Data Protection Officer - основні нюанси та функції

Data Protection Officer – основные нюансы и функции

Что ж, GDPR (General data protection regulation / Общий регламент по защите данных) (далее — «Регламент») уже вступит в силу в мае 2018 года. Особенности нового Регламента, который направлен на более жесткую защиту персональных данных, мы раскрыли в предыдущей статье.

В данной публикации мы хотели бы обсудить некоторые нововведения в рамках GDPR, с которыми субъектам, которые намерены работать с клиентами в рамках Европейского Союза, придется столкнуться. Одной из таких особенностей является требование о назначении Инспектора по защите данных (Data Protection Officer или сокращенно DPO).

Следует обратить внимание, что Директивой 95/46 / ЕС Европейского Парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных», которая действует в настоящее время, такого требования не предусмотрено. Новый же Регламент, по оценкам некоторых экспертов, потребует назначения 75000 Инспекторов по защите данных по всему миру для возможности соблюдения условий GDPR и контроля за использованием персональных данных лиц, находящихся на территории ЕС.

 

Назначение DPO

Четкого определения понятия Data Protection Officer по тексту GDPR нет, однако по содержанию Регламента следует понять, что DPO — это лицо, которое должно назначаться контроллером * и / или обработчиком ** данных с целью обеспечения соответствия их деятельности положениям GDPR.

Нужно заметить, что обязанность по назначению DPO не касается всех субъектов, осуществляющих обработку персональных данных в пределах ЕС.

Так, проанализировав положения GDPR и некоторые обобщения, которые были сформированы Рабочей группой 29, которая занимается анализом и обобщением положений Регламента, следует констатировать, что Data Protection Officer должен назначаться в тех случаях, когда:

  • обработка данных осуществляется органом публичной власти;
  • основные виды деятельности компании требуют систематического и регулярного мониторинга субъект персональных данных в больших масштабах;
  • основные виды деятельности предусматривают обработку персональных данных в больших масштабах особых категорий персональных данных и касаются уголовных осуждений и правонарушений.Однако, положение GDPR не всегда требует обязательного назначения DPO. Например, частные предприниматели или компании не обязаны назначать DPO в следующих случаях:
  • основные виды деятельности лишь изредка включают в себя мониторинг персональных данных с незначительным нарушения интересов субъектов персональных данных;
  • не производится обработка персональных данных особых категорий вообще;
    осуществляется обработка персональных данных особой категории только малой группы субъектов персональных данных.Что же касается других категорий субъектов, осуществляющих деятельность, так или иначе касается персональных данных лиц, находящихся на территории Европейского Союза, то на них распространяются основные требования GDPR при назначении Инспектора по защите данных и игнорирование таких требований является нежелательным.

В данном случае не следует забывать также, что обязанность по назначению DPO, где это необходимо, также распространяется и на субъектов хозяйствования, зарегистрированных на территории Украины, однако осуществляют деятельность и осуществляют обработку данных / мониторинг поведения субъектов персональных данных на территории ЕС.

Инспектор по защите данных может быть принят как в штат компании, которая в этом нуждается, а также работать как независимый подрядчик. Четких требований относительно формы сотрудничества с DPO Регламент не содержит.

Data Protection Officer - основні нюанси та функції

Обязанности и полномочия DPO
Стоит обратить внимание на то, что инспектора по защите данных выдвигается целый ряд требований перед началом осуществления им своей профессиональной деятельности. Прежде всего, такое лицо должно быть профессионалом в сфере защиты персональных данных, а также разбираться в европейском и внутреннем законодательстве. Лучшим доказательством такой квалификации может быть сертификат специалиста по защите данных, подтверждает профессионализм и который выдается соответствующими организациями в пределах Европейского Союза.

После своего назначения или после заключения соответствующего соглашения о сотрудничестве / оказания услуг, DPO обязан, как того требует статья 39 GDPR, осуществлять свои прямые обязанности, основной перечень которых, но не ограничиваясь, приводится ниже:

  • Информирование и консультирование контроллеру, обработчик и их сотрудникам в отношении обязанностей по защите данных;
  • Мониторинг и анализ деятельности на соответствие условиям GDPR, включая распределение обязанностей между персоналом;
  • Повышение осведомленности и проведение тренингов для персонала, работа которого касается обработки данных.Кроме того, Инспектор по защите данных обязан, когда этого требуют обстоятельства, взаимодействовать с государственными надзорными органами в сфере защиты данных, как на местном уровне, так и с органами, осуществляющими общий контроль за соблюдением условий GDPR в Европейском Союзе и во всем мире в целом.

Если после проведения анализа своей деятельности все же будет установлено, что вы подпадаете под требование GDPR о назначении DPO, советуем вам заняться этим вопросом самым тщательным образом, так как в случае игнорирования этого требования, вы может то попасть под действие штрафных санкций, размер которых , как мы все знаем, достаточно не маленький.

Но, в том случае, когда вы являетесь представителем SMEs (small and medium enterprises) и объем вашей деятельности не обязывает назначать DPO, все же советуем вам иметь в штате лицо, имеющее достаточно квалификации для работы с персональными данными ваших клиентов или же советуем обратиться к специалистам, которые предоставляют услуги по упорядочению данных на коммерческих условиях.

* ( «Контролер» (controller) — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных (статья 4 Регламента GDPR).) *

** ( «Обработчик» (processor) — это физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контроллера.) **

Бесплатная первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?