DPO-as-a-service: кому та коли потрібна ця послуга?

Продуктові ІТ компанії роблять світ кращим, створюючи рішення для мільйонів людей. Робота з персональними даними користувачів є невід’ємною частиною процесів залучення і утримання клієнтів. Наприклад, у системах рекомендацій дані будуть збиратися і у системах “вам може сподобатись”, і у автоматизованих рішеннях на основі поведінки. 

Приватність — наріжний камінь сучасних ІТ компаній. Сьогодні користувачі очікують контролю над своїми даними, вони хочуть знати і розуміти, що компанія робить з інформацією про них. Ба більше — регулятор максимально підтримує їх у цьому, створюючи такі фреймворки як GDPR, LGPD, CCPA та локальні закони про приватність. 

Призначення Data Protection Officer — це момент росту організації. Наявність DPO говорить користувачам про seniority менеджменту компанії та турботу про їх приватність by default, а це, в свою чергу, означає підвищення довіри. При цьому DPO часто спонукає команди до креативності у рішеннях та постійного бізнес-аналізу, і компанія лише виграє від тримання своїх баз даних під контролем.

Що конкретно змінює DPO у житті компанії?

Прихід DPO означає, що компанія має розібратись і взяти під контроль потоки персональних даних. Функціонал DPO є наступним:

1. Проведення оцінки стану речей щодо приватності і розробка плану дій

DPO оцінює ситуацію і готує gap assessment (тобто баланс між практиками компанії та вимогами законів). Наступний крок — підготовка action plan для приведення компанії у compliance з GDPR та іншими актами. Це початок розбудови privacy program в організації. У процесі DPO знайомиться з командою, будує зв’язки і оцінює рівень обізнаності команди у питаннях приватності для подальшої роботи над нею.

2. Допомога у відповідях на запити суб’єктів даних та контролюючих органів

Якісна робота з DSRs (data subject requests, запитів юзерів зробити щось з їх даними) або ж запитами користувачів щодо можливості доступу до своїх даних, їх оновлення, видалення, тощо — практичний аспект реалізації GDPR compliance. 

Задача DPO — налаштування гармонії. З одного боку — задоволені користувачі, для яких privacy комунікація ведеться зрозуміло і прозоро, а з іншого — щаслива компанія, яка в рамках запитів діє у відповідності до регулювання, що застосовується. Також DPO — точка контакту для privacy authority, якісна комунікація з якими надважлива для юридичної безпеки компанії.

3. Лідерство і участь у privacy assestments, legitimate interest assessments та інших необхідних оцінюваннях для забезпечення privacy compliance 

Залучення DPO в Data Protection Impact Assessment (DPIA) та інші процедури, які необхідно проводити для GDPR compliance прямо передбачена в GDPR. Якість та своєчасність їх проведення є критерієм оцінки для контролюючих органів — накладати штраф чи ні, — тож роль DPO в цьому аспекті важко переоцінити. Саме DPO часто ініціює та наглядає за перебігом DPIA, допомагає команді підібрати менш інтрузивні практики роботи з даними та допомагає менеджменту оцінити ризики.

4. QA сесії щодо приватності для команди, тренінги, перевірки знань

Наявність DPO в організації дає можливість стейкхолдерам, які так чи інакше приймають рішення щодо обробки персональних даних компанією, проконсультуватись з експертом щодо своїх рішень та їх наслідків для compliance організації. Також DPO ініціює розвиток культури “privacy first” і проводить постійні заходи з підвищення обізнаності команди про закони і найкращі практики на ринку.

5. Участь у оцінці підрядників та демонстрація privacy compliance компанії для клієнтів

DPO допомагає у розробці й впровадженні процедури оцінки підрядників компанії на предмет GDPR compliance, як того вимагає GDPR. Також DPO формує інструменти і приймає участь у підборі інструментів для демонстрації GDPR/privacy compliance при маркетингу та продажах сервісів чи продуктів компанії.

6. Розробка та оновлення privacy політик, процедур, угод 

DPO розробляє документацію для реального управління приватністю в компанії. Політики щодо доступів, передачі, зберігання та знищення даних та інші документи вплітаються в процеси щодо роботи з персональними даними. 

7. Контроль за програмою приватності та проведення regular checks 

Буває, що всі розроблені privacy документи директор компанії кладе у шухляду, де їх ніхто і ніколи не бачить. Це означає, що де-факто privacy program не діє, а, отже, — немає ні GDPR compliance, ні захисту прав суб’єктів даних. Одне з завдань DPO — це розробити та впровадити метрики контролю за фактичною реалізацією програми приватності. Такий підхід — це додаткове та необхідне підтвердження compliance як для себе, так і для контролюючих органів. 

Коли потрібен DPO?

• Коли цього вимагає GDPR або закон країни: якщо ваша компанія обробляє багато даних, збирає їх з публічних місць або коли ці дані чутливі.
• Коли бізнес-модель компанії базується на інноваційних способах обробки — щоб переконатися, що жодні закони не порушуються (і переконати в цьому клієнтів та партнерів). 
• Коли компанія масштабується настільки, що необхідно мати радника, який може постійно дбати про комплаєнс та слідкувати за новинками. 
• Коли планується новий амбіційний проєкт, для якого критично важливо завоювати довіру користувачів і тримати з ними позитивний контакт (а отже, вміти фахово надати їм юридичну підтримку). 
• Коли хочеться впевнитися, що всі працівники обізнані і підтримують культуру поваги до чужої приватності як вияв соціальної спрямованості компанії. 
• Коли треба навести лад у документах, бізнес-практиках, комунікації цінностей компанії світові та навіть текстів на сайтах.

Час прийняти рішення про призначення DPO вже зараз!

Звертайтесь до нас за адресою a@legalitgroup.com. Нехай це буде першим кроком до побудови успішної privacy program у Вашій компанії!

01/09/2023