Почему Вашей компании необходим DPO?

Сотрудник по защите данных (англ. Data Protection Officer или сокращенно DPO) — это сотрудник, который отвечает за безопасность предприятия и его соответствие Общему Регламенту по Защите Данных (англ. General Data Protection Regulation или сокращенно GDPR).  

Почему Вашей компании необходим DPO?

Каким компаниям необходимы DPO?

GDPR был разработан Европейским парламентом, Европейским советом и Европейской комиссией для усиления и оптимизации защиты данных граждан Европейского Союза.  Он требует обязательного назначения DPO в каждой организации, которая обрабатывает или хранит персональные данные граждан ЕС.  DPO должны быть «назначены для всех государственных органов, и в тех случаях, когда основная деятельность контролера или обработчика данных включает в себя регулярный и систематический мониторинг субъектов данных в крупном масштабе или если организация проводит крупномасштабную обработку особых категорий личных данных, например, раса, этническая принадлежность или религиозные убеждения резидентов ЕС.

GDPR гласит, что размер организации — это не то, что вызывает необходимость в DPO. В первую очередь внимание обращается на размер и объем обрабатываемых данных.  К сожалению, в GDPR отсутствует конкретная формулировка, которая отвечала бы на вопрос, что считается крупномасштабной обработкой персональных данных. Однако есть четыре ключевых фактора, которые руководящие органы используют, чтобы определить, потребуется ли той или иной компании сотрудник DPO.

В эти четыре фактора входят:

  • Субъекты данных
  • Элементы данных
  • Срок хранения данных
  • География обработки

Хотя, как мы уже упомянули ранее, нет каких-либо точных формулировок относительно масштаба обработки данных, большинству малых предприятий не потребуется нанимать сотрудника DPO, если основной задачей компании не является сбор или хранение данных.

Обязанности сотрудника, отвечающего за сохранность персональных данных

Наличие сотрудника по защите персональных данных является обязательным для всех компаний, которые осуществляют какие-либо манипуляции с персональными данными граждан ЕС. DPO несут ответственность за обучение сотрудников компании и соблюдению требований GDPR и прочих регламентов, диктующих правила по взаимодействию с персональными данными, и проведение регулярных аудитов безопасности.  DPO также являются некими посредниками между компанией, в которой они работают и чьей безопасностью занимаются, и любыми надзорными органами (SA), которые контролируют деятельность, связанную с персональными данными.

Почему Вашей компании необходим DPO?

Как указано в статье 39 GDPR, в обязанности DPO входит, помимо прочего, следующее:

  • Обучение компании и сотрудников основным требованиям соответствия регламенту;
  • Обучение персонала, занимающегося обработкой данных;
  • Проведение аудитов для обеспечения соответствия и активного решения потенциальных проблем;
  • Осуществление взаимодействия между компанией и надзорными органами;
  • Мониторинг производительности и предоставление рекомендаций по защите данных;
  • Ведение полных записей обо всех действиях по обработке данных, проводимых компанией, включая цели всех операций по обработке, которые должны быть опубликованы по запросу;
  • Взаимодействие с субъектами данных для информирования их о том, как используются их данные, об их праве на удаление своих персональных данных и о том, какие меры компания приняла для защиты их личной информации.

Квалификация сотрудников DPO

GDPR не включает конкретный список учетных данных DPO, но статья 37 требует, чтобы сотрудник по защите данных обладал «экспертными знаниями в области законодательства и практики защиты данных».  В постановлении также указывается, что опыт DPO должен соответствовать операциям, производимым организацией по обработке данных.

Почему Вашей компании необходим DPO?

У сотрудников по защите данных не должно быть конфликта интересов, а это означает, что у DPO не должно быть никаких текущих обязанностей или обязанностей, которые противоречат их обязанностям по мониторингу.  Например, действующий юридический сотрудник компании, который мог бы представлять компанию в судебном разбирательстве, будет считаться имеющим конфликт интересов и, следовательно, не может быть допущен к работе в качестве DPO.  Компании, нарушающие это требование, могут быть оштрафованы на сумму, достигающую 10 миллионов долларов США или двух процентов от общего оборота компании, в зависимости от того, какая сумма больше.

Идеальный DPO — какой он?

Поскольку компании, которые обрабатывают данные граждан ЕС, подчиняются GDPR, даже если сами они не находятся в ЕС, предполагается, что для обеспечения соответствия компаний требованиям GDPR всем регулируемым организациям потребуются десятки тысяч сотрудников DPO.

DPO должны обладать опытом в области законодательства о защите данных и иметь полное представление об IT-инфраструктуре, технологиях, технической и организационной структуре работы своей компании. Уже работающий в компании сотрудник при наличии определенных компетенций может быть назначен на должность DPO, или же сотрудник, ответственный за сохранность персональных данных, может быть нанят со стороны.  Компаниям и организациям следует искать кандидатов, которые могут управлять защитой данных и соблюдением требований внутри компании, одновременно сообщая о несоблюдении в соответствующие надзорные органы. 

В идеале DPO должен обладать отличными управленческими навыками и уметь легко взаимодействовать как с внутренним персоналом на всех уровнях, так и с внешними органами.  Сотрудник DPO также обеспечит полное внутреннее соответствие и в случаях несоблюдения регламентов будет извещать об этом соответствующие органы, даже если компания, в которой он(а) задействована, может быть подвергнута крупным штрафам.

Почему Вашей компании необходим DPO?В последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *