DPO (DATA PROTECTION OFFICER): законное требование ИЛИ НЕОБХОДИМОСТЬ ДЛЯ БИЗНЕСА

С принятием General Data Protection Regulation, на некоторых украинских ресурсах появилось много материалов по DPO (Data protection officer), как о лице без которой невозможно обеспечение того, что компания работает в соответствии с требованиями GDPR. На самом деле, в некоторых ситуациях это действительно так, ведь существуют определенные законные требования, когда такое лицо должно назначаться, но есть ситуации, когда DPO не так уж и нужен.

Определение Data Protection Regulation (DPO)

До принятия General Data Protection Regulation, такого определения как DPO не было, ведь механизмы защиты персональных данных, определенные предыдущими актами ЕС, не предусматривали необходимость в назначении такого лица. И хотя в тексте GDPR мы не можем найти четкого определения понятия DPO, этот документ определяет его основные функции, полномочия и ситуации, когда его назначения является обязательным. В общем, не прибегая к детализированных толкований и терминологии, можем сказать, что DPO это лицо, которое должно контролировать соблюдение компанией требований GDPR и другого европейского законодательства в сфере защиты персональных данных, предоставлять разъяснения и советы по применению GDPR, а также повышать уровень осведомленности работников компании по вопросам защиты персональных данных.

Необходимость назначения DPO

В соответствии с положениями GDPR, а именно статьи 37, компании, независимо от того, они выполняют функцию контроллеров или обработчиков, обязаны назначать DPO в тех случаях, когда:

основные виды деятельности контроллера или обработчика составляют операции по обработке персональных данных, которые в силу своей специфики, объемов и / или целей, требуют регулярного, систематического и широкомасштабного мониторинга субъектов данных.

Например, в этом случае, имеются в виду ситуации, когда компания осуществляет мониторинг поведения пользователей на своем веб-сайте для таких целей как «прямой маркетинг» или «скоринг платежеспособности пользователя», когда речь идет о финансовых учреждениях.

основные виды деятельности контроллера или обработчика включают в себя
обработку специальных категорий персональных данных и персональных данных о судимости и уголовные преступления в больших масштабах.

Например, в этом случае речь может идти об обработке персональных, связанных со здоровьем физических лиц, их вероисповеданию и этническим происхождением. В целом же, перечень специальных категорий персональных данных (чувствительных данных), можно найти в статье 7 GDPR. Актуальность этого примера можем подтвердить в контексте деятельности медицинских учреждений, которые собирают данные своих пациентов.

Официальные разъяснения европейских органов о необходимости назначения DPO содержат упорную совет относительно того, чтобы Data Protection Officer предназначался всеми компаниями, которые считают, что особенности их бизнеса могут потребовать дополнительного контроля и экспертного мнения на постоянной основе или же компаниями, которые колеблются относительно необходимости назначения ими DPO, в контексте статьи 37 GDPR.

Независимо от того, какого размера ваша компания, какой тип бизнеса она проводит, назначение Data Protection Officer будет считаться одним из ключевых шагов на пути подготовки компании к соответствию требованиям GDPR и другого законодательства ЕС в сфере защиты персональных данных и этот шаг будет положительно оценен в случае осуществления проверки вашей соответствии GDPR контролирующими органами.

Если же говорить об украинских компаниях, которые действуют в соответствии с требованиями GDPR, то в таком случае не существует никакой разницы между украинскими компаниями и теми, которые зарегистрированы в ЕС, в контексте вопроса необходимости назначения DPO. В некоторых аспектах, украинским компаниям нужно даже больше уделить внимание соответствующем вопросу, ведь Украина пока не является государством, которое имеет адекватный уровень защиты персональных данных, в контексте законодательства Европейского Союза. Соответственно, к компаниям, которые зарегистрированы в таких государствах уделяется больше внимания.

