м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00
Блог /

Data protection officer - кому потрібен і які функції у фахівця

 

International Association of Privacy Professionals опитали 65 000+ респондентів у всьому світі та опублікували звіт про фахівців у сфері інформаційної безпеки. 74% компаній найняли Data protection officer у 2021 році. 41% компаній залучили до команди 1 офіцера інформаційної безпеки, 18% — 2 і більше, і ще 15% — передали функції на аутсорс.

офіцер інформаційної безпеки

А лідерами застосування заходів інформаційної безпеки стала Tech-індустрія.

Давайте розбиратися, яким компаніям потрібні Data protection officers і які завдання виконує співробітник.

 

У тексті статті ви зустрінете 3 терміни: суб'єкт даних, контролер та процесор. Відразу пояснимо, що вони означають.

Суб'єкт даних надає інформацію, яку збирає, обробляє і зберігає компанія. Наприклад, користувач Facebook буде суб'єктом даних, оскільки передає корпорації особисту інформацію, яка його ідентифікує. Facebook буде контролером, тому що збирає дані безпосередньо від користувача і вирішує, як їх далі обробляти. Процесор (оператор) обробляє дані за дорученням контролера. Він не визначає цілі обробки, а просто надає послуги.

 

Чи потрібен вашій компанії офіцер із забезпечення безпеки інформації?

DPO — це обов'язкова умова лише у конкретних випадках.

 

Ось 3 питання, на які варто відповісти, щоб зрозуміти, чи потрібен вам такий фахівець.

  1. На вашу компанію розповсюджуються вимоги GDPR?

    Правила регламенту поширюються на ваш бізнес, якщо ви перебуваєте в ЄС або опрацьовуєте дані громадян ЄС. А саме продаєте товари або надаєте послуги, збираєте та обробляєте особисту інформацію користувачів IT-продуктів, наймаєте співробітників.

    Якщо щось з перерахованого вище характеризує ваш бізнес, переходьте до наступного питання.

  2. Чи проводить ваша компанія регулярний, систематичний моніторинг даних у великому обсязі?

    Під регулярною обробкою розуміють безперервні дії або дії, що відбуваються через проміжки часу. А під систематичною обробкою — заздалегідь організовані дії в рамках стратегії компанії.

    Якщо обробка особистих даних необхідна для досягнення цілей організації, то відповідь на питання позитивна. Отже вам потрібно залучати офіцера безпеки.

  3. Ваша компанія збирає спеціальні категорії персональних даних окремих осіб?

До таких даних відноситься інформація про здоров'я, сексуальну орієнтацію, расове або етнічне походження, політичні погляди, релігію. А також генетичні та біометричні дані.

Якщо відповіді на 2 або 3 запитання позитивні, вам потрібен Data protection officer. Це прямо передбачено ст. 37 GDPR. Але навіть якщо відповіді негативні, ви можете залучити до команди DPO, щоб систематично впроваджувати заходи щодо захисту даних та контролювати реалізацію політик інформаційної безпеки в компанії.

Наприклад, клініка розробляє IT-рішення для онлайн консультування клієнтів та зберігання медичної документації. Виходить, компанія обробляє сенситив дані про здоров'я і це її основна діяльність, а отже, у компанії повинен бути DPO. Крім того, до розробки та технічної підтримки продукту залучають IT-компанію. Тоді клініка виступає контролером даних, а IT-компанія — співконтролером або процесором. Наприклад, якщо IT-компанія надає послуги хостингу, її статус — співконтролер. Якщо ж функція розробки дизайну ПЗ — процесор.

 

Які завдання у DPO?

Data protection officer – це фахівець, який розробляє та впроваджує стратегію інформаційної безпеки в організації. Перелік завдань DPO закріплено у ст. 39 GDPR. Нижче розбираємо його функції детально.

Консультування

DPO інформує топ-менеджмент та команду про технічні та організаційні заходи, які потрібно впровадити. Тим самим фахівець формує культуру та правила захисту персональних даних всередині компанії. Наприклад, розробляє стратегії, бере участь у розробці документації, проводить навчальні лекції для команди, стежить за змінами законодавства.

Наприклад, організація маркетингових процесів. Перш ніж розробляти та впроваджувати стратегію, варто проконсультуватися з DPO. Оператор зв'язку TIM знехтував такою порадою і в січні 2020 року отримав 27, 8 млн EUR штрафу за агресивну маркетингову стратегію. Компанія порушила одразу 5 статей GDPR: ст. 5 — принципи обробки персональних даних, ст. 6 — законність обробки, ст. 17 — право на забуття, ст. 21 — право на заперечення та ст. 32 — безпека обробки.

Управління захисту даних Італії встановило такі порушення:

  • Колл-центр від імені TIM зробив мільйони холодних дзвінків потенційним клієнтам без їхньої згоди. З деякими номерами зв'язувалися до 155 разів на місяць!
  • Компанія отримувала згоди з єдиною підпискою для кількох цілей.
  • Щоб отримати доступ до програми, клієнти мали погодитись на рекламу.
  • TIM не змогли належним чином керувати списками суб'єктів даних, які б хотіли виключити інформацію про себе з рекламних кампаній.
  • TIM зберігали дані в CRM-системі протягом часу, що перевищує обмеження, встановлені законом (10 років).

