Data protection officer: роль, обов’язки та важливість для бізнесу

В епоху глобалізації та діджиталізації все більше підприємств мають змогу працювати у декількох державах одночасно. Цей процес супроводжується необхідністю дотримуватись все більшої кількості законодавчих вимог, ігнорування яких може спричинити небажані наслідки, в тому числі значні штрафи. Однією з таких вимог, зокрема для підприємств що працюють на території Європейського союзу або з його громадянами та збирають персональні дані є дотримання положень GDPR. Одним із важливих аспектів регулювання збору та використання персональних даних у Європі є призначення бізнесом data protection officer.

Хто такий Data Protection Officer (DPO)

Data protection officer (DPO) – це співробітник з питань захисту даних, спеціаліст з питань GDPR комплаєнсу та відповідності іншому законодавству з питань захисту перснальних даних. Зазвичай на роль DPO найкраще підходять юристи або експерти з інформаційної безпеки. Питання діяльності DPO регламентуються ст. ст. 37-39 GDPR. На цю посаду може бути призначений як працівник компанії (внутрішній DPO), так і незалежний підрядник на підставі договору про надання послуг (зовнішній DPO). Статтею 37 GDPR встановлені випадки коли призначення DPO для бізнесу є обов’язковим:

• основні види діяльності бізнесу становлять операції опрацювання персональних даних, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб’єктів даних;
• основні види діяльності бізнесу становлять широкомасштабне опрацювання спеціальних (чутливих) категорій даних.

Звертаємо увагу, що ці випадки не є вичерпними, а додаткові умови обов’язкового призначення DPO можуть бути передбачені державою-учасницею ЄС у локальному регулюванні. З огляду на це рекомендуємо в будь-якому випадку подбати про наявність зовнішнього DPO у разі роботи з персональними даними в межах дії GDPR.

Основні функції Data Protection Officer

Перша й основна функція DPO – це вирішення усіх питань, пов’язаних із обробкою персональних даних підприємством в межах GDPR. Ця функція може передбачати складення документації, розробка та аудит способів захисту персональної інформації, надання консультацій, тощо. 

Ще одна функція – репрезентативна. Особи, що надають свої персональні дані можуть звертатись із запитами, скаргами, тощо, напряму до DPO. Також до функцій DPO може входити комунікація із органами державної влади та навіть судове представництво, однак зазначимо, що юридичної відповідальності за дії підприємства в сфері обробки персональних даних DPO не несе.

Завдання та обов’язки DPO

Основні завдання DPO в цілому співпадають із його функціями та полягають у:

• інформування та консультування бізнесу і його працівників, які здійснюють опрацювання персональних даних, щодо їхніх обов’язків відповідно до GDPR та інших положень про захист даних ЄС;
• моніторинг комплаєнсу діяльності підприємства із GDPR, внутрішніми положеннями, локальним регулюванням, тощо;
• розробка, аудит способів обробки і захисту персональних даних, супровід їх впровадження;
• комунікація з контролюючими органами з питань використання персональних даних, тощо.

Відповідальність та важливість DPO для бізнесу

GDPR встановлює доволі суворі штрафи за порушення положень про захист персональних даних. Їх розмір залежить від багатьох факторів, зокрема тяжкості порушення, однак верхня межа сягає 10,000,000 євро або 2% від річного обігу компанії за менші порушення та 20,000,000 євро або 4% від річного обігу компанії за більш серйозні порушення.

Відтак безспірною є важливість призначення DPO для будь-якого бізнесу. Однак, основний вибір полягає між призначенням внутрішнього або зовнішнього DPO.

Коли необхідно залучати зовнішнього DPO

Зовнішній DPO є ідеальним вибором для малого та середнього бізнесу, якому немає потреби брати додаткового працівника на повний робочий день. Зовнішній DPO здійснює свою діяльність на договірній основі, що значно скорочує витрати та забезпечує ту саму ефективність роботи. Більше того, зовнішній DPO може бути залучений до роботи великих компаній або компаній із декількома філіалами за умови надання повного доступу до необхідної інформації та документації.

Спеціалісти ІНФЕРНО ДЛК надають послуги зовнішнього DPO та забезпечать вашому бізнесу бездоганний комплаєнс із положеннями про захист персональних даних.

Frequently asked questions:

1. Чи потрібен DPO, якщо компанія зареєстрована в Україні?
   Якщо ваш бізнес надає послуги громадянам ЄС – на вас поширюються вимоги GDPR. За таких умов призначення DPO є необхідним, навіть якщо компанія зареєстрована в Україні.
2. What is the cost of services?
   The cost of services depends on specific circumstances and is formed after the lawyer processes the client's request. To find out the price of services, please contact the relevant contacts.