Статус DPO в рамках компании

Некоторые, в том числе и в Украине, считает, что DPO это лицо, которое компания снимает и которая должна разработать все документы, а также внедрить необходимые технические и организационные меры для возможности обеспечить соответствие компании требованиям GDPR. И возможно такое мнение имело бы право на жизнь, но текст GDPR предусматривает, что этот человек не должен выполнять любые инструкции со стороны руководства компании в процессе реализации своих профессиональных обязанностей, а потому не может действовать как рядовой сотрудник, выполняя распоряжение руководства среднего и высшего звеньев. Data Protection Officer должен действовать независимо, и только по договоренности с высшим руководством компании, отчитываться перед ним. Тем более, компания не может привлечь Data Protection Officer к дисциплинарной ответственности или освободить Data Protection Officer, если это связано с выполнением им своих профессиональных обязанностей.

Стоит заметить, что когда речь идет о сотрудничестве с Data Protection Officer, компания должна гарантировать, что не существует никакого конфликта интересов, в частности в контексте выполнения DPO своих профессиональных обязанностей. Например, с практической точки зрения, в рамках компании, обязанности DPO не могут быть возложены на финансового директора, бухгалтера или юриста, так как они являются заинтересованными лицами, а тем более есть подотчетными лицами в контексте вертикали управления компанией. Вопросы разработки документов и принятия мер лучше положить на специалиста по персональных данных, который знает все особенности деятельности компании изнутри, коммуницирует со всеми подразделениями компании, отчитывается перед своим непосредственным руководством и выполняет его распоряжения.

Выражаясь другими словами, Data Protection Officer — это независимый эксперт, который может сотрудничать с компанией как на основании трудового договора, так и на основании коммерческого соглашения, при этом, выполнять свои профессиональные обязанности на независимой основе и отчитываться исключительно перед высшим руководством компании.

Основные обязанности DPO

Будучи специалистом в сфере защиты персональных данных и имея релевантный уровень компетентности в вопросах применения GDPR и другого европейского законодательства в сфере защиты персональных данных, который он может доказать, Data Protection Officer, помимо прочего, обязан:

консультировать, давать рекомендации и разъяснять работникам компании и всем заинтересованным лицам, которые привлекаются компанией, их обязанности, а также их ответственность в контексте обработки персональных данных, в соответствии с GDPR и других законодательных актов ЕС;
осуществлять контроль за соответствием деятельности компании, в вопросах обработки персональных данных, в GDPR, других законодательных актов ЕС и внутренних политик и процедур компании;
контактировать, при необходимости, с соответствующими контролирующими органами и отстаивать интересы компании перед такими органами, а также предоставлять им соответствующую информацию, касающуюся обработки персональных данных в компании;
предоставлять компании свое экспертное мнение в процессе проведения оценки воздействия на защиту данных (data protection impact assessment / DPIA).

Совет специалистов

По нашему мнению, любые компании, которые позиционируют себя в качестве представителей среднего и крупного бизнеса, и которые ориентируют свою деятельность на ЕС, должны рассматривать вопросы организации сотрудничества с Data Protection Officer достаточно серьезно, так я это может стать определяющим фактором в доведены соответствии компании требованиям GDPR.

Вместе с тем, мы не рекомендуем рисковать и возлагать обязанности DPO на кого-либо из своих сотрудников, при этом оставляя за ним основную должность в компании. Как минимум, DPO должен быть специалистом в сфере защиты персональных данных, который имеет возможность довести уровень своей компетенции соответствующими документами, например сертификатами, а также иметь полную независимость в процессе осуществления своих профессиональных обязанностей. Реализация проекта по обеспечению соответствия компании требованиям GDPR, все же желательно положить на другое лицо.

Компания BSO Privacy Group с радостью предоставит вам услуги Data Protection Officer, если ваша компания в этом нуждается, а также поможет эффективно реализовать все организационные и технические меры для возможности быть GDPR compliance. Обращайтесь к BSO Privacy Group, и мы будем рады вам помочь.