Якби компанія залучила до команди DPO або скористалася консалтингом на аутсорсі, маркетингову стратегію можна було б побудувати без порушень GDPR і без шкоди для результатів рекламних кампаній.

 

Моніторинг

Обов'язок спеціаліста — внутрішній та зовнішній аудит процесів збирання, обробки та зберігання даних на відповідність вимогам GDPR. DPO перевіряє достовірність інформації в протоколах операцій з обробки: перелік операцій, цілі, суб'єкти даних, термін зберігання, заходи безпеки, одержувачі, факти передачі за межі ЄС. Крім цього, фахівець запроваджує інструменти відстеження та контролю процесингу: аналіз логів, виявлення заборонених даних, перевірка дотримання термінів зберігання.

У грудні 2020 року постачальник медичних послуг Capio St. Goran отримав 2,9 млн. EUR штрафу. Аудит показав, що компанія не провела належну оцінку ризиків та не запровадила ефективний контроль доступу. В результаті надто багато співробітників мали доступ до конфіденційних даних клієнтів. У цьому кейсі DPO повинен був провести оцінку, щоб визначити, кому із співробітників необхідний доступ до медичних записів.

Обов'язки DPO включають контроль процесингу обробки як даних користувачів IT-продуктів і клієнтів, так і співробітників всередині компанії.

У жовтні 2020 року Управління захисту даних Гамбурга оштрафовало H&M на 35 млн EUR за збір та зберігання інформації про сім'ї, релігію та історію хвороби своїх співробітників з незаконних причин. Менеджери компанії проводили опитування співробітників після відпусток та лікарняних, та зберігали подробиці цих розмов, включаючи подробиці хвороб та діагнози. Крім цього, менеджери отримували інформацію про приватне життя співробітників: сімейні проблеми та релігійні переконання. Деякі з цих даних були записані у цифровому вигляді, та доступні для 50 інших менеджерів по всій компанії.

 

Документування діяльності з обробки

Документація демонструє виконання вимог законів. Тому одне із завдань DPO — контролювати ведення та актуалізувати зміст документації.

  • IT-продуктам не обійтися без Privacy Policy та Data Subject Consent Form. Документи потрібні, щоб підключити систему еквайрингу, збільшити мобільні програми в AppStore та GooglePlay; підключити Google Analytics, Google Ads, збирати дані за допомогою файлів cookie, використовувати ремаркетинг.
  • Аутсорсинговим IT-компаніям важливо укладати Data protection agreement з клієнтами та підрядниками та заповнювати GDPR-опитувальники для роботи з великими замовниками.
  • Digital-агентства описують статус DPO та процеси обробки персональних даних у контрактах.

 

Нижче список внутрішніх та зовнішніх документів, які вимагає GDPR.

Зовнішні документи

  • Політика конфіденційності (Privacy Policy) для IT-продуктів: маркетплейсів, мобільних додатків, GameDev, SaaS-рішень та інших.
  • Повідомлення про конфіденційність (Privacy Notice) — публічна заява про те, як ваша організація застосовує принципи обробки даних.
  • Форма згоди суб'єкта даних (Data Subject Consent Form). Організація повинна отримати дозвіл від суб'єктів даних на збирання, обробку та зберігання їх особистої інформації за допомогою форми згоди.
  • Реєстр DPIA використовується для документування аналізу на захист даних.

 

Внутрішні документи

  • Угоди про захист даних (Data protection agreement) з контрагентами, співробітниками та підрядниками.
  • Політика захисту персональних даних (Personal Data Protection Policy) — опис процесів захисту особистої інформації суб'єктів даних.

  • Повідомлення про конфіденційність співробітників (Employee Privacy Notice) пояснює, як організація обробляє особисту інформацію співробітників.

  • Політика зберігання даних (Data Retention Policy) фіксує як організована інформація, щоб у будь-який момент до неї можна було отримати доступ, і як організація розпоряджається даними, які не потрібні.

  • Графік зберігання даних (Data Retention Schedule) визначає як довго зберігаються елементи даних і фіксує рекомендації щодо їх видалення.

  • Процедура реагування та повідомлення про витік даних (Data Breach Response and Notification Procedure).

  • Реєстр витоку даних — внутрішні записи всіх витоків особистих даних.

  • Форма повідомлення про витік даних до органу нагляду.

  • Форма повідомлення суб'єктів даних про витік даних.

  • Посадова інструкція співробітника із захисту даних — пояснення команді, яка залучена до процесів обробки даних, рівня їхньої відповідальності та обов'язків у сфері інформаційної безпеки.

  • Інвентаризація діяльності з обробки. Цей документ є обов'язковим, якщо в організації працює понад 250 співробітників; обробка може призвести до ризику права і свободи суб'єктів даних; або вона не випадкова і включає спеціальні категорії даних.

