Блог / GDPR ❘ Политика конфиденциальности /

Data protection officer — кому нужен и какие функции у специалиста

Дата публикации: 08.07.2022

Автор: Алина Чух

Просмотров: 1255

Время чтения: 12 минут

International Association of Privacy Professionals опросили 65 000+ респондентов по всему миру и опубликовали отчет о специалистах в сфере информационной безопасности. 74% компаний наняли Data protection officer в 2021 году. 41% компаний привлекли в команду 1 офицера информационной безопасности, 18% — 2 и больше, и еще 15% — передали функции на аутсорс.

офицер информационной безопасности

А лидерами внедрения мер информационной безопасности стала Tech-индустрия.

лидеры внедрения мер информационной безопасности

Давайте разбираться каким компаниям нужны Data protection officers и какие задачи выполняет сотрудник.

В тексте статьи вы встретите 3 термина: субъект данных, контролер и процессор. Сразу объясним что они означают.

Субъект данных предоставляет информацию, которую собирает, обрабатывает и хранит компания. Например, пользователь Facebook будет субъектом данных, так как передает корпорации личную информацию, которая его идентифицирует. Facebook будет контролером, потому что собирает данные непосредственно от пользователя и решает как их дальше обрабатывать. Процессор (оператор) обрабатывает данные по поручению контролера. Он не определяет цели обработки, а просто предоставляет услуги.

Нужен ли вашей компании офицер по обеспечению безопасности информации?

DPO — это обязательное условие только в конкретных случаях.

Вот 3 вопроса, на которые стоит ответить, чтобы понять нужен ли вам такой специалист.

На вашу компанию распространяются требования GDPR? Правила регламента распространяются на ваш бизнес, если вы находитесь в ЕС или обрабатываете данные граждан ЕС. А именно продаете товары или оказываете услуги, собираете и обрабатываете личную информацию пользователей IT-продуктов, нанимаете сотрудников.Если что-то из вышеперечисленного характеризует ваш бизнес, переходите к следующему вопросу.
Проводит ли ваша компания регулярный, систематический мониторинг данных в большом объеме? Под регулярной обработкой понимают непрерывные или происходящие через промежутки времени действия. А под систематической обработкой — заранее организованные действия в рамках стратегии компании. Если обработка личных данные необходимы для достижения целей организации, то ответ на вопрос положительный, а значит вам нужно привлекать офицера безопасности.
Ваша компания собирает особые категории персональных данных отдельных лиц? К таким данным относится информация о здоровье, сексуальной ориентации, расовом или этническом происхождении, политических взглядах, религии. А также генетические и биометрические данные.

Если ответы на 2 или 3 вопросы положительные, вам нужен Data protection officer. Это прямо предусмотрено ст. 37 GDPR. Но, даже если ответы негативные, вы можете привлечь в команду DPO, чтобы систематически внедрять меры по защите данных и контролировать реализацию политик информационной безопасности в компании.

Например, клиника разрабатывает IT-решение для онлайн консультирования клиентов и хранения медицинской документации. Получается, компания обрабатывает сенситив данные о здоровье и это ее основная деятельность, а значит у компании должен быть DPO. Кроме этого, к разработке и технической поддержке продукта привлекают IT-компанию. Тогда клиника выступает контролером данных, а IT-компания соконтролером или процессором. К примеру, если IT-компания оказывает хостинговые услуги, ее статус — соконтролер. Если же функция в разработке дизайна ПО — процессор.

Какие задачи у DPO?

Data protection officer — это специалист, который разрабатывает и внедряет стратегию информационной безопасности в организации. Перечень задач DPO закреплен в ст. 39 GDPR. Ниже разбираем его функции детально.

Консультирование

DPO информирует топ-менеджмент и команду о технических и организационных мерах, которые нужно внедрить. Тем самым специалист формирует культуру и правила защиты персональных данных внутри компании. Например, разрабатывает стратегии, участвует в разработке документации, проводит обучающие лекции для команды, следит за изменениями законодательства.

Например, организация маркетинговых процессов. Прежде чем разрабатывать и внедрять стратегию стоит проконсультироваться с DPO.

Оператор связи TIM пренебрег таким советом и в январе 2020 года получил 27, 8 млн EUR штрафа за агрессивную маркетинговую стратегию. Компания нарушила сразу 5 статей GDPR: ст. 5 — принципы обработки персональных данных, ст. 6 — законность обработки, ст. 17 — право на забвение, ст. 21 — право на возражение и ст. 32 — безопасность обработки.

