Data Protection Officer (DPO) – це співробітник або підрядник, який допомагає компанії впровадити або підтримувати комплаєнс з законодавством Євросоюзу та ЄЕС щодо захисту персональних даних. 

Не слід плутати DPO з Chief Protection Officer, Chief Privacy Officer або Chief Information Security Officer (також зверніть увагу, що посаду DPO не повинен займати керівник компанії).

Посада DPO була вперше представлена в Директиві щодо захисту даних 1994 року, що є попередником GDPR. У травні 2018 року, посада в деяких випадках стала обов’язковою, тепер без необхідності внесення відповідних змін до національного законодавства.

Тож якщо компанія підпадає під вимоги, викладені в статті 37 (1) GDPR (докладніше нижче), в такому випадку вона зобов’язана призначити DPO.

DPO має наступні ключові обов'язки:

Тренінги &

постійна підтримка

DPO допомагає поширювати інформацію та підвищувати обізнаність про GDPR всередині компанії.

DPO – особа, до якої звертаються в першу чергу в разі прийняття складних рішень, що впливають на приватність. DPO – безцінне джерело допомоги під час оцінки ризиків.

Запити

суб'єктів даних

DPO представляє компанію та її принципи роботи з персональними даними під час спілкування щодо питань приватності з третіми сторонами

DPO не тільки повинен знати законодавство та можливості компанії, а також оцінювати репутаційні ризики і передбачати можливі питання суб’єктів даних. 

Підзвітність &

політики

DPO піклується про підтримку документації щодо обробки персональних даних в релевантному вигляді.

Саме на підставі порад і рекомендацій DPO визначається, чи потрібно впроваджувати нові практики або документально оцінювати вплив на суб’єктів даних деяких видів обробки даних.

Експерти з GDPR:

Катерина Дубас
Head of GDPR Department

Антон Тарасюк
Managing partner

Іван Лясківський
 IT lawyer

Ігор Котков
 IT lawyer

FAQ:

Незалежно від того, яку роль ваша компанія грає в ланцюжку обробки даних – і контролер і процесор, якщо діяльність підпадає під вимоги, викладені в статті 37 (1) GDPR (докладніше нижче), зобов’язаний призначити DPO.

Стаття 37 (1) GDPR вимагає призначити DPO в трьох конкретних випадках:

● якщо обробка здійснюється органом публічної влади;
● якщо основна діяльність контролера або процесора складається з операцій, які вимагають регулярного і систематичного моніторингу суб’єктів даних в великих масштабах;
● якщо основна діяльність контролера або процесора полягає в обробці спеціальних категорій даних або персональних даних, що стосуються судимості.

Якщо ви не впевнені в тому, що ці вимоги означають для вашої практики обробки даних, наша команда з приватності радо вам допоможе. Заплануйте дзвінок, щоб дізнатися більше про наші послуги DPO і зрозуміти, чим ми можемо допомогти вашій компанії.

Цей список вимог може бути розширений місцевими законами країн-членів ЄС, яких ви так само повинні дотримуватись. Тому вам потрібно перевірити національне законодавство перш ніж призначати DPO (особливо у випадках, якщо ви працюєте з даними про стан здоров’я, банківські дані, релігійною або юридичною інформацією або ж ваша компанія має доступ до даних, захищеними приватним режимом).

Також пам’ятайте про відмінності у визначенні порогових значень. Наприклад, одне \ держава може визначати «обробку в великих масштабах», порівнюючи відсоткову частку користувачів в населенні певної області. Інша держава може вважати «обробку в великих масштабах» при досягненні певної кількості унікальних користувачів в базі даних компанії.

Однак, якщо у вас є сумніви, ви в будь-якому випадку можете призначити DPO.

GDPR не містить суворих правил щодо призначення DPO.
GDPR не содержит строгого правила касательно трудоустройства DPO. Наоборот, в акте четко упоминается понятие «внешнего» DPO. Об этом полезно знать, если вы решите привлечь к выполнению задач по приватности независимого специалиста (или даже команды специалистов).

Стаття 37 (5) GDPR говорить про те, що DPO повинен призначатися на підставі професійних якостей, зокрема, мати необхідний рівень експертних знань з питань захисту персональних даних і достатню компетенцію для виконання завдань, визначених у статті 39 GDPR. Преамбула 97 GDPR передбачає, що необхідний рівень експертних знань повинен визначатись враховуючи виконувані операції з обробки даних і ступенем захисту, необхідного для персональних даних що оброблюються.

Інші вміння включають в себе:
● Рівень знань (у відповідних областях).
Ми працювали з проектами в гейм-діві, сфері хмарних рішень, електронної комерції, сфері онлайн-освіти, рекламних технологій, а також офлайн-проектами. Ознайомитися з відгуками про нашу роботу ви можете на нашій сторінці в Clutch.
● Професійні якості.
Ми працюємо з законами про приватність в США, Євросоюзі, Україні та інших юрисдикціях. 
Ми – сертифіковані і досвідчені юристи, які мають актуальну експертизу в складанні відповідей на запити користувачів, допомоги в проведенні оцінки постачальників і провайдерів послуг, а також розробці різних договорів в контексті обробки даних.

● Компетенція для виконання завдань.
У нас є ряд послуг, які ми можемо запропонувати. Від консультацій та складання необхідних документів до вирішення складних судових суперечок і позасудових розглядів про порушення конфіденційності.

GDPR роз’яснює, що саме контролер даних, а не DPO, повинен впровадити відповідні технічні та організаційні заходи, щоб забезпечити і бути здатним продемонструвати, що його обробка персональних даних проводиться відповідно до GDPR. Комлпаенс з GDPR – корпоративна відповідальність контролера даних, а не DPO.

Однак контролер даних може отримати користь від експертних знань DPO шляхом консультацій. Отже, DPO підпорядковується топ-менеджменту компанії. CEO, CFO, CISO, CLO і інші посадові особи зобов’язані прислуховуватися до порад DPO і переконатися в тому, що DPO володіє всіма необхідними ресурсами для надання їм актуальної інформації і результатів оцінки ризиків.

DPO тісно пов’язаний з іміджем компаній, оскільки DPO – перша особа, до кого звернеться незадоволений користувач або журналіст. Тому вибирайте DPO з мудрістю.

Звісно!

Зв’яжіться з одним з наших експертів по приватності і заплануйте дзвінок, щоб обговорити деталі вашого проєкту.

У разі необхідності ми можемо підписати з вами NDA ще до дзвінка. 
Ви також можете завітати в наш офіс в Києві і насолодитися пейзажем центру міста за чашкою свіжої кави.
Завжди раді зустрічі!

Більше про GDPR тут:

GDPR Aудит: основні кроки
GDPR текст та як з ним працювати: лайфхаки
GDPR compliance як вимога клієнта

Вебінари про GDPR:

Твоє запитання IT юристам? Зв'язатися з нами