Компанії інколи задаються питанням стосовно того, чи потрібен їм Data Protection Officer (DPO), наявність якого передбачається вимогами General Data Protection Regulation, чи все ж буде достатньо наявності в штаті спеціаліста по приватності. Відповідь на це запитання може бути доволі комплексною та складної, адже коли ми говоримо про Data Protection Officer або Data Privacy Specialist, то мова йде про абсолютно дві різні ролі, в контексті організації захисту її приватності, в рамках діяльності компанії.

Про доцільність посади Data Protection Officer (DPO) розповість вам наш постійний спікер Сергій Богарада.

Data Protection Officer

Офіцер із захисту даних – це особа, яка, у відповідності з вимогами General Data Protection Regulation, повинна бути залучена компанією в певних випадках, які передбачені статтею 37 GDPR, а саме, коли

  • основні види діяльності компанії, яка діє у якості контролера, або її процесорів, передбачають операції з обробки персональних даних, які, в силу своєї специфіки, обсягів та цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу даних фізичних осіб;
  • основні види діяльності контролера або процесорак включають в себе обробку чутливих персональних даних та персональних даних про судимості або кримінальні злочини у великих розмірах.

Однак, призначення Data Protection Officer не обмежується лише випадками, зазначеними вище. В офіційних роз’ясненнях європейських компетентних органів зазначається, що компаніям, які вагаються в питаннях розпочинання співпраці з DPO, в силу специфіки своєї діяльності та обробки персональних даних, все ж краще розпочати співпрацю з Data Protection Officer в найкоротші терміни.

При цьому слід зауважити дві особливості:

  • Data Protection Officer може бути офіційно взятий на роботу, в рамках трудового контракту, а також може бути залучений в рамках комерційного контракту про надання послуг DPO;
  • Data Protection Officer може бути як фізичною особою, так і юридичною, в залежності від форми існування та діяльності суб’єкта – контролера даних.

Функціональні обов’язки, права та задачі Data Protection Officer визначені та окреслені в GDPR. Їхня особливість полягає в тому, що Data Protection Officer повинен діяти як незалежна одиниця, виконуючи моніторингову функцію, при цьому, в процесі прийняття суб’єктивних рішень, не піддаватися впливу збоку керівництва компанії та інших працівників. Тобто, компанія зобов’язана забезпечити незалежність Data Protection Officer в його діях та рішеннях. Разом з тим, основною з функцій Data Protection Officer залишається звітування перед керівництвом компанії про пророблену роботу та її результати.

Варто зазначити, що наявність, в рамках діяльності компанії Data Protection Officer, значно підвищує рівень відповідності компанії вимогам GDPR. Таке твердження зроблене виключно, виходячи з практики організації взаємодії компанії з європейськими контролюючими органами в сучасних умовах.

Data Privacy Specialist

Спеціаліст по приватності – це особа, яка може бути в штат компанії, маючи з нею трудові відносини, або ж бути незалежним підрядником, що співпрацює з компанією на комерційних умовах. В будь якому випадку, основними функціями Data Privacy Specialist є організація, розробка та імплементація як технічних, так і організаційних заходів, що спрямовані на забезпечення відповідності компанії вимогам законодавства у сфері захисту персональних даних і насамперед General Data Protection Regulation.

Фактично, Data Privacy Specialist — це виконавець програми по адаптації компанії щодо вимог General Data Protection Regulation, який діє виключно за вказівками вищого керівництва, при цьому дії Data Privacy Specialist не повинні йти в розріз з основною діяльності компанії.

Беручи до уваги практику функціонування подібних спеціалістів в рамках різного роду компаній, варто зауважити, що основні обов’язки по розробці документів, таких як Privacy Policy та Cookie Policy, а також складнощі реалізації заходів безпеки персональних даних, з організаційної точки зору, покладаються саме на Data Privacy Specialist.

Наявність такого спеціаліста, наряду з технічними спеціалістами, є обов’язковою умовою, ба навіть необхідністю, при підготовці компанії на відповідність вимогам GDPR.

ANTITRUST LAW

Співвідношення Data Privacy Specialist та Data Protection Officer

Подібне співвідношення, на перший погляд, не має жодних особливостей, адже багато компаній, за-для уникнення додаткового фінансового навантаження, призначають спеціалістів по приватності на роль та Data Protection Officer. Це майже завжди супроводжується твердженням: «адже такий спеціаліст орієнтується в питаннях обробки персональних даних, з якими зіштовхується компанія».

Подібний підхід компаній є хибним та може призвести до того, що до відповідної компанії буде застосована відповідальність, адже категорично забороняється призначати на посаду Data Protection Officer будь кого з працівників компанії, а тим більше Data Privacy Specialist, що виконують свої посадові обов’язки, які можуть сприяти виникненню конфлікту інтересів.

Наприклад: Компанія «А» співпрацює зі спеціалістом по приватності, який має чіткий план дій на найближчий рік, що затверджений керівництвом. При цьому, час від часу, спеціаліст звітує перед керівництвом про пророблену роботу та отримує від нього чіткі вказівки щодо подальших дій. Разом з тим, компанія вирішує призначити спеціаліста паралельно і DPO. В цьому випадку, згідно з вимогами GDPR, Data Protection Officer повинен виконувати функцію моніторингу відповідності компанії вимогам законодавства про захист персональних даних. Так як DPO паралельно являється і спеціалістом, який розробляє та імплементує заходи, що повинні моніторитися DPO, виникає конфлікт інтересів, що є підґрунтям для визнання залучення Data Protection Officer незаконним, адже DPO буде вимушений моніторити свої ж дії.

Залучаючи Data Protection Officer, кожному менеджеру компанії дійсно варто переосмислити можливість призначення на роль DPO когось із числа працівників компанії, в контексті можливості понести відповідальність згідно чинного законодавства. В нашій компанії BSO Privacy Group, ми дійсно знаємо як важливо вчасно та ефективно залучити DPO, а тому ми можемо проконсультувати будь яку компанію по будь-яким питання, що стосуються призначення DPO та GDPR в цілому.

Отже, не варто ризикувати та призначати своїх працівників, зокрема і спеціаліста по приватності, на роль DPO, адже це може стати критичною точкою для компанії, перетинання якої може спричинити безповоротну низку наслідків, що відобразяться в накладенні штрафних санкцій, які точно не є бажаними для будь-якого суб’єкта господарювання.

Читайте також: Data Protection Officer (DPO) чи Data Privacy Specialist

Pin It on Pinterest