Data Protection Officer (DPO) – це співробітник або підрядник, який допомагає компанії впровадити або підтримувати комплаєнс з законодавством Євросоюзу та ЄЕС щодо захисту персональних даних. 

Не слід плутати DPO з Chief Protection Officer, Chief Privacy Officer або Chief Information Security Officer (також зверніть увагу, що посаду DPO не повинен займати керівник компанії).

Посада DPO була вперше представлена в Директиві щодо захисту даних 1994 року, що є попередником GDPR. У травні 2018 року, посада в деяких випадках стала обов’язковою, тепер без необхідності внесення відповідних змін до національного законодавства.

Тож якщо компанія підпадає під вимоги, викладені в статті 37 (1) GDPR (докладніше нижче), в такому випадку вона зобов’язана призначити DPO.

DPO as a service це:

Навчання та підтримка знань командою

DPO допомагає команді переглянути політики захисту персональних даних і засвоїти важливі моменти

Високі результати працівників підтверджують комплаєнс всієї компанії

DPIA для нових процесів/продуктів

DPO моніторить необхідність проводити DPIA і допомагає команді у проведенні

Планова перевірка документації з питань захисту даних

DPO встановлює графік перегляду документаціїі актуалізує накопичені зміни і доповнення. Відслідковується зміна законодавства і вчасно переноситься у практики обробки даних компанією

Взаємодія з користувачами (реакція на запити)

DPO – одна з перших точок контакту з суб’єктом даних і координатор процесу відповіді на його чи її запит

Взаємодія з клієнтами (відповіді на питання з приватності)

DPO допомагає відділу продажів при перемовинах. Разом з відділом маркетингу вкладає повагу до захисту персональних даних у кожен контакт з клієнтом.

Взаємодія з контролюючими органами у сфері приватності

DPO комунікує з наглядовим органом і готує відповіді на запитання, а також моніторить, у яких випадках необхідно звернутися до органу з запитом на консультацію чи відповіддю на звернення чи запит

Консалтинг по privacy

Навчання та підтримка знань командою

DPO допомагає команді переглянути політики захисту персональних даних і засвоїти важливі моменти

Високі результати працівників підтверджують комплаєнс всієї компанії

DPIA для нових процесів/продуктів

DPO моніторить необхідність проводити DPIA і допомагає команді проводити

Планова перевірка документації з питань захисту даних

DPO встановлює графік перегляду документаціїі актуалізує накопичені зміни і доповнення. Відслідковується зміна законодавства і вчасно переноситься у практики обробки даних компанією

Взаємодія з користувачами (реакція на запити)

DPO – одна з перших точок контакту з суб’єктом даних і координатор процесу відповіді на його чи її запит

Взаємодія з клієнтами (відповіді на питання з приватності)

DPO допомагає відділу продажів при перемовинах. Разом з відділом маркетингу вкладає повагу до захисту персональних даних у кожен контакт з клієнтом.

Взаємодія з контролюючими органами у сфері приватності

DPO комунікує з наглядовим органом і готує відповіді на запитання, а також моніторить, у яких випадках необхідно звернутися до органу з запитом на консультацію чи відповіддю на звернення чи запит

Консалтинг з питань privacy

DPO має наступні ключові обов'язки:

Тренінги &

постійна підтримка

DPO допомагає поширювати інформацію та підвищувати обізнаність про GDPR всередині компанії.

DPO – особа, до якої звертаються в першу чергу в разі прийняття складних рішень, що впливають на приватність. DPO – безцінне джерело допомоги під час оцінки ризиків.

Запити

суб'єктів даних

DPO представляє компанію та її принципи роботи з персональними даними під час спілкування щодо питань приватності з третіми сторонами

DPO не тільки повинен знати законодавство та можливості компанії, а також оцінювати репутаційні ризики і передбачати можливі питання суб’єктів даних. 

Підзвітність &

політики

DPO піклується про підтримку документації щодо обробки персональних даних в релевантному вигляді.

Саме на підставі порад і рекомендацій DPO визначається, чи потрібно впроваджувати нові практики або документально оцінювати вплив на суб’єктів даних деяких видів обробки даних.

Твоя DPO команда:

Катерина Дубас
Head of Privacy Department, CIPP/E. External DPO

Антон Тарасюк
Managing partner, CIPP/E. 
External DPO

Іван Лясківський
 IT lawyer

Ігор Котков
 IT lawyer

FAQ:

Незалежно від того, яку роль ваша компанія грає в ланцюжку обробки даних – і контролер і процесор, якщо діяльність підпадає під вимоги, викладені в статті 37 (1) GDPR (докладніше нижче), зобов’язаний призначити DPO.

Стаття 37 (1) GDPR вимагає призначити DPO в трьох конкретних випадках:

● якщо обробка здійснюється органом публічної влади;
● якщо основна діяльність контролера або процесора складається з операцій, які вимагають регулярного і систематичного моніторингу суб’єктів даних в великих масштабах;
● якщо основна діяльність контролера або процесора полягає в обробці спеціальних категорій даних або персональних даних, що стосуються судимості.

Якщо ви не впевнені в тому, що ці вимоги означають для вашої практики обробки даних, наша команда з приватності радо вам допоможе. Заплануйте дзвінок, щоб дізнатися більше про нашу послугу DPO as a service і зрозуміти, чим ми можемо допомогти вашій компанії.

Цей список вимог може бути розширений місцевими законами країн-членів ЄС, яких ви так само повинні дотримуватись. Тому вам потрібно перевірити національне законодавство перш ніж призначати DPO (особливо у випадках, якщо ви працюєте з даними про стан здоров’я, банківські дані, релігійною або юридичною інформацією або ж ваша компанія має доступ до даних, захищеними приватним режимом).

Також пам’ятайте про відмінності у визначенні порогових значень. Наприклад, одне \ держава може визначати «обробку в великих масштабах», порівнюючи відсоткову частку користувачів в населенні певної області. Інша держава може вважати «обробку в великих масштабах» при досягненні певної кількості унікальних користувачів в базі даних компанії.

Однак, якщо у вас є сумніви, ви в будь-якому випадку можете призначити DPO.

GDPR не містить суворих правил щодо призначення DPO.
GDPR не содержит строгого правила касательно трудоустройства DPO. Наоборот, в акте четко упоминается понятие «внешнего» DPO. Об этом полезно знать, если вы решите привлечь к выполнению задач по приватности независимого специалиста (или даже команды специалистов).

Стаття 37 (5) GDPR говорить про те, що DPO повинен призначатися на підставі професійних якостей, зокрема, мати необхідний рівень експертних знань з питань захисту персональних даних і достатню компетенцію для виконання завдань, визначених у статті 39 GDPR. Преамбула 97 GDPR передбачає, що необхідний рівень експертних знань повинен визначатись враховуючи виконувані операції з обробки даних і ступенем захисту, необхідного для персональних даних що оброблюються.

Інші вміння включають в себе:
● Рівень знань (у відповідних областях).
Ми працювали з проектами в гейм-діві, сфері хмарних рішень, електронної комерції, сфері онлайн-освіти, рекламних технологій, а також офлайн-проектами. Ознайомитися з відгуками про нашу роботу ви можете на нашій сторінці в Clutch.
● Професійні якості.
Ми працюємо з законами про приватність в США, Євросоюзі, Україні та інших юрисдикціях. 
Ми – сертифіковані і досвідчені юристи, які мають актуальну експертизу в складанні відповідей на запити користувачів, допомоги в проведенні оцінки постачальників і провайдерів послуг, а також розробці різних договорів в контексті обробки даних.

● Компетенція для виконання завдань.
У нас є ряд послуг, які ми можемо запропонувати. Від консультацій та складання необхідних документів до вирішення складних судових суперечок і позасудових розглядів про порушення конфіденційності.

GDPR роз’яснює, що саме контролер даних, а не DPO, повинен впровадити відповідні технічні та організаційні заходи, щоб забезпечити і бути здатним продемонструвати, що його обробка персональних даних проводиться відповідно до GDPR. Комлпаенс з GDPR – корпоративна відповідальність контролера даних, а не DPO.

Однак контролер даних може отримати користь від експертних знань DPO шляхом консультацій. Отже, DPO підпорядковується топ-менеджменту компанії. CEO, CFO, CISO, CLO і інші посадові особи зобов’язані прислуховуватися до порад DPO і переконатися в тому, що DPO володіє всіма необхідними ресурсами для надання їм актуальної інформації і результатів оцінки ризиків.

DPO тісно пов’язаний з іміджем компаній, оскільки DPO – перша особа, до кого звернеться незадоволений користувач або журналіст. Тому вибирайте DPO з мудрістю.

Звісно!

Зв’яжіться з одним з наших експертів по приватності і заплануйте дзвінок, щоб обговорити деталі вашого проєкту.

У разі необхідності ми можемо підписати з вами NDA ще до дзвінка. 
Ви також можете завітати в наш офіс в Києві і насолодитися пейзажем центру міста за чашкою свіжої кави.
Завжди раді зустрічі!

DPO в деталях:

Більше про DPO тут:

Data protection officer та GDPR compliance
GDPR: Data Protection Impact Assessment та Data Protection Officer
Data protection officer: функції та завдання

Твоє запитання IT юристам? Зв'язатися з нами