Data Protection Officer (DPO) — это сотрудник или подрядчик, который помогает компании внедрить или поддерживать комплаенс с законодательством Евросоюза и ЕЭС касательно защиты персональных данных. Не следует путать DPO с Chief Protection Officer, Chief Privacy Officer or Chief Information Security Officer (также должность DPO не должен занимать руководитель компании).

 

Должность DPO была впервые представлена в Директиве по защите данных 1994 года, предшественнике GDPR. В мае 2018 года, должность стала в некоторых случаях обязательной, теперь без необходимости внесения соответствующих изменений в национальное законодательство. Если компания подпадает под требования, изложенные в Статье 37(1) GDPR (подробнее ниже), в таком случае она обязана назначить DPO.

DPO as a service это:

Обучение и поддержка уровня знаний команды

DPO помогает команде пройтись по политиках защиты данных и усвоить важные моменты
Высокие результаты сотрудников подтверждают комплаенс всей компании

DPIA для новых процессов/продуктов

DPO мониторит необходимость проводить DPIA и помогает сотрудникам ее проводить

Плановая проверка документации по защите данных

DPO устанавливает график пересмотра документации и актуализирует накопленные изменения бизнес-процессов.
Изменения законов отслеживаются и вовремя переносятся на деятельность компании процесса ответа на запрос

Взаимодействие с пользователями (реакция на запросы)

DPO — одна из первых точек контакта с субъектом данных и координатор процесса ответа на запрос.

Взаимодействие с клиентами (ответы на вопросы по приватности

DPO помогает отделу продаж при переговорах с клиентом. Вместе с отделом маркетинга вкладывает уважение компании к защите данных в каждый контакт с клиентом

Взаимодействие с контролирующими органами в сфере приватности

DPO коммуницирует с надзорным органом и готовит ответы на запросы, а также мониторит, в каких случаях необходимо обратиться к органу с запросом на консультацию или оповещением об инциденте

Консалтинг по privacy

Обучение и поддержка уровня знаний команды

DPO помогает команде пройтись по политиках защиты данных и усвоить важные моменты
Высокие результаты сотрудников подтверждают комплаенс всей компании

DPIA для новых процессов/продуктов

DPO мониторит необходимость проводить DPIA и помогает сотрудникам ее проводить

Плановая проверка документации по защите данных

DPO устанавливает график пересмотра документации и актуализирует накопленные изменения бизнес-процессов.
Изменения законов отслеживаются и вовремя переносятся на деятельность компании процесса ответа на запрос

Взаимодействие с пользователями (реакция на запросы)

DPO — одна из первых точек контакта с субъектом данных и координатор процесса ответа на запрос.

Взаимодействие с клиентами (ответы на вопросы по приватности

DPO помогает отделу продаж при переговорах с клиентом. Вместе с отделом маркетинга вкладывает уважение компании к защите данных в каждый контакт с клиентом

Взаимодействие с контролирующими органами в сфере приватности

DPO коммуницирует с надзорным органом и готовит ответы на запросы, а также мониторит, в каких случаях необходимо обратиться к органу с запросом на консультацию или оповещением об инциденте

Консалтинг по privacy

Тренинги &

постоянная поддержка

DPO помогает распространять знания и повышать осведомленность о GDPR внутри компании.

 

DPO – лицо, к которому обратятся в первую очередь в случае принятия сложных решений, влияющие на приватность. DPO – бесценный источник помощи во время оценки рисков.

Запросы субъектов

данных

DPO представляет компанию и ее соображения касательно приватности во время общения касательно приватности с третьими сторонами

 

DPO не только должен знать законодательство и возможности компании, но и оценивать репутационные риски и предугадывать возможные вопросы субъектов данных.

Подотчетность &

политики

DPO заботится о поддержании документации касательно обработки персональных данных в релевантном виде.

Более того, на основании советов и рекомендаций DPO определяется, необходимо ли внедрять новые практики или документально оценивать влияние на субъектов данных некоторых видов обработки данных.

Твоя DPO команда:

Катерина Дубас
Head of GDPR Department, CIPP/E. External DPO

Антон Тарасюк
Managing partner, CIPP/E. External DPO

Иван Лясковский
 IT lawyer

Игорь Котков
 IT lawyer

FAQ:

Вне зависимости от того, какую роль ваша компания играет в цепочке обработки данных, и контроллер, и процессор, если подпадает под требования, изложенные в Статье 37(1) GDPR (подробнее ниже), обязан назначить DPO.

