DPO as Service

Вне зависимости от того, какую роль ваша компания играет в цепочке обработки данных, и контроллер, и процессор, если подпадает под требования, изложенные в Статье 37(1) GDPR (подробнее ниже), обязан назначить DPO.

Статья 37(1) GDPR требует назначить DPO в трех конкретных случаях:

• Если обработка осуществляется органом публичной власти;
• если основная деятельность контроллера или процессора состоит из операций, которые требуют регулярного и систематического мониторинга субъектов данных в больших масштабах;
• если основная деятельность контроллера или процессора заключается в обработке специальных категорий данных или персональных данных, касающихся судимости.

Если вы не уверены в том, что эти требования значат в отношении вашей практики обработки данных, наша команда по приватности с радостью вам поможет. Запланируйте звонок с нами, чтобы узнать больше о нашей услуге DPO as a service и понять, можем ли помочь вашей компании.

Этот список требований может быть расширен местными законами стран-членов ЕС,  которые вы так же должны соблюдать. Поэтому вам нужно проверить национальное законодательство прежде чем назначать DPO (особенно в случаях если вы работаете с данными о состоянии здоровья, банковские данные, религиозная или юридическая информация или же ваша компания имеет доступ к данным, защищенными конфиденциальным режимом).

Также помните о различиях в определении пороговых значений. Например, одно \государство может определять «обработку в больших масштабах», сравнивая процентную долю пользователей в населении определенной области. Другое государство может считать «обработку в больших масштабах» при достижении определенного количества уникальных пользователей в базе данных компании.

Однако, если у вас есть сомнения, вы в любом случае можете назначить DPO.

GDPR не содержит строгих правил касательно назначения DPO. С другой стороны, в акте четко упоминается «внешний» DPO, описывая содержание сервисного договора, если вы решите привлечь к выполнению задач по приватности независимого специалиста (или даже команды специалистов).

Статья 37(5) GDPR говорит о том, что DPO должен назначаться на основании профессиональных качеств, в частности, иметь необходимый уровень экспертных знаний в защите персональных данных и достаточную компетенцию для выполнения задач, перечисленных в статье 39 GDPR. Преамбула 97 GDPR предусматривает, что необходимый уровень экспертных знаний должен определяться исходя из выполняемых операций по обработке данных и степенью защиты, необходимой для обрабатываемых персональных данных.

Другие умения включают в себя:

• Уровень знаний (в соответствующих областях).
  Мы работали з проектами в гейм-деве, сфере облачных решений, электронной коммерции, сфере онлайн-образования, рекламных технологий, а также офлайн-проектами. Ознакомиться с отзывами о нашей работе вы можете на нашей страничке в Clutch.
• Профессиональные качества.
  Мы работаем с законами о приватности в США, Евросоюзе, Украине и других юрисдикциях. Мы – сертифицированные и опытные юристы, имеющие актуальную экспертизу в составлении ответов на запросы пользователей, помощи в проведении оценки поставщиков и провайдеров услуг, а также разработке различных договоров в контексте обработки данных.
• Компетенция для выполнения заданий.
  У нас есть ряд услуг, которые мы можем предложить. От консультаций и составления необходимых документов до разрешения сложных судебных споров и внесудебных разбирательствах о нарушении конфиденциальности.

GDPR разъясняет, что именно контроллер данных, а не DPO, должен внедрить подходящие технические и организационные меры, чтобы обеспечить и быть способным демонстрировать, что его обработка персональных данных проводится в соответствии с GDPR. Комлпаенс с GDPR – корпоративная ответственность контроллера данных, а не DPO.

Однако контроллер данных может получить пользу от экспертных знаний DPO путем консультаций. Следовательно, DPO подчиняется топ-менеджменту компании. CEO, CFO, CISO, CLO и другие должностные лица обязаны прислушиваться к советам DPO и убедиться в том, что DPO владеет всеми необходимыми ресурсами для предоставления им актуальной информации и результатов оценки рисков.

DPO тесно связан с имиджем компаний, поскольку DPO – первое лицо, к кому обратится недовольный пользователь или журналист. Поэтому выбирайте DPO мудро.

Конечно!

Свяжитесь с одним из наших постоянных экспертов по приватности и запланируйте звонок, чтобы обсудить детали вашего проекта.

В случае необходимости мы можем подписать с вами NDA еще до звонка. Вы также можете зайти в наш офис в Киеве и насладиться пейзажем центра города за чашкой свежего кофе. Убедитесь, что вы записались на прием, чтобы мы были готовы ответить на ваши вопросы.