DPO офицер или же Data protection officer и GDPR compliance
Представьте, что в любой момент, несмотря на государственные границы или…
Data Protection Officer (DPO) — это сотрудник или подрядчик, который помогает компании внедрить или поддерживать комплаенс с законодательством Евросоюза и ЕЭС касательно защиты персональных данных. Не следует путать DPO с Chief Protection Officer, Chief Privacy Officer or Chief Information Security Officer (также должность DPO не должен занимать руководитель компании).
Должность DPO была впервые представлена в Директиве по защите данных 1994 года, предшественнике GDPR. В мае 2018 года, должность стала в некоторых случаях обязательной, теперь без необходимости внесения соответствующих изменений в национальное законодательство. Если компания подпадает под требования, изложенные в Статье 37(1) GDPR (подробнее ниже), в таком случае она обязана назначить DPO.
Обучение и поддержка уровня знаний команды
DPO помогает команде пройтись по политиках защиты данных и усвоить важные моменты
Высокие результаты сотрудников подтверждают комплаенс всей компании
DPIA для новых процессов/продуктов
DPO мониторит необходимость проводить DPIA и помогает сотрудникам ее проводить
Плановая проверка документации по защите данных
DPO устанавливает график пересмотра документации и актуализирует накопленные изменения бизнес-процессов.
Изменения законов отслеживаются и вовремя переносятся на деятельность компании процесса ответа на запрос
Взаимодействие с пользователями (реакция на запросы)
DPO — одна из первых точек контакта с субъектом данных и координатор процесса ответа на запрос.
Взаимодействие с клиентами (ответы на вопросы по приватности
DPO помогает отделу продаж при переговорах с клиентом. Вместе с отделом маркетинга вкладывает уважение компании к защите данных в каждый контакт с клиентом
Взаимодействие с контролирующими органами в сфере приватности
DPO коммуницирует с надзорным органом и готовит ответы на запросы, а также мониторит, в каких случаях необходимо обратиться к органу с запросом на консультацию или оповещением об инциденте
Консалтинг по privacy
Обучение и поддержка уровня знаний команды
DPO помогает команде пройтись по политиках защиты данных и усвоить важные моменты
Высокие результаты сотрудников подтверждают комплаенс всей компании
DPIA для новых процессов/продуктов
DPO мониторит необходимость проводить DPIA и помогает сотрудникам ее проводить
Плановая проверка документации по защите данных
DPO устанавливает график пересмотра документации и актуализирует накопленные изменения бизнес-процессов.
Изменения законов отслеживаются и вовремя переносятся на деятельность компании процесса ответа на запрос
Взаимодействие с пользователями (реакция на запросы)
DPO — одна из первых точек контакта с субъектом данных и координатор процесса ответа на запрос.
Взаимодействие с клиентами (ответы на вопросы по приватности
DPO помогает отделу продаж при переговорах с клиентом. Вместе с отделом маркетинга вкладывает уважение компании к защите данных в каждый контакт с клиентом
Взаимодействие с контролирующими органами в сфере приватности
DPO коммуницирует с надзорным органом и готовит ответы на запросы, а также мониторит, в каких случаях необходимо обратиться к органу с запросом на консультацию или оповещением об инциденте
Консалтинг по privacy
Вне зависимости от того, какую роль ваша компания играет в цепочке обработки данных, и контроллер, и процессор, если подпадает под требования, изложенные в Статье 37(1) GDPR (подробнее ниже), обязан назначить DPO.
Статья 37(1) GDPR требует назначить DPO в трех конкретных случаях:
Если вы не уверены в том, что эти требования значат в отношении вашей практики обработки данных, наша команда по приватности с радостью вам поможет. Запланируйте звонок с нами, чтобы узнать больше о нашей услуге DPO as a service и понять, можем ли помочь вашей компании.
Этот список требований может быть расширен местными законами стран-членов ЕС, которые вы так же должны соблюдать. Поэтому вам нужно проверить национальное законодательство прежде чем назначать DPO (особенно в случаях если вы работаете с данными о состоянии здоровья, банковские данные, религиозная или юридическая информация или же ваша компания имеет доступ к данным, защищенными конфиденциальным режимом).
Также помните о различиях в определении пороговых значений. Например, одно \государство может определять «обработку в больших масштабах», сравнивая процентную долю пользователей в населении определенной области. Другое государство может считать «обработку в больших масштабах» при достижении определенного количества уникальных пользователей в базе данных компании.
Однако, если у вас есть сомнения, вы в любом случае можете назначить DPO.
GDPR не содержит строгих правил касательно назначения DPO. С другой стороны, в акте четко упоминается «внешний» DPO, описывая содержание сервисного договора, если вы решите привлечь к выполнению задач по приватности независимого специалиста (или даже команды специалистов).
Статья 37(5) GDPR говорит о том, что DPO должен назначаться на основании профессиональных качеств, в частности, иметь необходимый уровень экспертных знаний в защите персональных данных и достаточную компетенцию для выполнения задач, перечисленных в статье 39 GDPR. Преамбула 97 GDPR предусматривает, что необходимый уровень экспертных знаний должен определяться исходя из выполняемых операций по обработке данных и степенью защиты, необходимой для обрабатываемых персональных данных.
Другие умения включают в себя:
GDPR разъясняет, что именно контроллер данных, а не DPO, должен внедрить подходящие технические и организационные меры, чтобы обеспечить и быть способным демонстрировать, что его обработка персональных данных проводится в соответствии с GDPR. Комлпаенс с GDPR – корпоративная ответственность контроллера данных, а не DPO.
Однако контроллер данных может получить пользу от экспертных знаний DPO путем консультаций. Следовательно, DPO подчиняется топ-менеджменту компании. CEO, CFO, CISO, CLO и другие должностные лица обязаны прислушиваться к советам DPO и убедиться в том, что DPO владеет всеми необходимыми ресурсами для предоставления им актуальной информации и результатов оценки рисков.
DPO тесно связан с имиджем компаний, поскольку DPO – первое лицо, к кому обратится недовольный пользователь или журналист. Поэтому выбирайте DPO мудро.
Конечно!
Свяжитесь с одним из наших постоянных экспертов по приватности и запланируйте звонок, чтобы обсудить детали вашего проекта.
В случае необходимости мы можем подписать с вами NDA еще до звонка. Вы также можете зайти в наш офис в Киеве и насладиться пейзажем центра города за чашкой свежего кофе. Убедитесь, что вы записались на прием, чтобы мы были готовы ответить на ваши вопросы.
Представьте, что в любой момент, несмотря на государственные границы или…
Поскольку Интернет достаточно давно уже является местом, по которому государства…
Уже прошло три года с момента принятия GDPR, однако понятие…