Data Protection Officer: функции и задачи
GDPR только в общих чертах определяет когда именно нужен DPO и границы его компетенции.
В этой статье мы подробно расскажем что же представляет собой DPO на практике и какие основные предпочтения внештатного DPO.
Назначить DPO — требование GDPR
Если взглянуть на статью 4 GDPR, то определение DPO там не найти. Однако статьи 37-39 непосредственно посвященные этому понятию.
DPO является обязательным при наличии хотя бы одного из следующих условий:
• основная бизнес-деятельность компании состоит из операций для которых необходима регулярная и систематическая обработка больших объемов персональных данных;
• основная бизнес деятельность компании включает в себя широкомасштабную обработку чувствительных данных, как определено в статье 9, и данных о совершенных преступлений и проступках.
Если со вторым условием, все более или менее понятно, то с учетом формулировки первого, сложно определить конкретные требования, ведь GDPR не объясняет, что представляет собой «регулярная» и «систематическая» обработка, а тем более, какой объем данных считается «большим и широкомасштабным ». Для понимания этого аспекта необходимо обратиться к разъяснениям национальных контролирующих органов в сфере защиты персональных данных или к национальному законодательству государства-члена ЕС, где происходит сбор и обработка.
Учитывая отсутствие конкретной цифры, для понимания, приведем несколько примеров «широкомасштабной» обработки:
• обработка данных пациентов медицинским учреждением;
• обработка геолокации клиентов заведениями питания во время доставки еды;
• обработка данных клиентов страховой компанией или банком;
• обработка персональных данных ремаркетинга и таргетинга;
• обработка данных (контент, трафик, место расположения) поставщиками телефонных или интернет-услуг.
Что же касается регулярной и систематической обработки, то основными критериями являются повторяющееся и продолжительное действие, направленное на сбор и анализ персональных данных.
Конечно, все зависит от характера деятельности контроллера или процессора, но примером может быть:
• предоставление телекоммуникационных услуг;
• маркетинговая деятельность на основе данных;
• профилирование для целей оценки рисков (например, для кредитного скоринга, установления суммы страховых взносов, предотвращения мошенничества)
• поведенческая реклама;
• мониторинг данных о самочувствии, фитнес и здоровье с помощью переносных устройств (смарт-часы).
По GDPR главная ответственность возлагается на контролера данных, то есть юридическое или физическое лицо, который и определяет цели обработки. Однако, это не лишает процессора, действующего только от имени контроллера который выполняет четко определенные контроллером действия, обязанности назначить DPO.
Например, небольшой магазин, который занимается торговлей бытовой техникой в одном городе, пользуется услугами процессора, основной деятельностью которого является предоставление услуг по аналитике веб-сайтов и настройка таргетированной рекламы. Деятельность данного предприятия не требует обработки данных в «большом масштабе», учитывая небольшое количество клиентов и относительно ограниченную сферу бизнеса. Однако процессор, который имеет множество клиентов, таких как это небольшое предприятие, осуществляет широкомасштабную обработку. Соответственно, процессор должен назначить DPO, в то время как маленький бизнес, выступающий контролером, не обязан назначать DPO.
Даже если GDPR не обязывает Вас, назначать DPO — хорошая идея.
На практике обеспечить выполнение требований GDPR без помощи компетентного специалиста чрезвычайно трудно. Эта деятельность не может быть дополнительной, она требует постоянного контроля, внимания и особых знаний.
Компания может назначить как сотрудника, так и независимого подрядчика. DPO необязательно должен быть юристом, чтобы досконально разбираться не только в GDPR, но и в остальном законодательстве по персональным данным. Однако, управление внутренними процессами в контексте защиты персональных данных требует постоянной вовлеченности, что в случае со штатным DPO почти невозможно по ряду причин (выполнение основных рабочих обязанностей, ограниченность во времени, зависимость от руководства).
Внештатный DPO (External data protection officer):
- Независимость в принятии решений и предоставлении консультаций. Внештатный DPO прежде всего заинтересован в выполнении требований GDPR, а не довольны интересов руководства;
- Непрерывное повышение компетенции и знаний. Так как сфера защиты персональных данных ежегодно стремительно развивается, независимый DPO принимает активное участие в этом процессе, чтобы предоставлять качественные услуги и быть конкурентным на рынке, ведь это его основная деятельность в отличие от работника, который выполняет обязанности
Активное внедрение лучших практик и постоянное обучение. Внештатный DPO может сотрудничать с другими компаниями из различных сфер, помогает ему шире охватывать сферу защиты персональных данных и быстро реагировать на возможные проблемы.
Data protection officer: подконтрольный или независимый?
Раскрывая вопрос беспристрастности DPO, стоит отметить, что статья 38 (3) GDPR предусматривает гарантии независимости DPO, помогающие выполнять ему свои задачи с достаточной степенью автономии в рамках организации. В частности, контроллеры или процессоры должны гарантировать, что DPO не получает никаких инструкций по выполнению его или ее задач, независимо от того, являются ли они сотрудниками компании.
Это означает, что выполняя свои непосредственные обязанности DPO не должен получать инструкции о том, как решать вопросы, например, какой результат должен быть достигнут, как расследовать или отвечать на жалобу или нужно ли проконсультироваться с надзорным органом. Также, контроллер или процессор не могут рекомендовать DPO принять определенную точку зрения по вопросам, связанных с защитой персональных данных.
Однако независимость DPO не означает, что он или она имеют полномочия принимать решения по политике компании в сфере защиты персональных данных. Только контроллер или процессор несут ответственность за соблюдение GDPR.
Вопрос конфликта интересов особенно актуален для работников, выполняющих функции DPO по совместительству. Это предполагает, что DPO не может занимать позицию, которая побуждает его или ее определять цели и средства обработки персональных данных, исходя из интересов компании. В связи с особенностями организационной структуры каждого предприятия, такие должности необходимо рассматривать в индивидуальном порядке.
Как правило, конфликтующими должностями могут быть позиции высшего руководства (например, генеральный директор, CEO, главный финансовый директор, главный медицинский директор, руководитель отдела маркетинга, руководитель HR-отдела или руководитель ИТ-отделов), а также любые другие, если такие роли приводят к определению целей и средств обработки.
Поэтому, перед назначением DPO, следует осуществить следующие шаги:
- четко определить позиции, несовместимые с функциями DPO;
- разработать внутренние правила процедуры определения, во избежания конфликта интересов;
- установить, что выбранный из числа работников DPO, не имеет конфликта интересов;
- разработать механизм во внутренних правилах организации, чтобы исключить конфликт интересов;
- определить в договоре о предоставлении услуг, что именно является конфликтом интересов, критерии его определения и последствия умышленного сокрытия для сторон.
Функции Data protection officer
Возвращаясь к GDPR, статья 39 предоставляет минимальный перечень обязанностей, которые должны выполняться DPO, а именно:
- предоставление консультаций и разъяснений компании, собирает и / или обрабатывает персональные данные о ее обязательствах в соответствии с GDPR;
- контролировать выполнение требований GDPR работниками и руководителями компании;
сотрудничать с контролирующими органами в сфере защиты персональных данных.
Поэтому, давайте рассмотрим каждый из пунктов по очереди.
1) Предоставление консультаций и разъяснений
Прежде всего DPO должен ознакомиться со структурой компании и обязанностями сотрудников, взаимодействующих с персональными данными. Следующий шаг — определение категорий данных и их объема при работе соответствующего работника или департамента. Исходя из этих знаний, DPO должен провести тренинг с каждой отдельной группой сотрудников, на котором он объяснит их обязанности в соответствии с GDPR.
2) Контроль за выполнением требований GDPR
После четкого распределения и ознакомления с обязанностями, DPO должен регулярно проверять соответствие действий работников положениям GDPR. Например, работники могут предоставлять письменные отчеты или презентации по соблюдению требований раз в месяц или неделю. Также DPO может устраивать незапланированные проверки, чтобы выявить возможные несоответствия указанному в отчете. GDPR не устанавливает стандарта проверки, поэтому чрезвычайно важно, чтобы DPO владел обширными знаниями не только GDPR, а понимал технические требования к защите персональных данных (шифрование, анонимизация, псевдонимизация).
Также DPO должен регулярно проверять и обновлять по мере необходимости (например, появление новых контрагентов или видов деятельности) публичные (Privacy Policy, Cookie Policy, Cookie Form, Consent Form) и конфиденциальные внутренние документы по приватности. DPO, оценивая природу деятельности компании, принимает решение о необходимости проведения DPIA и помогает его проводить работникам.
3) Сотрудничество с контролирующими органами
DPO непосредственно контактирует с контролирующим органом государства-члена ЕС, в котором основана компания или учреждение. DPO обращается за разъяснениями и консультациями в орган, а также, в случае инцидентов безопасности, обязательно сообщает ему о них.
DPO предоставляет юридические консультации по поводу защиты персональных данных не только по GDPR, но и касательно других законодательных актов (CCPA, PIPEDA, LGPD).
Поэтому, на практике DPO выполняет много функций и задач, поэтому чаще всего он представляет собой не одного человека, а целую команду специалистов, которые помогают не получать многотысячные штрафы.
DPO — контактное лицо для коммуникации с субъектами данных
Кроме вышеупомянутых функций, DPO контактирует с пользователями и отвечает на их запросы. Конечно, DPO не самостоятельно отписывает на каждое письмо, а инструктирует команду поддержки или отдел обращений как правильно реагировать на жалобы и просьбы клиентов.
В соответствии со статьей 37 (7) GDPR контроллер или процессор должны:
- опубликовать контактные данные DPO в своих политиках приватности, доступных для пользователей и
- сообщить контактные данные DPO в соответствующие надзорных органов.Целью этих требований является обеспечение того, чтобы субъекты данных (как внутри, так и вне организации) и надзорные органы могли легко и непосредственно связываться с DPO.
Контактные данные DPO должны включать информацию, позволяющую субъектам данных и контролирующим органам легко добраться до DPO (почтовый адрес, специальный номер телефона и / или специальный адрес электронной почты). При необходимости для целей коммуникации с общественностью также могут быть предусмотрены другие средства коммуникации, например, специальная горячая линия или специальный телефон, адресованный DPO на сайте организации.
GDPR не требует, чтобы контактные данные для связи с компании по вопросам приватности содержали название DPO.
Так же как и клиенты, работники внутри компании должны иметь контактные данные DPO, в случае возникновения возможных вопросов касающихся их персональных данных.
Поэтому, DPO — это профессионал или группа профессионалов, которые заботятся о законности деятельности компании в сфере персональных данных.