Як правильно обрати Data Protection Officer (DPO)?

Ви заснували продуктову ІТ-компанію в Польщі і зрозуміли, що разом із гордою європейською юрисдикцією ви підчепили прайвасі-обов’язки за GDPR. Серед таких обовʼязків – призначати Data Protection офіцера (DPO). У цій статті Оксана Задніпровська, партнерка Axon Partners, розбирається, хто це, кому це потрібно і кого (не) обирати на цю роль.

Що має робити DPO

• аналізувати рух персональних даних і налаштовувати процеси за GDPR;
• моніторити, що нового придумують департаменти компанії;
• готувати документи – політики і процедури, повідомлення про витік даних;
• дбати, щоб зловмисники не добралися до даних;
• проводити аудити;
• готувати договори та аналізувати ризики при передачі даних контрагентам;
• проводити внутрішні лекції і тренінги, нести світло в маси;
• консультувати бізнес з питань приватності і змін в законодавстві;
• відповідати на скарги і пропозиції людей щодо своїх персональних даних;
• бути на «ти» з наглядовими органами.

Все це DPO не повинен робити сам. Він має забезпечувати, щоб завдання виконувалися. Можна підібрати будь-яку команду та інструменти.

Кому треба DPO 

DPO потрібен всім, від кого це вимагає GDPR. Якщо не призначити DPO там, де він виявиться потрібен, компанії доведеться заплатити штраф. Наприклад, за непризначення DPO при активній роботі з даними кінцевих користувачів іспанський регулятор покарав Glovo на 25 000 євро. 

За GDPR офіцер із захисту даних потрібен організаціям, у яких основна діяльність тісно повʼязана з обробкою персональних даних в ЄС. Це страхові компанії, банки, медичні установи, держоргани. Але це також ІТ-майданчики в сфері електронної комерції, оператори мобільного звʼязку, ІТ-продукти на основі штучного інтелекту, що працюють з big data, соцмережі, пошукові системи, рекламні площі. Тобто, краще мати DPO всім компаніям, у яких основний дохід – від тих чи інших дій з персональними даними людей. 

Аутсорсні ІТ-компанії з першого погляду можуть не мати DPO, бо їх основна діяльність – це робота з узагальненими даними, що переважно не є персональними. Обробка персональних даних – це у таких компаніях переважно робота HR та маркетологів, адже ці люди працюють із сайтом-візиткою компанії, збирають дані відвідувачів, пишуть їм. Натомість сама розробка програмного забезпечення за замовленням клієнта – це не підстава призначати DPO.

І все ж пряма вказівка в GDPR — це не єдина причина призначити DPO. DPO – це не тільки про комплаєнс, це про найкращу корпоративну практику і проактивне управління. Тому і виникла ця посада раніше ніж GDPR, а популярна вона навіть серед компаній, у яких немає бізнесу в ЄС. ІТ-компанія має розуміти свою відповідальність за персональні дані як бізнес-актив. Спеціально призначений офіцер матиме час на те, щоб не відволікатися на мільйон операційних чи юридичних завдань, а системно працювати над стратегічними завданнями приватності. 

Хто може бути DPO 

DPO повинен мати знання і навички у сфері приватності та бути незалежним. Це може бути як працівник, так і зовнішній консультант чи компанія.

DPO має розрізняти персональні дані від статистичних та анонімізацію від псевдонімізації, а ще видобувати із «ми нічого не збираємо» трохи IP адрес та cookies ідентифікаторів. DPO має розуміти, на чому заробляє бізнес, як працює кожен гвинтик внутрішньої ІТ-системи, до кого йти з питаннями і рішеннями. Сертифікації спеціаліста у сфері приватності міжнародного рівня типу CIPP/E, CIPP/M, CIPP/T — це плюс, але не вимога.

DPO не має залежати від лінійного керівника, а має звітувати до найвищого менеджменту. Незалежність — це коли ніхто не контролює кожен крок і не вказує, що робити DPO. За те, що DPO виконує функції незалежного офіцера, його не можуть позбавити премії. DPO повинен мати можливість пропонувати бізнесу якісні рішення без тиску, а вже бізнес вирішуватиме, чи приймати пропозиції.

Хто не може бути DPO 

Не варто призначати DPO людей, які є водночас:

• власниками бізнесу чи членами правління;
• керівними партнерами чи директорами, СОО; 
• керівниками відділу маркетингу чи HR; 
• керівниками IT-відділу;
• керівниками департаменту комплаєнсу. У квітні 2020 року за такий конфлікт інтересів організації в Бельгії навіть призначили штраф 50 000 євро;
• керівниками управління операційними ризиками, управління інформаційними ризиками та підрозділу спеціальних розслідувань, якщо DPO має підпорядковуватися такому підрозділу. В січні 2022 року, бельгійський регулятор наклав на банк штраф 75 000 євро і за такий конфлікт інтересів. 

Причина знову ж у потенційному конфлікті інтересів. Різні типи керівників переважно виконують на своїй посаді функції, що можуть суперечити функціям DPO. Наприклад, DPO не зможе обʼєктивно і якісно провести аудит роботи HR департаменту, якщо він є керівником цього департаменту і сам налаштовував усі процеси.

