Data Protection Officer для вашого бізнесу

У цій статті дізнаємось більше про DPO, його роль, функції та особливості діяльності. Переконаємось про переваги та важливість DPO для Ваших бізнес-процесів.

Data protection officer: функції та завдання

Коли мова йде про приватність персональних даних та  GDPR, часто згадують DPO, як невід’ємну частину комплаєнсу. 

Виникає низка запитань: Що ж це за посада? Хто такий DPO? Які обов’язки передбачає ця роль? Навіщо призначати такого фахівця?

 І основне питання з точки зору власників бізнесу: «Чи потрібен DPO саме в контексті Моєї діяльності?»

У цій статті ми детально розглянемо хто такий DPO, яка його роль на практиці, функції та особливості діяльності. А також, ознайомимось з наслідками не призначення DPO у випадках, де це є обов’язковою вимогою GDPR.

Хто такий DPO?

GDPR не наводить визначення DPO. 

Тим не менш, на основі аналізу GDPR та низки публікацій у сфері приватності, можна виділити загальні вимоги щодо професійних якостей DPO та його здатності виконувати певні завдання. 

Мова йде про:

• експертні знання національного та європейського законодавства; 
• знання практики захисту персональних даних;
• розвинені особисті якості та комунікативні навички;
• досвід роботи з ІТ-програмуванням або інфраструктурою;
• здатність здобувати необхідні знання в динамічному середовищі та залишатися в курсі найсучасніших розробок, тощо.

Що стосується необхідного рівня експертних знань та рівня кваліфікації – конкретних вимог немає. Все залежить від масштабів та специфіки діяльності конкретного бізнесу. 

До прикладу: якщо йдеться про обробку великої кількості чутливих даних на постійній основі, DPO може потребувати більш високого рівня знань та кваліфікації.

Часто у ролі DPO може виступати не одна особа, а ціла група професіоналів, які піклуються про законність діяльності компанії у сфері персональних даних.

Роль DPO на практиці

GDPR вимагає обов’язкового призначення DPO за наявності хоча б однієї наступних умов:

• основні бізнес-процеси діяльності компанії передбачають регулярну та систематичну обробку великих об’ємів персональних даних;
• основна діяльність компанії включає в себе широкомасштабну обробку чутливих даних та даних щодо судимості осіб.

І тут все неоднозначно. Компанія зобов’язана оцінити свою діяльність та зрозуміти чи підпадає її обробка під вищенаведені категорії.

Для розуміння таких понять як «регулярна та систематична обробка», «широкомасштабна обробка» варто звернутися до роз’яснень національних контролюючих органів у сфері захисту персональних даних або до національного законодавства держави-члена ЄС, де відбувається збір та обробка. 

Що стосується «регулярної та систематичної обробки», то основними критеріями є повторювана та продовжувана дія, направлена на збір та аналіз персональних даних.

Для розуміння «широкомасштабної обробки» варто врахувати характер діяльності компанії. 

Прикладом може бути:

• надання телекомунікаційних послуг (обробка даних про контент, трафік, місце розташування користувачів телефонних або інтернет-послуг);
• надання медичних послуг лікарнею (обробка чутливих даних пацієнтів);
• маркетингова діяльність на основі даних (ремаркетинг, таргетинг, тощо);
• профілювання для цілей оцінки ризиків (для цілей кредитного скорингу, встановлення суми страхових внесків, запобігання шахрайству);
• поведінкова реклама;
• моніторинг даних про самопочуття, фітнес та здоров’я за допомогою переносних пристроїв (смарт-годинники).

За загальним правилом, GDPR покладає головну відповідальність на контролера даних, тобто юридичну чи фізичну особу, яка визначає цілі обробки. Однак, це не позбавляє процесора, який діє лише від імені контролера та виконує чітко визначені контролером дії, обов’язку призначити DPO.

Наприклад, невеликий магазин, який займається торгівлею побутовою технікою в одному місті, користується послугами процесора, основною діяльністю якого є надання послуг з аналітики веб-сайтів та налаштування таргетованої реклами. Діяльність даного підприємства не потребує обробки даних в «великому масштабі», з огляду на невелику кількість клієнтів і відносно обмежену сферу бізнесу. Однак процесор, який має безліч клієнтів, таких як це невелике підприємство, здійснює широкомасштабну обробку. Отже, процесор повинен призначити DPO, у той час як маленький бізнес, що виступає контролером, не зобов’язаний призначати DPO.

А якщо необов’язково призначати DPO?

Провівши детальний аналіз, Ви дійшли висновку, що GDPR не накладає на Вас обов’язок призначити DPO? У такому випадку, все одно варто задуматись про спосіб забезпечення комплаєнсу з GDPR для Вашого бізнесу.

