regulation (DPO)

До прийняття General Data Protection Regulation, такого визначення як DPO не існувало, адже механізми захисту персональних даних, визначені попередніми актами ЄС, не передбачали необхідність в призначенні такої особи. І хоча в тексті GDPR ми не можемо знайти чіткого визначення поняття DPO, цей документ окреслює його основні функції, повноваження та ситуації, коли його призначення є обов’язковим.  Загалом, не вдаючись до деталізованих тлумачень та термінології, можемо сказати, що DPO це особа, яка повинна контролювати дотримання компанією вимог GDPR та іншого європейського законодавства у сфері захисту персональних даних,  надавати роз’яснення та поради щодо застосування GDPR, а також підвищувати рівень обізнаності працівників компанії по питанням захисту персональних даних.

Необхідність призначення DPO

У відповідності до положень GDPR, а саме статті 37, компанії, не залежно від того, чи вони виконують функцію контролерів чи обробників, зобов’язані призначати DPO в тих випадках, коли:

  • основні види діяльності контролера або обробника становлять операції з обробки персональних даних, які, в силу своєї специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб’єктів даних.

Наприклад, в цьому випадку, маються на увазі ситуації, коли компанія здійснює моніторинг поведінки користувачів на своєму веб-сайті для таких цілей як «прямий маркетинг» або «скоринг платоспроможності користувача», коли мова йде про фінансові установи.

  • основні види діяльності контролера або обробника включають в себе
    обробку спеціальних категорій персональних даних та персональних даних про судимості та  кримінальні злочини у великих масштабах.

Наприклад, в цьому випадку мова може йти про обробку персональних, пов’язаних із здоров’ям фізичних осіб, їхнім віросповіданням та етнічним походженням. Загалом же, перелік спеціальних категорій персональних даних (чутливих даних), можливо знайти в статті 7 GDPR. Актуальність цього приклад можемо підтвердити в контексті діяльності медичних закладів, які збирають дані своїх пацієнтів.

Офіційні роз’яснення європейських органів щодо необхідності призначення DPO містять наполегливу пораду щодо того, аби Data Protection Officer призначався всіма компаніями, які вважають, що особливості їхнього бізнесу можуть потребувати додаткового контролю та експертної думки на постійній основі або ж компаніями, які вагаються щодо необхідності призначення ними DPO, в контексті статті 37 GDPR.

Не залежно від того, якого розміру ваша компанія, який тип бізнесу вона провадить, призначення Data Protection Officer буде вважатися одним із ключових кроків на шляху підготовки компанії до відповідності вимогам GDPR та іншого законодавства ЄС у сфері захисту персональних даних і цей крок буде позитивно оцінений у випадку здійснення перевірки вашої відповідності GDPR контролюючими органами.  

Якщо ж говорити про українські компанії, які діють у відповідності до вимог GDPR, то в такому випадку не існує жодної різниці між українськими компаніями та тими, що зареєстровані в ЄС, в контексті питання необхідності призначення DPO. В деяких аспектах, українським компаніям потрібно навіть більше приділити увагу відповідному запитанню, адже Україна наразі не є державою, яка має адекватний рівень захисту персональних даних, в контексті законодавства Європейського Союзу. Відповідно, до компаній, які зареєстровані в таких державах приділяється більше уваги.  

Статус DPO в рамках компанії

Дехто, зокрема і в Україні, вважає, що DPO це особа, яку компанія винаймає і яка повинна розробити всі документи, а також впровадити необхідні технічні та організаційні заходи для можливості забезпечити відповідність компанії вимогам GDPR. І можливо така думка мала б право на життя, але текст GDPR передбачає, що ця особа не повинна виконувати будь-які інструкції з боку керівництва компанії в процесі реалізації своїх професійних обов’язків, а  тому не може діяти як рядовий співробітник, виконуючи розпорядження керівництва середньої та вищої ланок. Data Protection Officer повинен діяти незалежно, і лише за домовленістю з найвищим керівництвом компанії, звітувати перед ним. Тим більше, компанія не може притягнути Data Protection Officer до дисциплінарної відповідальності або звільнити Data Protection Officer, якщо це пов’язано з виконанням ним своїх професійних обов’язків. 

Варто зауважити, що коли мова йде про співробітництво з  Data Protection Officer, компанія повинна гарантувати, що не існує жодного конфлікту інтересів, зокрема в контексті виконання DPO своїх професійних обов’язків. Наприклад, з практичної точки зору, в рамках компанії, обов’язки DPO не можуть бути покладені на фінансового директора, бухгалтера або юриста, так як вони є зацікавленими особами, а тим більше є підзвітними особами в контексті вертикалі управління компанією. Питання розробки документів та вжиття заходів краще покласти на спеціаліста з персональних даних, який знає всі особливості діяльності компанії з середини, комунікує зі всіма підрозділами компанії, звітує перед своїм безпосереднім керівництвом та виконує його розпорядження.

Висловлюючись іншими словами, Data Protection Officer – це незалежний експерт, який може співпрацювати з компанією як на підставі трудового договору, так і на підставі комерційної угоди, при цьому, виконувати свої професійні обов’язки на незалежній основі і звітувати виключно перед найвищим керівництвом компанії. 

Основні обов’язки DPO

Будучи спеціалістом в сфері захисту персональних даних та маючи релевантний рівень компетентності в питаннях застосування GDPR та іншого європейського законодавства в сфері захисту персональних даних, який він може довести, Data Protection Officer, окрім іншого, зобов’язаний:

  • консультувати, надавати поради та роз’яснювати працівникам компанії та всім зацікавленим особам, які залучаються компанією, їхні обов’язки, а також їхню відповідальність в контексті обробки персональних даних, у відповідності до GDPR та інших законодавчих актів ЄС;
  • здійснювати контроль за відповідністю діяльності компанії, в питаннях обробки персональних даних, до GDPR, інших законодавчих актів ЄС та внутрішніх політик та процедур компанії;
  • контактувати, при необхідності, з відповідними контролюючими органами та відстоювати інтереси компанії перед такими органами, а також надавати їм відповідну інформацію, яка стосується обробки персональних даних в компанії;
  • надавати компанії свою експертну думку в процесі проведення оцінювання впливу на захист даних (data protection impact assessment/DPIA).

Порада спеціалістів

На нашу думку, будь-які компанії, які позиціонують себе у якості представників середнього та великого бізнесу, і які орієнтують свою діяльність на ЄС, повинні розглядати питання організації співпраці з Data Protection Officer досить серйозно, так я це може стати визначальним фактором в доведені відповідності компанії вимогам GDPR.

Разом з тим, ми не рекомендуємо ризикувати і покладати обов’язки DPO на будь-кого зі своїх співробітників, при цьому залишаючи за ним основну посаду в компанії. Як мінімум, DPO повинен бути спеціалістом у сфері захисту персональних даних, який має можливість довести рівень своєї компетенції відповідними документами, наприклад сертифікатами, а також мати цілковиту незалежність в процесі здійснення своїх професійних обов’язків. Реалізацію проекту по забезпечення відповідності компанії вимогам GDPR, все ж бажано покласти на іншу особу.

Компанія BSO Privacy Group з радістю надасть вам послуги Data Protection Officer, якщо ваша компанія цього потребує, а також допоможе ефективно реалізувати всі організаційні та технічні заходи для можливості бути GDPR compliance. Звертайтеся до BSO Privacy Group, і ми будемо раді вам допомогти.