Data protection officer: функції та завдання
Вже минуло три роки з моменту прийняття GDPR, однак поняття Data Protection Officer (DPO) поки що для багатьох залишається незрозумілим.
GDPR лише загально визначає коли саме потрібен DPO та межі його компетенцій.
У цій статті ми детально розкажемо що ж являє собою DPO на практиці та які основні преваги позаштатного DPO.
Призначити DPO – вимога GDPR
Якщо поглянути на статтю 4 GDPR, то визначення DPO там не знайти. Однак статті 37-39 безпосередньо присвячені цьому поняттю.
DPO є обов’язковим за наявності хоча б однієї наступних умов:
• основна бізнес діяльність компанії складається з операцій для яких необхідна регулярна та систематична обробка великих об’ємів персональних даних;
• основа бізнес діяльність компанії включає в себе широкомасштабну обробку чутливих даних, як визначено в статті 9, та даних щодо скоєних злочинів та проступків.
Якщо з другою умовою, все більш-менш зрозуміло, то з огляду на формулювання першої, складно визначити конкретні вимоги, адже GDPR не пояснює що являє собою «регулярна» та «систематична» обробка, тим більше який об’єм даних вважається «великим та широкомасштабним». Для розуміння необхідно звернутися до роз’яснень національних контролюючих органів у сфері захисту персональних даних або до національного законодавства держави-члена ЄС, де відбувається збір та обробка.
З огляду на відсутність конкретної цифри, для кращого розуміння, можна навести декілька прикладів «широкомасштабної» обробки:
• обробка даних пацієнтів медичним закладом;
• обробка геолокації клієнтів закладами харчування під час доставки їжі;
• обробка даних клієнтів страховою компанією або банком;
• обробка персональних даних для ремаркетингу та таргетингу;
• обробка даних (контент, трафік, місце розташування) постачальниками телефонних або інтернет-послуг.
Що ж стосується регулярної та систематичної обробки, то основними критеріями є повторювана та продовжувана дія, направлена на збір та аналіз персональних даних.
Звісно, все залежить від характеру діяльності контролера або процесора, але прикладом може бути:
• надання телекомунікаційних послуг;
• маркетингова діяльність на основі даних;
• профілювання для цілей оцінки ризиків (наприклад, для цілей кредитного скорингу, встановлення суми страхових внесків, запобігання шахрайству);
• поведінкова реклама;
• моніторинг даних про самопочуття, фітнес та здоров’я за допомогою переносних пристроїв (смарт-годинники).
GDPR покладає головну відповідальність на контролера даних, тобто юридичну чи фізичну особу, яка визначає цілі обробки. Однак, це не позбавляє процесора, який діє лише від імені контролера та виконує чітко визначені контролером дії, обов’язку призначити DPO.
Наприклад, невеликий магазин, який займається торгівлею побутовою технікою в одному місті, користується послугами процесора, основною діяльністю якого є надання послуг з аналітики веб-сайтів та налаштування таргетованої реклами. Діяльність даного підприємства не потребує обробки даних в «великому масштабі», з огляду на невелику кількість клієнтів і відносно обмежену сферу бізнесу. Однак процесор, який має безліч клієнтів, таких як це невелике підприємство, здійснює широкомасштабну обробку. Отже, процесор повинен призначити DPO, у той час як маленький бізнес, що виступає контролером, не зобов’язаний призначати DPO.
Навіть, якщо GDPR не накладає на Вас такий обов’язок, призначати DPO- гарна ідея.
На практиці забезпечити виконання вимог GDPR без допомоги компетентного спеціаліста надзвичайно важко. Ця діяльність не може бути додатковою, вона вимагає постійного контролю, уваги та особливих знань.
Компанія може призначити як співробітника, так і незалежного підрядника. DPO не обов’язково повинен бути юристом, щоб досконально розбиратися не тільки в GDPR, а й в решті законодавства з персональних даних. Однак, управління внутрішніми процесами в контексті захисту персональних даних вимагає постійної залученості, що у випадку зі штатним DPO майже неможливо з ряду причин (виконання основних робочих обов’язків, обмеженість у часі, залежність від керівництва).
Позаштатний DPO (External data protection officer):
- незалежність у прийнятті рішень та наданні консультацій. Позаштатний DPO перш за все зацікавлений у виконанні вимог GDPR, а не задоволені інтересів керівництва;
- безперервне підвищення компетенції та знань. Так як сфера захисту персональних даних щороку стрімко розвивається, незалежний DPO приймає активну участь в цьому процесі, щоб надавати якісні послуги та бути конкурентним на ринку, адже це його основна діяльність на відміну від працівника, який виконує обов’язки
- активне впровадження найкращих практик та постійне навчання. Позаштатний DPO може співпрацювати з іншими компаніями з різноманітних сфер, що допомагає йому ширше охоплювати сферу захисту персональних даних та швидко реагувати на можливі проблеми.
Data protection officer: підконтрольний чи незалежний?
Розкриваючи питання неупередженості DPO, варто зазначити, що стаття 38 (3) GDPR передбачає гарантії незалежності DPO, що допомагають виконувати йому свої завдання з достатнім ступенем автономії в рамках організації. Зокрема, контролери чи процесори повинні гарантувати, що DPO не отримує ніяких інструкцій щодо виконання його або її завдань, незалежно від того, чи є вони співробітниками компанії.
Це означає, що виконуючи свої безпосередні обов’язки DPO не повинен отримувати жодні інструкції про те, як вирішувати питання, наприклад, який результат повинен бути досягнутий, як розслідувати чи відповідати скаргу або чи потрібно проконсультуватися з наглядовим органом. Також, контролер чи процесор не можуть рекомендувати DPO прийняти певну точку зору щодо питаннь, пов’язаних із захистом персональних даних.
Однак незалежність DPO не означає, що він чи вона мають повноваження приймати рішення щодо політики компанії в сфері захисту персональних даних. Лише контролер або процесор несуть відповідальність за дотримання GDPR.
Питання конфлікту інтересів особливо актуальне для працівників, які виконують функції DPO за сумісництвом. Це передбачає, що DPO не може займати позицію, яка спонукає його або її визначати цілі і засоби обробки персональних даних, виходячи із інтересів компанії. У зв’язку з особливостями організаційної структури кожного підприємства, такі посади необхідно розглядати в індивідуальному порядку.
Як правило, конфліктуючі посади в можуть включати позиції вищого керівництва (наприклад, генеральний директор, CEO, головний фінансовий директор, головний медичний директор, керівник відділу маркетингу, керівник HR-відділу або керівник ІТ-відділів), а також будь-які інші, якщо такі ролі призводять до визначення цілей і засобів обробки.
Тож, перед призначенням DPO, варто здійснити наступні кроки:
- чітко визначити позиції, несумісні з функціями DPO;
- розробити внутрішні правила процедури визначення, щоб уникнути конфлікту інтересів;
- встановити, що обраний із числа працівників DPO, не має конфлікту інтересів;
- розробити запобіжні механізми, щоб унеможливити конфлікт інтересів у внутрішніх правилах організації;
- визначити у договорі про надання послуг, що саме є конфліктом інтересів, критерії його визначення та наслідки навмисного приховування для сторін.
Функції Data protection officer
Повертаючись до GDPR, стаття 39 надає мінімальний перелік обов’язків, які повинні виконуватися DPO, а саме:
- надання консультацій та роз’яснень компанії, що збирає та/або обробляє персональні дані про її зобов’язання відповідно до GDPR;
- контролювати виконання вимог GDPR працівниками та керівниками компанії;
- співпрацювати з контролюючими органами у сфері захисту персональних даних.
Тож, давайте розглянемо кожен із пунктів по черзі.
1) Надання консультацій та роз’яснень
Перш за все DPO повинен ознайомитися зі структурою компанії та обов’язками співробітників, що взаємодіють з персональними даними. Наступний крок- визначення категорій даних та їх об’єму при роботі відповідного працівника чи департаменту. Виходячи із цих знань, DPO повинен провести тренінг із кожною окремою групою співробітників, на якому він пояснює їх обов’язки відповідно до GDPR.
2) Контроль за виконанням вимог GDPR
Після чіткого розподілу та ознайомлення з обов’язками, DPO регулярно повинен перевіряти відповідність дій працівників GDPR. Наприклад, працівники можуть надавати письмові звіти чи презентації щодо дотримання вимог раз на місяць чи тиждень. Також DPO може влаштовувати незаплановані перевірки, щоб виявити можливі невідповідності зазначеному у звіті. GDPR не встановлює стандарту перевірки, тому надзвичайно важливо, щоб DPO володів широкими знаннями не лише GDPR, а розумів технічні вимоги до захисту персональних даних (шифрування, анонімізація, псевдонімізація).
Також DPO повинен регулярно перевіряти та оновлювати за необхідності (поява нових контрагентів чи видів діяльності) публічні (Privacy Policy, Cookie Policy, Cookie Form, Consent Form) та конфіденційні внутрішні документи з приватності. DPO, оцінюючи природу діяльності компанії, вирішує чи необхідно проводити DPIA та допомагає його проводити працівникам.
3) Співпраця з контролюючими органами
DPO безпосередньо контактує із контролюючим органом держави-члена ЄС, в якій заснована компанія або представництво. DPO звертається за роз’ясненнями та консультаціями до органу, а також у випадку інцидентів безпеки обов’язково його повідомляє.
DPO надає юридичні консультації з приводу захисту персональних даних не тільки щодо GDPR, а й інших законодавчих актів (CCPA, PIPEDA, LGPD).
Тож, на практиці DPO виконує багато функцій та завдань, тому найчастіше він являє собою не одну людину, а цілу команду спеціалістів, котрі допомагають не отримувати багатотисячні штрафи.
DPO – контактна особа для комунікації з суб’єктами даних
Окрім вищезазначених функцій, DPO контактує з користувачами та відповідає на їх запити. Звісно, DPO не самостійно відписує на кожен лист, а інструктує команду підтримки чи відділ звернень як правильно реагувати на скарги та прохання клієнтів.
Відповідно до статті 37 (7) GDPR контролер або процесор повинні:
- опублікувати контактні дані DPO у своїх політиках приватності, доступних для користувачів і
- повідомити контактні дані DPO до відповідних наглядових органів.
Метою цих вимог є забезпечення того, щоб суб’єкти даних (як всередині, так і за межами організації) і наглядові органи могли легко і безпосередньо зв’язуватися з DPO
Контактні дані DPO повинні включати інформацію, що дозволяє суб’єктам даних та контролюючим органам легко дістатися до DPO (поштова адреса, спеціальний номер телефону та / або спеціальна адреса електронної пошти). За необхідності для цілей комунікації з громадськістю також можуть бути передбачені інші засоби комунікації, наприклад, спеціальна гаряча лінія або спеціальна контактна форма, адресована DPO на веб-сайті організації.
GDPR не вимагає, щоб контактні дані для зв’язку з компанію з питань приватності містили назву DPO.
Так само як і клієнти, працівники в середині компанії повинні мати контактні дані DPO, в разі виникнення можливих питань щодо їх персональних даних.
Тож, DPO це професіонал або група професіоналів, які піклуються про законність діяльності компанії у сфері персональних даних.