Статья 37(1) GDPR требует назначить DPO в трех конкретных случаях:

  • Если обработка осуществляется органом публичной власти;
  • если основная деятельность контроллера или процессора состоит из операций, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах;
  • если основная деятельность контроллера или процессора заключается в обработке специальных категорий данных или персональных данных, касающихся судимости.

Если вы не уверены в том, что эти требования значат в отношении вашей практики обработки данных, наша команда по приватности с радостью вам поможет. Запланируйте звонок с нами, чтобы узнать больше о нашей услуге DPO as a service и понять, можем ли помочь вашей компании.

Этот список требований может быть расширен местными законами стран-членов ЕС,  которые вы так же должны соблюдать. Поэтому вам нужно проверить национальное законодательство прежде чем назначать DPO (особенно в случаях если вы работаете с данными о состоянии здоровья, банковские данные, религиозная или юридическая информация или же ваша компания имеет доступ к данным, защищенными конфиденциальным режимом).

Также помните о различиях в определении пороговых значений. Например, одно \государство может определять «обработку в больших масштабах», сравнивая процентную долю пользователей в населении определенной области. Другое государство может считать «обработку в больших масштабах» при достижении определенного количества уникальных пользователей в базе данных компании.

Однако, если у вас есть сомнения, вы в любом случае можете назначить DPO.

GDPR не содержит строгих правил касательно назначения DPO. С другой стороны, в акте четко упоминается «внешний» DPO, описывая содержание сервисного договора, если вы решите привлечь к выполнению задач по приватности независимого специалиста (или даже команды специалистов).

 

Статья 37(5) GDPR говорит о том, что DPO должен назначаться на основании профессиональных качеств, в частности, иметь необходимый уровень экспертных знаний в защите персональных данных и достаточную компетенцию для выполнения задач, перечисленных в статье 39 GDPR. Преамбула 97 GDPR предусматривает, что необходимый уровень экспертных знаний должен определяться исходя из выполняемых операций по обработке данных и степенью защиты, необходимой для обрабатываемых персональных данных.

 

Другие умения включают в себя:

  • Уровень знаний (в соответствующих областях).
    Мы работали з проектами в гейм-деве, сфере облачных решений, электронной коммерции, сфере онлайн-образования, рекламных технологий, а также офлайн-проектами. Ознакомиться с отзывами о нашей работе вы можете на нашей страничке в Clutch.
  • Профессиональные качества.
    Мы работаем с законами о приватности в США, Евросоюзе, Украине и других юрисдикциях. Мы – сертифицированные и опытные юристы, имеющие актуальную экспертизу в составлении ответов на запросы пользователей, помощи в проведении оценки поставщиков и провайдеров услуг, а также разработке различных договоров в контексте обработки данных.
  • Компетенция для выполнения заданий.
    У нас есть ряд услуг, которые мы можем предложить. От консультаций и составления необходимых документов до разрешения сложных судебных споров и внесудебных разбирательствах о нарушении конфиденциальности.

 

GDPR разъясняет, что именно контроллер данных, а не DPO, должен внедрить подходящие технические и организационные меры, чтобы обеспечить и быть способным демонстрировать, что его обработка персональных данных проводится в соответствии с GDPR. Комлпаенс с GDPR – корпоративная ответственность контроллера данных, а не DPO.

Однако контроллер данных может получить пользу от экспертных знаний DPO путем консультаций. Следовательно, DPO подчиняется топ-менеджменту компании. CEO, CFO, CISO, CLO и другие должностные лица обязаны прислушиваться к советам DPO и убедиться в том, что DPO владеет всеми необходимыми ресурсами для предоставления им актуальной информации и результатов оценки рисков.

DPO тесно связан с имиджем компаний, поскольку DPO – первое лицо, к кому обратится недовольный пользователь или журналист. Поэтому выбирайте DPO мудро.

Конечно!

Свяжитесь с одним из наших постоянных экспертов по приватности и запланируйте звонок, чтобы обсудить детали вашего проекта.

В случае необходимости мы можем подписать с вами NDA еще до звонка. Вы также можете зайти в наш офис в Киеве и насладиться пейзажем центра города за чашкой свежего кофе. Убедитесь, что вы записались на прием, чтобы мы были готовы ответить на ваши вопросы.

Больше о DPO здесь:

DPO офицер или же Data protection officer и GDPR compliance
GDPR: Data Protection Impact Assessment и Data Protection Officer
Data Protection Officer: функции и задачи

Твой вопрос IT юристам? Связаться с нами