В колонке для AIN.UA Антон Тарасюк, Managing Partner в Legal IT Group, который также практикует в сфере защиты персональных данных и являюсь CIPP/E, рассказал в чем суть новой профессии Data protection officer.

Антон Тарасюк
Фото: Facebook

Профессия DPO (Data protection officer) или же офицер по защите данных становится все более популярной и востребованной, при этом многие не до конца понимают роль человека или компании, которые выполняют эту функцию в организации.  

Например, исходя из названия, можно предположить, что DPO отвечает за все вопросы, что так или иначе связаны с обработкой персональных данных. В этом есть зерно истины, но это не совсем так. 

DPO и украинское законодательство

 Многих удивит, но в законе Украины «О защите персональных данных» (Закон) уже многие годы фигурирует «ответственное лицо» или «подразделение», которое организовывает работу, связанную с защитой персональных данных при их обработке. В задачи такого лица входит информирование и консультирование компании по вопросам соблюдения законодательства о защите персональных данных, а также взаимодействие с Уполномоченным Верховной Рады Украины по правам человека (Контролирующий орган). 

При этом, триггером для обязательного назначения такого лица, для компании, является обработка такой компанией таких персональных данных, об обработке которых необходимо сообщить в контролирующий орган в соответствии с Законом. 

Не просто, правда? Это данные, обработка которых несет особенный риск для прав и свобод субъектов данных (статья 9 Закона) и их перечень определяется Контролирующим органом. К таким данным относятся, например, данные о расовом и этническом происхождении.     

Многие уверяют, что законодательство Украины о защите персональных данных необходимо существенно обновить и детально расписать роли и функции DPO, взяв за пример General Data Protection Regulation (GDPR / Регламент), как образец наиболее прогрессивного нормотворчества в этой сфере. Уже сейчас есть законопроекты, направленные на довольно кардинальные изменения, однако в каком виде они будут приняты и будут ли приняты вовсе, неизвестно. Поживём-увидим.

DPO и General Data Protection Regulation 

Нельзя отрицать тот факт, что решающим толчком в развитии роли DPO стало принятие GDPR. Экстерриториальное действие этого Европейского Регламента и огромные потенциальные штрафы за нарушение его норм изменили отношение к защите персональных данных, не побоюсь этого слова, во всем мире. 

Почему возникает необходимость назначать DPO?

Для большей конкретики повествования, рассмотрим роль DPO в рамках необходимости соблюдения GDPR на нескольких примерах. 

  1. Компания BigMarketplace, резидент ЕС, владеет большим marketplace по продаже лицензий на виртуальные активы. Практически все пользователи компании – находятся на территории ЕС и компания регулярно, систематически и в большом объеме обрабатывает их персональные данные (активность на сайте) и предлагает им релевантную рекламу на основе профайлинга.
  2. Компания MedicalFriend, резидент ЕС, в рамках своего мобильного приложения обрабатывает медицинские данные нескольких миллионов своих пользователей, часть из которых находятся в ЕС. 
  3. Компания CloudUkraineBest, резидент Украины, оказывает клиентам, резидентам ЕС, услуги по хранению данных. Среди прочих – это персональные данные конечных потребителей этих клиентов. При этом, CloudUkraineBest, ведет активную маркетинговую компанию на рынок ЕС  

Все совпадения в механике и названиях компаний, конечно же, случайны.  

В первых двух примерах (кейс BigMarketplace и MedicalFriend) назначение DPO будет обязательным, исходя из требований части 1 статьи 37 Регламента, где, среди прочего, сказано, что DPO обязательно назначается при наличия любого из таких условий: 

  • когда основная деятельность контроллера или процессора состоит из операций обработки, которые требуют регулярного и систематического мониторинга субъектов данных в большом объеме;
  • когда основная деятельность контроллера или процессора данных состоит из обработки в большом объеме специальных категорий данных или персональных данных, относящихся к уголовным обвинениям и правонарушениям.

Соответственно, в первом случае, триггером для назначения DPO будет систематический мониторинг субъектов данных в большом объеме, а во втором – обработка в большом объеме специальных (в этом случае медицинских данных) пользователей. При этом, обе компании будут в статусе контролера, так как сами определяют цели и средства обработки персональных данных.

Третий же пример (CloudUkraineBest) спорный. Скорее всего, компания будет в статусе процессора, так как будет действовать от имени и по инструкции своих заказчиков. Необходимо изучить сам процесс обработки данных – насколько он подпадает под условия выше. При этом, такая компания может назначить DPO добровольно. Важно отметить, что также есть и третий триггер для назначения DPO –  «where the processing is carried out by a public authority or body». Однако сейчас давайте сосредоточимся на частных компаниях.   

Итак, в двух примерах выше DPO будет обязателен. В третьем же случае, представим, что компания приняла решение, что DPO ей не нужен, однако же решила назначить его добровольно для того, чтобы успешно проходить все проверки своих клиентов на предмет соблюдения требований GDPR. 

Кто может быть DPO?

В соответствии с частью 5 статьи 37 GDPR, DPO назначается на основании профессиональных качеств и в частности, экспертных знаний законодательства и практики защиты данных, а также способности выполнять поставленные задачи указанное в статье 39 Регламента. 

Таким образом, отсутствует требование к научной степени или диплому по какой-либо конкретной специализации. В тоже время, ключевым является:

  • профессиональные качества;
  • уровень экспертизы;
  • способность выполнять свои задачи.