  • Стандартні договірні положення про передачу персональних даних (Standard Contractual Clauses). Наприклад, ваша компанія підпадає під дію GDPR і передає особисті дані до держави, яка не входить до ЄС.

 

DPO стежить не лише за наявністю документів, а й за їх змістом.

У серпні 2021 року DPA Ірландії оштрафував WhatsApp на 225 млн EUR. Все тому, що месенджер не зміг належним чином пояснити методи обробки даних у Політиці конфіденційності. Саме DPO повинен стежити, щоб повідомлення про конфіденційність було розміщено у доступному форматі, використовувалася мова, зрозуміла користувачам. Якщо компанія в документації посилається на «законні інтереси» обробки персональних даних, потрібно пояснити, у чому ці інтереси щодо кожної операції обробки.

Має значення й інтерфейс.

У січні 2022 року CNIL у Франції оштрафував Facebook на 60 млн. EUR за те, що соціальна мережа не змогла отримати належної згоди на використання файлів cookie від своїх користувачів. DPO у компанії повинен відстежувати шлях користувача та проводити аудит юзабіліті продуктів. Офіцер безпеки Facebook цього завдання не впорався. CNIL звернув увагу на те, що інтерфейс (форма згоди) не пропонував жодних варіантів, окрім «прийняти файли cookie». У користувача виникало відчуття, що неможливо відмовитись від зберігання файлів cookie і що немає можливості керувати ними.

 

Комунікація з наглядовим органом та суб'єктами даних

DPO виступає фасилітатором: повідомляє про виток даних, відповідає на запити під час розслідувань, розглядає скарги, консультує в рамках оцінки впливу на захист персональних даних (DPIA).

Ст. 37 GDPR зобов'язує контролера або процесора опублікувати контакти DPO та повідомити їх наглядовому органу. У ст. 38 GDPR зазначено, що суб'єкти даних звертаються до DPO з усіх питань, пов'язаних з обробкою їх персональних даних.

 

International Association of Privacy Professionals опублікувала перелік найскладніших завдань для DPO. Дотримання вимог щодо транскордонної передачі даних посідає перше місце. Далі йдуть аналіз впливу на захист даних та оцінка впливу на недоторканність особистого життя, навчання співробітників та менеджерство прав суб'єктів даних.

задачі офіцера інформаційної безпеки

Функції DPO відрізнятимуться залежно від процесів обробки даних у компанії.

 

Конфлікт інтересів у роботі DPO

DPO може виконувати інші обов'язки у компанії, але функції не повинні конфліктувати між собою. Наприклад, функції DPO часто виконують директор з управління ризиками (CRO), фінансовий директор (CFO), директор з інформаційної безпеки (CISO) або навіть директор з даних (CDO).

У квітні 2020 року Бельгійське управління захисту даних наклало 50 000 євро штрафу на оператора зв'язку за недотримання вимог GDPR при призначенні DPO. Один співробітник поєднував функції керівника відділу аудиту, ризиків і відповідності та офіцера із безпеки даних. Таку ситуацію можна охарактеризувати як самоконтроль. Так як одна і та сама людина визначає цілі та засоби обробки даних, і вона ж контролює їх відповідність GDPR. Орган нагляду вирішив, що DPO в таких умовах не мав достатньої незалежності.

Ситуація, в якій DPO виступає керівником відділу, який обробляє дані, суперечить самій суті професії через неможливість дотримання балансу інтересів.

Крім цього, DPO не повинен отримувати інструкцій щодо виконання обов'язків. Цього вимагає ст. 38 GDPR. Офіцер безпеки не може бути звільнений або покараний за виконання своїх обов'язків. Тому йому потрібненвисокий рівень автономії.

 

 

 

 

 

Меню статті
Слідкуйте за останніми новинами

Останні статті

Як забезпечити безпеку даних за допомогою DPA?
Як забезпечити безпеку даних за допомогою DPA?
27.07.22
Що таке Data protection agreement, кому потрібно підписувати DPA та що написати в DPA
Читати статтю
Data protection officer - кому потрібен і які функції у фахівця
Data protection officer - кому потрібен і які функції у фахівця
08.07.22
Каким компаниям нужны Data protection officers и какие задачи выполняет сотрудник.
Читати статтю
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
16.06.22
Якщо ви збираєтеся організувати релокейт в Польщу, стаття для вас. IT-юристи розповідають як вийти на європейський ринок, зареєструвати компанію, перекласти та оформити команду.
Читати статтю
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
01.06.22
Політика конфіденційності. Як скласти політику конфіденційності для сайту
Читати статтю
Інструкція для IT-компаній зі складання гіг-контрактів
Інструкція для IT-компаній зі складання гіг-контрактів
31.05.22
Розповідаємо про плюси і мінуси гіг-контракту, і чим він відрізняється від договору з ФОП.
Читати статтю

Кейси на тему статті

Всі кейси
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK