+380442055410 a@legalitgroup.com м. Київ, вул. Пимоненка, 13
Data Protection Officer - основні нюанси та функції

Data Protection Officer – основні нюанси та функції

Що ж, GDPR (General data protection regulation/Загальний регламент по захисту даних) (далі – «Регламент») вже набере чинності в травні 2018 року. Особливості нового Регламенту, який спрямований на більш жорсткий захист персональних даних, ми розкрили в попередній статті .​

В даній публікації, ми хотіли б обговорити деякі нововведення в рамках GDPR, з якими суб’єктам, які  мають намір працювати з клієнтами в межах Європейського Союзу, доведеться зіштовхнутися. Однією з таких особливостей є вимога щодо призначення Інспектора по захисту даних (Data Protection Officer або ж скорочено DPO).

Слід звернути увагу, що Директивою 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних», яка діє на даний час, такої вимоги не передбачено. Новий же Регламент, за оцінками деяких експертів, вимагатиме призначення 75 000 Інспекторів по захисту даних по всьому світу задля можливості дотримання умов GDPR та контролю за використання персональних даних осіб, що знаходяться на території ЄС.​

ПРИЗНАЧЕННЯ DPO​

Чіткого визначення поняття Data Protection Officer по тексту GDPR немає, однак зі змісту Регламенту слід зрозуміти, що DPO – це особа, яка повинна призначатися контролером* та/або обробником** даних з ціллю забезпечення відповідності їхньої діяльності положенням GDPR.​

Потрібно зауважити, що обов’язок щодо призначення DPO не стосується всіх суб’єктів, які здійснюють обробку персональних даних в межах ЄС. Так, проаналізувавши положення GDPR та деякі узагальнення, що були сформовані Робочою групою 29, яка займається аналізом та узагальненням положень Регламенту, слід констатувати, що Data Protection Officer повинен призначатися в тих випадках, коли:​

  • обробка даних здійснюється органом публічної влади;
  • основні види діяльності компанії вимагають систематичного та регулярного моніторингу суб’єкт персональних даних у великих масштабах;
  • основні види діяльності передбачають обробку персональних даних у великих масштабах особливих категорій персональних даних і стосуються кримінальних засуджень та правопорушень.

Однак, положення GDPR не завжди вимагає обов’язкового призначення DPO. Наприклад, приватні підприємці або компанії не зобов’язані призначати DPO в таких випадках:​

  • основні види діяльності лише зрідка включають в себе моніторинг персональних даних з незначним порушення інтересів суб’єктів персональних даних;
  • не здійснюється обробка персональних даних особливих категорій взагалі;
  • здійснюється обробка персональних даних особливої категорії лише малої групи суб’єктів персональних даних.

Що ж стосується інших категорій суб’єктів, які провадять діяльність, що тим чи іншим чином стосується персональних даних осіб, які знаходяться на території Європейського Союзу, то на них розповсюджуються основні вимоги GDPR щодо призначення Інспектора по захисту даних і ігнорування таких вимог є небажаним.​

В даному випадку не слід забувати також, що обов’язок щодо призначення DPO, де це необхідно, також розповсюджується і на суб’єктів господарювання, які зареєстровані на території України, однак провадять діяльність та здійснюють обробку даних/моніторинг поведінки суб’єктів персональних даних на території ЄС.

Інспектор по захисту даних може бути прийнятий як в штат компанії, яка цього потребує, а також працювати як незалежний підрядник. Чітких вимого щодо форм співпраці з DPO Регламент не містить.

Data Protection Officer - основні нюанси та функції

ОБОВ’ЯЗКИ ТА ПОВНОВАЖЕННЯ DPO​

Варто звернути увагу на те, що до інспектора по захисту даних висувається цілий ряд вимог перед початком здійснення ним своєї професійної діяльності. Перш за все, така особа повинна бути професіоналом в сфері захисту персональних даних, а також розумітися на європейському та внутрішньому законодавстві. Найкращим доказом такої кваліфікації може бути сертифікат спеціаліста з захисту даних, що підтверджує професійність та який видається відповідними організаціями в межах Європейського Союзу.​

Після свого призначення або ж після укладання відповідної угоди про співпрацю/надання послуг, DPO зобов’язаний, як того вимагає стаття 39 GDPR,  здійснювати свої прямі обов’язки, основний перелік яких, але не обмежуючись, наводиться нижче:​

  • Інформування та надання консультацій контролеру, обробнику та їхнім співробітникам стосовно обов’язків щодо захисту даних;
  • Моніторинг та аналіз діяльності на відповідність умовам GDPR, включаючи розподіл обов’язків між персоналом;
  • Підвищення обізнаності та проведення тренінгів для персоналу, робота якого стосується обробки даних.

Окрім того, Інспектор по захисту даних зобов’язаний, коли цього вимагають обставини, взаємодіяти з державними наглядовими органами в сфері захисту даних, як на місцевому рівні, так і з органами, які здійснюють загальний контроль за дотримання умов GDPR в Європейському Союзі та в усьому світі загалом.​

Якщо ж після проведення аналізу своєї діяльності все ж таки буде встановлено, що ви підпадаєте під вимогу GDPR про призначення DPO, радимо вам зайнятися цим питанням найретельнішим чином, так як у разі ігнорування такої вимоги, ви може те потрапити під дію штрафних санкцій, розмір яких, як ми всі знаємо, досить не маленький.

Але, у тому разі, коли ви являєтеся представником SMEs (small and medium enterprises) і обсяг вашої діяльності не зобов’язує призначати DPO, все ж таки радимо вам мати в штаті особу, яка має достатньо кваліфікації для роботи з персональними даними ваших клієнтів або ж радимо звернутися до спеціалістів, які надають послуги по упорядкуванню даних на комерційних умовах.

*(«Контролер» (controller) – це фізична або юридична особа, державний орган, агентство або інший орган, який самостійно або спільно з іншими, визначає цілі і засоби обробки персональних даних (Стаття 4 Регламенту GDPR).)*

**(«Оброблювач» (processor) – це фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера.)**

Лишилися питання?

Запитуйте