Лучший помощник в объяснении специфики роли DPO это Разъяснение Working Party касательно DPO (Гайд о DPO). Этот гайд был опубликован еще в 2016 году, но его положения не теряют своей актуальности.

Среди прочих моментов, стоит отметить (в соответствии с Гайдом о DPO): 

  • уровень экспертизы должен соответствовать сложности задач, ведь роль DPO может существенно отличаться в зависимости от процессов обработки данных в компании;
  • одним из ключевых показателей профессиональных качеств будет знание GDPR и применимого локального законодательства о защите персональных данных;
  • первоочередной задачей DPO должно быть обеспечение соответствия компанией GDPR.

Таким образом, несмотря на отсутствие требований в контексте академического образования, DPO должен соответствовать занимаемой должности / роли в компании. Сейчас нет единой сертификации для DPO, которая бы проводилась контролирующим органом, однако существует множество других, частных сертификаций. 

Уровень экспертизы DPO и его/ее высокие профессиональные качества под конкретный проект являются важной составляющей частью соблюдения GDPR компанией в контексте выполнения принципа accountability (когда компания должна сама доказать факт соответствия Регламенту), поэтому для DPO хорошей практикой будет демонстрация такой экспертизы. Например – это может быть выступления на профильных конференциях, проведение и посещение профильных учебных мероприятий, наличие сертификатов.     

Какие задачи выполняет DPO?

В соответствии со статьей 39 GDPR, DPO будет выполнять, «как минимум» (at least) такие задачи:

  1. информирование и рекомендации для компании и ее сотрудников касательно выполнения обязанностей в контексте GDPR и иных применимых нормативных актов в контексте защиты персональных данных (иные акты);
  2. мониторинг соответствия с GDPR и соблюдения положений политик компании в контексте защиты персональных данных, включая распределение обязанностей, повышение осведомленности и обучение команды, участвующей в процессах обработки персональных данных, и проведение соответствующих аудитов;
  3. предоставление консультаций по запросу относительно DPIA и контроль за проведением такой оценки. Процедура DPIA детально описана в статье 35 GDPR и по сути являет собой некий аудит ситуации, при которой планируется обработка персональных данных, что может означать риск для пользователей. Целью DPIA является максимальное уменьшение / нивелирование рисков;
  4. кооперация с надзорным органом, а также выполнение роли «контактной точки» для надзорного органа, а также консультирование по другим вопросам приватности (упрощенный перевод).

Будни DPO в разных компаниях могут кардинально отличаться. Где-то придется отвечать на постоянные письма юзеров и обеспечивать выполнение их прав. Где-то DPO будет постоянно вовлечен в DPIA по разным новым технологическим продуктам или же привлечен к самому планированию таких продуктов на начальной стадии. Большую часть работы DPO также может занимать организация тренингов и повышение awareness команды по вопросам приватности.

Каковы особенности роли DPO в компании? 

Бытует мнение, что позиция DPO – это инструмент контроля, детализация функций которого в рамках GDPR позволяет регулятору / надзорным органам, фактически, обеспечивать наилучшую защиту прав субъектов персональных данных без какого-либо взаимодействия с компанией. 

В статье 38 Регламента детализированы особенности позиции DPO:

  1. компания обеспечит, что DPO вовлечен, надлежащим образом и вовремя, во все вопросы, которые касаются защиты персональных данных. 
  2. компания будет поддерживать DPO в выполнении его задач, обеспечивая соответственными ресурсами и доступом к персональным данным и операциям по их обработке, а также будет поддерживать его или ее экспертные знания.
  3. компания обеспечивает то (shall ensure), что DPO не получает инструкций касательно выполнения своих задач. Он или она не будет уволен (dismissed) или наказан компанией за выполнение своих задач. DPO будет докладывать напрямую высшему менеджменту.
  4. субъекты персональных данных могут контактировать с DPO по любым вопросам касательно обработки их персональных данных и реализации их прав согласно GDPR.
  5. DPO будет связан соблюдать тайну и конфиденциальность касательно выполнения своих задач, в соответствии с европейским правом или же применимым локальным правом. 
  6. DPO может выполнять другие задачи и иметь другие обязанности. Компания обеспечит то, что это не приведет к конфликту интересов.  

Таким образом, мы видим, что именно на компанию (будь она в статусе контролера или процессора) возлагается обязанность создать все условия и обеспечить для DPO возможность реализовывать свои функции в полном объеме, вовремя и надлежащим образом. Это объясняется тем, что именно компания является субъектом, который должен быть в GDPR compliance.

Часть 6 статьи 37 GDPR говорит о том, что DPO может быть, как в составе сотрудников компании, так и быть привлечен в соответствии с сервисным контрактом. Таким образом, DPO может строить свою карьеру как инхаус специалист, или же в юридической / консалтинговой фирме. 

В рамках консалтинговой компании может быть целая практика защиты персональных данных и в ее составе может быть несколько DPO, которые выполняют функции External DPO для клиентов компании (DPO as a service). 

В самой же организации может быть множество должностей, схожих с DPO. Важно также помнить, что, если компания назначает DPO добровольно (когда нет такого обязательства), на регламентацию такой роли распространяются все соответственные положения GDPR.

DPO – достаточно новая роль, особенно, для субъектов данных. Я постарался передать и правовые аспекты назначения и работы офицера по защите данных. Надеюсь, что эта статья поможет тем, кто стремиться отрыть для себя мир приватности или же задумывается о создании роли DPO в своей организации.    

Автор: Антон Тарасюк, Managing Partner в Legal IT Group