Управление по защите данных Италии установило такие нарушение:

Колл-центр от имени TIM сделал миллионы холодных звонков, направленных на потенциальных клиентов без их согласия. С некоторыми номерами связывались до 155 раз в месяц!
Компания собирала согласия с единой подпиской для нескольких целей.
Чтобы получить доступ к программе, клиенты должны были согласиться на рекламу.
TIM не смогли должным образом управлять списками субъектов данных, которые хотели бы исключить информацию о себе из рекламных кампаний.
TIM хранили данные в CRM-системе в течение времени, превышающего ограничения, установленные законом (10 лет).

Если бы компания привлекла в команду DPO или воспользовалась консалтингом на аутсорсе, маркетинговую стратегию можно было бы выстроить без нарушений GDPR, и без ущерба для результатов рекламных кампаний.

Мониторинг

Обязанность специалиста — внутренний и внешний аудит процессов сбора, обработки и хранения данных на соответствие требованиям GDPR. DPO проверяет достоверность информации в протоколах операций по обработке: перечень операций, цели, субъекты данных, срок хранения, меры безопасности, получатели, факты передачи за пределы ЕС. Кроме этого, специалист внедряет инструменты отслеживания и контроля процессинга: анализ логов, обнаружение запрещенных данных, проверка соблюдения сроков хранения.

В декабре 2020 года шведский поставщик медицинских услуг Capio St. Goran получил 2,9 млн EUR штрафа. Аудит показал, что компания не провела надлежащую оценку рисков и не внедрила эффективный контроль доступа. В результате слишком много сотрудников имели доступ к конфиденциальным данным клиентов. В этом кейсе DPO должен был провести оценку, чтобы определить, кому из сотрудников необходим доступ к медицинским записям.

Обязанности DPO включают контроль процессинга обработки не только данных пользователей IT-продуктов и клиентов, но и сотрудников внутри компании.

В октябре 2020 года Управление по защите данных Гамбурга оштрафовало H&M на 35 млн EUR за сбор и хранение информации о семьях, религии и истории болезни своих сотрудников по незаконным причинам. Менеджеры компании проводили опрос сотрудников после отпусков и больничных, и хранили подробности этих разговоров, включая подробности болезней и диагнозы. Кроме этого, менеджеры получили информацию о частной жизни сотрудников: семейных проблемах и религиозных убеждениях. Некоторые из этих данных были записаны в цифровом виде, и доступны для 50 других менеджеров по всей компании.

Документирование деятельности по обработке

Документация демонстрирует выполнение требований законов. Поэтому одна из задач DPO — контролировать ведение и актуализировать содержание документации.

IT-продуктам не обойтись без Privacy Policy и Data Subject Consent Form. Документы нужны, чтобы подключить систему эквайринга, паблишить мобильные приложения в AppStore и GooglePlay; подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать ремаркетинг.
Аутсорсинговым IT-компаниям важно заключать Data protection agreement c клиентами и подрядчиками, и заполнять GDPR-опросники для работы с крупными заказчиками.
Digital-агентства описывают статус DPO и процессы обработки персональных данных в контрактах.

Ниже список внутренних и внешних документов, которые требует GDPR.

Внешние документы

Политика конфиденциальности (Privacy Policy) для IT-продуктов: маркетплейсов, мобильных приложений, GameDev, SaaS-решений и других.
Уведомление о конфиденциальности (Privacy Notice) — публичное заявление о том, как ваша организация применяет принципы обработки данных.
Форма согласия субъекта данных (Data Subject Consent Form). Организация должна получить разрешение от субъектов данных на сбор, обработку и хранения их личной информации с помощью формы согласия.
Реестр DPIA используется для документирования анализа воздействия на защиту данных.

Внутренние документы

Соглашения о защите данных (Data protection agreement) с контрагентами, сотрудниками и подрядчиками.
Политика защиты персональных данных (Personal Data Protection Policy) описание процессов защиты личной информации субъектов данных.
Уведомление о конфиденциальности сотрудников (Employee Privacy Notice) объясняет как организация обрабатывает личную информацию сотрудников.
Политика хранения данных (Data Retention Policy) фиксирует как организована информация, чтобы в любой момент к ней можно было получить доступ, и как организация распоряжается данными, которые больше не нужны.
График хранения данных (Data Retention Schedule) определяет как долго хранятся элементы данных и фиксирует рекомендации по их удалению.
Процедура реагирования и уведомления об утечке данных (Data Breach Response and Notification Procedure).
Реестр утечки данных — внутренние записи всех утечек личных данных.
Форма уведомления об утечке данных в надзорный орган.
Форма уведомления об утечке данных для субъектов данных.
Должностная инструкция сотрудника по защите данных — объяснение команде, которая вовлечена в процессы обработки данных, уровня их ответственности и обязанностей в сфере информационной безопасности.
Инвентаризация деятельности по переработке. Этот документ обязательный, если в организации работает более 250 сотрудников; обработка может привести к риску для прав и свобод субъектов данных; или же она не случайна и включает специальные категории данных.
Стандартные договорные положения о передаче персональных данных (Standard Contractual Clauses). Например, ваша компания попадает под действие GDPR и передает личные данные в государство, не входящее в ЕС.

DPO следит не только за наличием документов, но и содержанием.

В августе 2021 года DPA Ирландии оштрафовал WhatsApp на 225 млн EUR. Все потому что мессенджер не смог должным образом объяснить методы обработки данных в Политике конфиденциальности. Именно DPO должен следить, чтобы уведомление о конфиденциальности было размещено в легкодоступном формате, использовался язык, понятный пользователям. Если компания в документации ссылается на «законные интересы» обработки персональных данных, нужно объяснить, в чем заключаются эти интересы в отношении каждой операции обработки.

Имеет значение и интерфейс.

В январе 2022 года CNIL во Франции оштрафовал Facebook на 60 млн EUR за то, что социальная сеть не смогла получить надлежащее согласие на использование файлов cookie от своих пользователей. DPO в компании должен отслеживать путь пользователя и проводить аудит юзабилити продуктов. Офицер безопасности Facebook c этой задачей не справился. CNIL обратил внимание на то, что интерфейс (форма согласия) не предлагал никаких вариантов, кроме как «принять файлы cookie». У пользователя возникало ощущение, что невозможно отказаться от хранения файлов cookie и что нет возможности управлять ими.

Коммуникация с надзорным органом и субъектами данных

DPO выступает фасилитатором: уведомляет об утечке данных, отвечает на запросы во время расследований, рассматривает жалобы, консультирует в рамках оценки воздействия на защиту персональных данных (DPIA).

Ст. 37 GDPR обязывает контролёра или процессора опубликовать контакты DPO и сообщить их надзорному органу. В ст. 38 GDPR прописано, что субъекты данных обращаются к DPO по всем вопросам, связанным с обработкой их персональных данных.

International Association of Privacy Professionals опубликовала перечень самых сложных задач для DPO. Соблюдение требований по трансграничной передаче данных занимает первое место. Далее идут анализ воздействия на защиту данных и оценка влияния на неприкосновенность личной жизни, обучение сотрудников и менеджерирование прав субъектов данных.

задачи офицера безопасности

Функции DPO будут отличаться в зависимости от процессов обработки данных в компании.

Конфликт интересов в работе DPO

DPO может выполнять другие обязанности в компании, но функции не должны конфликтовать между собой. Например, функции DPO часто выполняют директор по управлению рисками (CRO), финансовый директор (CFO), директор по информационной безопасности (CISO) или даже директор по данным (CDO).

В апреле 2020 года Бельгийское управление по защите данных наложило 50 000 евро штрафа на оператора связи за несоблюдение требований GDPR при назначении DPO. Один сотрудник совмещал функции руководителя отдела аудита, рисков и соответствия и офицера по обеспечению безопасности. Такую ситуацию можно охарактеризовать как “самоконтроль”. Так как один и тот же человек определяет цели и средства обработки данных, и он же контролирует их соответствие GDPR. Надзорный орган решил, что DPO в таких условиях не имел достаточной независимости.

Ситуация, в которой DPO выступает руководителем отдела, который обрабатывает данные, противоречит самой сути профессии, так как соблюсти баланс интересов невозможно.

Кроме этого, DPO не должен получать инструкций по выполнению обязанностей. Этого требует ст. 38 GDPR. Офицер безопасности не может быть уволен или наказан за выполнение своих обязанностей. Поэтому ему нужна высокая степень автономии.

Меню статьи