Найчастіше DPO-працівник може бути в юридичному департаменті або департаменті комплаєнсу, також в департаментах ризик-менеджменту чи інформаційної безпеки. Головне при пошуку DPO серед свого штату – не поєднувати непоєднуване, а у кожному випадку перевіряти, чи функції працівника на старій і новій посаді не конфліктують.

Як призначити DPO

Призначити DPO можна стандартним трудовим договором або ж письмовим договором на послуги, якщо це незалежний підрядник. Ну і не забути при цьому підписати NDA, бо у DPO буде доступ до конфіденційної інформації. 

Де має бути DPO групи компаній

Якщо мова про групу компаній з бізнесом у багатьох країнах, то DPO не обовʼязково має бути в кожній країні. Немає і вимоги про розташування в ЄС. Хоча Article 29 Working Party, організація, що до 2018 року розʼяснювала деякі положення GDPR, рекомендує обирати саме ЄС як локацію для офіцера. 

Для групи компаній можна обрати єдиного DPO. Але цей DPO має бути легко доступним для кожної компанії групи, для субʼєктів даних та для регуляторів. Це означає:

• Доступність для компаній групи – всі працівники мають знати, як поспілкуватися із DPO, де його контактні дані, якою мовою він говорить. Якщо працівники розмовляють різними мовами, бажано, щоб DPO розмовляв хоча би універсальною мовою типу англійської. Або ж щоб були працівники на місцях, які зможуть ефективно прокомунікувати запит до DPO.
• Доступність для субʼєктів даних – потенційними субʼєктами даних можуть бути не лише працівники, а і користувачі сайту компанії чи її продуктів. Тому для таких людей DPO має бути максимально доступним і відповідати чи то телефоном, чи електронною поштою, чи через інші засоби комунікації. Команда DPO має бути готова приймати запити від людей і відповідати на них мовою субʼєкта, у строки і зрозуміло.
• Доступність для регулятора – компанія має повідомляти контактні дані DPO наглядовому органу. Деякі національні закони ЄС встановлюють навіть строк повідомлення з дня призначення DPO (наприклад, за польським законом це 14 днів з дати призначення). Плюс кожен орган може придумати свою процедуру (в паперовій формі, на електронну пошту, з цифровим підписом чи через спеціальну сторінку). Потрібно повідомити регулятора у кожній країні ЄС, де зареєстровані компанії групи. А якщо цього не зробити – можна отримати штраф, як, наприклад, 51 000 євро на Facebook, що повідомив регулятора в Ірландії, але не подумав про інші країни.

Як краще – зовнішній чи внутрішній DPO?

Все залежить від розміру компанії, взаємодії бізнесу всередині та експертизи внутрішніх спеціалістів. Можна знайти нового працівника із відповідними знаннями та навичками, замість когось перекваліфіковувати. А можна найняти зовнішнього консультанта або взагалі цілу компанію.

Плюси працівника всередині:

• знає і може глибоко вникнути у процеси і бізнес зсередини; 
• може швидко дізнаватися про зміни у продукті та операційному розвитку компанії, швидко реагувати на проблеми і шукати рішення;
• часто дешевше, ніж наймати консультантів ззовні;
• може поспілкуватися вживу за кавою і втертися в довіру працівників. Але якщо не кривити душею, то онлайн цей плюс не реалізується.

Плюси зовнішнього консультанта:

• глибока експертиза і команда, яка може водночас виконувати багато задач будь-якого типу, більш різноманітний досвід;
• легко уникнути конфлікту інтересів, принаймні, щодо поєднання робочих ролей. Але родичів директора можна знайти і серед консультантів;
• консультант дійсно незалежний і чесно вкаже на проблеми, не згладжуючи кути;
• не потрібно робити додаткові витрати на навчання консультанта чи технічні засоби, бо це зазвичай покриває компанія консультанта.

DPO as a service

GDPR-compliance – це процес, а не результат, тому постійна підтримка – це краще, ніж точкові консультації, коли вже все палає (прийшла скарга, пише регулятор або пішов клієнт через витік даних). Тому у консультантів із вступом в силу GDPR зʼявилася така послуга як DPO as a service. Це коли команда юристів-прайвасистів виконує ті ж функції, що і можливий працівник, на умовах підписки. 

DPO as a service зазвичай включає аудит та втілення рекомендацій, допомогу з налаштуваннями процесів обробки даних, комунікацію усіх форматів, підготовку документів і тренінги. Якщо це потрібно, для компанії виділяють юриста, який працює з нею у пріоритеті. Це зручно компаніям, які не мають достатньо ресурсів і часу для пошуку та навчання внутрішнього працівника. Чи це ваша компанія – вирішувати має менеджер. 

Які кроки зробити менеджеру для призначення DPO

1. Визначитися, чи потрібен компанії DPO з бізнес-причин та за законом.
2. Ознайомитися з ринком праці – чи вийде швидко знайти людину із відповідною спеціальністю.
3. Вивчити пропозицію серед консультантів.
4. Вирішити, що прайвасі – це не на часі і чекати, поки прилетить. 
5. Обрати DPO, що відповідає потребам і можливостям компанії.

З DPO життя менеджера та власника бізнесу з часом стане спокійнішим. Не одразу, адже комплаєнс — це дуже багато роботи. Однак хай у цьому непростому процесі вас мотивують не штрафи, а наближення до найкращих стандартів з проактивного управління.

Автор: Оксана Задніпровська, партнерка Axon Partners, співкерівниця практики приватності, CIPP/E