На практиці буває надзвичайно важко забезпечити виконання вимог GDPR без допомоги компетентного спеціаліста. Ба більше, відповідність GDPR – це ж не про одноразову дію чи підготовлену документацію, це про постійний контроль за бізнес процесами та захистом даних.

Тому і тут DPO може бути гарною ідеєю. Адже, DPO, як компетентна особа, яка допоможе з розробкою бізнес-процесів, стратегій розвитку та водночас прослідкує за потоком даних – може стати гарантією вашого успіху.

Функції DPO

Повертаючись до GDPR, для DPO передбачено мінімальний перелік обов’язків, а саме: 

• надання консультацій та роз’яснень компанії, що обробляє персональні дані про її зобов’язання відповідно до GDPR;
• контроль за виконанням вимог GDPR працівниками та керівниками компанії;
• співпраця з регулятором у сфері захисту персональних даних.

Тепер даавайте розглянемо детальніше основні обов’язки DPO:

1. Обов’язок щодо надання консультацій та роз’яснень охоплює:

А також, DPO залучається як помічник і стратег для запровадження нових процесів обробки даних у компанії або ж змін у структурі самої компанії. Часто може проводити додаткові вебінари та регулярні тренінги для підвищення рівня знань працівників щодо конкретних питань GDPR.

2. Контроль за виконанням вимог GDPR передбачає два основні компоненти

• Регулярні перевірки

DPO регулярно повинен перевіряти відповідність дій працівників GDPR. Сюди належать письмові звіти чи презентації працівників, незаплановані перевірки для виявлення можливих невідповідностей у зазначених звітах. 

Для контролю за ІТ-системами, важливо, щоб DPO розумів технічні вимоги до захисту персональних даних (щодо шифрування, анонімізації, псевдонімізації, тощо). 

• Оновлення документації

Також DPO повинен регулярно перевіряти та оновлювати за необхідності (поява нових контрагентів чи видів діяльності) публічні (Privacy Policy, Cookie Policy, Cookie Form, Consent Form) та конфіденційні внутрішні документи з приватності.

3. Співпраця з контролюючими органами (DPA)

DPO безпосередньо контактує із контролюючим органом держави-члена ЄС, в якій заснована компанія або представництво. 

GDPR передбачає можливість звернення DPO до контролюючих органів за роз’ясненнями та консультаціями, а також закріплює обов’язок повідомлення про інциденти у сфері безпеки.

4. На практиці, контролер або процесор може покласти і інші завдання з сфери приватності на DPO. 

Наприклад: 

• оцінка нових технологій на відповідність GDPR;
• ведення реєстру операцій з обробки персональних даних;
• юридичні консультації з приводу захисту персональних даних за законами приватності інших країн (CCPA, PIPEDA, LGPD);
• робота з запитами субʼєктів;
• перевірка та допомога при анонімізації/псевдонімізації даних;
• рекомендації щодо захисту даних у компанії, тощо.

Особливості діяльності

Існує низка вимог до діяльності DPO, виконання яких є обов’язковим та потребує окремої уваги. Розглянемо деякі з них.

Найперше, про призначення DPO, повинні бути повідомлені контролюючі органи. За не дотримання цієї вимоги, передбачається високий розмір штрафу. 

Іспанський DPA наклав штраф у розмірі 25 000 євро на компанію Glovo за те, що вона не призначила DPO, а створила «Комітет із захисту даних». Іспанський DPA не був повідомлений про це.

До речі, важливо пам’ятати, що компанії з країн, які не входять до ЄС, повинні повідомити про призначення свого DPO всі DPA в ЄС, де вони обробляють персональні дані ЄС!

По-друге, компанія зобов’язана опублікувати контактні дані DPO на веб-сайті, у своїх політиках приватності, доступних для користувачів.

Контактні дані DPO повинні включати таку інформацію як поштова адреса, спеціальний номер телефону та / або спеціальна адреса електронної пошти. За необхідності для цілей комунікації з громадськістю також можуть бути передбачені інші засоби комунікації, наприклад, спеціальна гаряча лінія або спеціальна контактна форма, адресована DPO на веб-сайті організації.

DPA Люксембургу наклала на компанію штраф у розмірі 18 700 євро. Під час свого розслідування DPA виявив низку порушень GDPR, серед яких відсутність на публічному веб-сайті контролера прямих контактних даних DPO.

Варто пам’ятати, так само як і клієнти, працівники в середині компанії повинні також мати контактні дані DPO, в разі виникнення можливих питань щодо обробки їх персональних даних.

По-третє, GDPR передбачає незалежність та неупередженість DPO. 

Виконуючи свої безпосередні обов’язки DPO не повинен отримувати жодні інструкції щодо вирішення питань приватності. Це стосується, до прикладу, вказівок як саме розслідувати чи відповідати на скаргу або порад щодо потреби у консультації з контролюючим  органом. 

Однак незалежність DPO не означає, що він чи вона мають повноваження приймати рішення щодо політики компанії в сфері захисту персональних даних. Лише контролер або процесор приймають такі рішення і як наслідок несуть відповідальність за дотримання GDPR.

Додатково, для забезпечення незалежності DPO, існує вимога відсутності конфлікту інтересів.

Бельгійський орган захисту даних (APD) оштрафував компанію на 50 000 євро за відсутність системи запобігання конфлікту інтересів DPO.  Особа, яка займала посаду DPO, обіймала численні інші посади в компанії (керівник відділу комплаєнсу та аудиту), що привело DPA до висновку, що DPO не був здатний працювати незалежно.

Питання конфлікту інтересів особливо актуальне для працівників, які виконують функції DPO за сумісництвом. У зв’язку з особливостями кожної окремої компанії, такі посади необхідно розглядати в індивідуальному порядку.

Як правило, конфліктуючі посади в можуть включати позиції вищого керівництва (наприклад, генеральний директор, CEO, головний фінансовий директор, головний медичний директор, керівник відділу маркетингу, керівник HR-відділу або керівник ІТ-відділів), а також будь-які інші, якщо такі ролі призводять до визначення цілей і засобів обробки.

DPO та представник в ЄС

Ще варто додати, що GDPR передбачає як призначення DPO, так і представника в ЄС. Важливо розуміти, що це окремі ролі, не повʼязані між собою і включають в себе різні функції.

Представник в ЄС необхідний, коли компанія не зареєстрована у ЄС (наприклад український ТОВ), але 

• постачає товари чи надає послуги особам, які перебувають в ЄС або 
• моніторить поведінку суб’єктів, яка має місце в ЄС.

GDPR не забороняє призначати одну особу і DPO, і представником в СЄ. Але в таких випадках існує великий ризик виникнення конфлікту інтересів, що може тягнути небажані наслідки (штрафні санкції) для компанії. 

Тому, якщо Ваша компанія не базується в ЄС, але при цьому обробляє дані осіб з ЄС – Вам потрібно подбати і про призначення представника, навіть якщо уже є DPO. 

Хто може стати DPO?

Компанія може призначити як співробітника, так і незалежного підрядника (External data protection officer).

Посада DPO вимагає постійної залученості, тому при виборі штатного чи позаштатного DPO бізнес повинен враховувати:

• свої масштаби; 
• об’єм та категорії обробки персональних даних; 
• інші особливості (відсутність конфлікту інтересів, фінансові можливості компанії, достатній рівень кваліфікації DPO, тощо). 

Цікавий варіант – поєднання внутрішніх фахівців із залученням зовнішнього DPO. У такому випадку, штатні працівники у сфері приватності залучені на постійній основі, а зовнішній DPO здійснює контроль, аудит та стратегічне консультування по потребі.

Так все таки штатний чи позаштатний DPO?

Якщо у Вас велика компанія з регулярною обробкою великих обсягів персональних даних, варто розглянути внутрішнього DPO або ж поєднання обох – гібридний варіант.

Якщо Ваш бізнес середнього чи малого розміру, і Ви хочете уникнути конфлікту інтересів та оптимізувати витрати, зовнішній DPO може бути кращим вибором.

Висновки

Підсумовуючи, роль DPO – це не просто формальність, а ключовий елемент захисту персональних даних та довіри до бізнесу. 

Незалежно від того, чи є призначення DPO обов’язковим для Вашої компанії, хтось таки повинен виконувати його функції для забезпечення комплаєнсу. У таких випадках, залучення зовнішніх підрядників як спеціалістів для виконання конкретних завдань приватності (аудит, розробка документації, проведення тренінгів, тощо) – залишається необхідністю. 

Як показує практика, DPO – це і експерт із приватності, і стратег, що об’єднує довіру та безпеку даних у Вашому бізнесі.

Щоб уникнути ризиків та штрафів (а вони можуть бути величезними), краще завчасно подбати про призначення DPO або навіть цілої команди, яка забезпечить повну відповідність компанії вимогам GDPR.

Якщо вам потрібна підтримка, ми готові допомогти у ролі External Data Protection Officer або як спеціалісти з приватності. 

Звертайтеся – подбаємо про ваш GDPR-комплаєнс!