DPO в контексті законопроєкту 8153. Аналізуємо специфіку статусу та труднощі, які можуть виникнути для бізнесу.
Зміни до українського законодавства в сфері захисту персональних даних, закладені в законопроєкті № 8153 від 25 жовтня 2022 року, впроваджують норми Загального регламенту захисту даних (GDPR) і суттєво розширюють обов'язки підприємств, які займаються обробкою даних клієнтів. Це включає проведення оцінки впливу на захист даних, а також ведення реєстру обробок інформації. Хоча ці завдання можуть бути виконані юристами, в окремих випадках закон зобов'язує компанії призначити спеціальну особу, відповідальну за захист персональних даних, відому в термінології GDPR як Офіцер із захисту даних (DPO).
У цьому дописі пропоную розібратись з тим, яку роль виконуватиме Відповідальна особа, на кого поширюються вимоги щодо її призначення, в чому особливості цієї посади і які нюанси та ризики має враховувати бізнес при її впровадженні.
Спеціаліст, відповідальний за захист персональних даних, займається управлінням всього процесу обробки персональних даних у організації — починаючи з їх збору з різних джерел і закінчуючи їх остаточним видаленням. Основні обов'язки цієї особи включають:
У практичному застосуванні така позиція передбачає активну участь у бізнес-процесах. Важливо, щоб бізнес усвідомлював: особа, відповідальна за дотримання законодавства, не зможе забезпечити захист компанії від правопорушень та виконати вимоги закону без наявності ефективних інструментів впливу. Як зазначає європейський регулятор, відповідальність за дотримання норм законодавства з захисту персональних даних лежить на самій компанії, а роль Відповідальної особи полягає в запобіганні порушенням та наданні можливих рішень. Тому ряд гарантій незалежності для цієї посади закріплюється на законодавчому рівні.
Законопроєкт 8153 передбачає, що призначення Відповідальної особи є обов'язковим для бізнесу, основна діяльність якого вимагає обробки чутливих даних (про стан здоров'я тощо), широкомасштабної обробки персональних даних (в т. ч. систематичного та широкомасштабного моніторингу суб'єктів персональних даних). Ці поняття докладно роз'яснюються загальноєвропейським регулятором, аналогічних варто згодом очікувати й в Україні.
Наразі можна сказати, що заклади охорони здоров'я, аптечні заклади, готелі, фітнес-клуби, маркетингові агенції, торгівельні мережі, онлайн-магазини, що здійснюють профілювання користувачів, - усі вони потенційно підпадатимуть під обов'язок призначити Відповідальну особу.
Законопроєкт 8153 передбачає можливість призначення єдиної Відповідальної особи для всієї групи компаній, за умови, що ця особа буде доступною для всіх учасників групи. Цей підхід було запозичено з регламенту GDPR.
Актуальна версія законопроєкту 8153 визначає, що особа, яка претендує на цю посаду, повинна мати щонайменше ступінь бакалавра та досвід роботи у галузі захисту персональної інформації.
Слід відзначити, що спектр завдань, перед якими постає Відповідальна особа, зазвичай розташовується на перетині права та технологій. Юридична освіта дозволяє всебічно підходити до опрацювання необхідних документів, зокрема угод щодо обробки даних. Водночас глибоке розуміння технологічних аспектів — від механізму роботи cookies та localStorage до функціонування баз даних і штучного інтелекту — дозволяє виявляти ризики та ухвалювати обґрунтовані рішення.
Незалежність є основною характеристикою цієї ролі. Особи, відповідальні за виконання даних обов'язків, не повинні бути підпорядковані середньому управлінському рівню (і, таким чином, не можуть входити до складу юридичних або інших структурних підрозділів), оскільки закон вимагає, щоб вони були підзвітні та підконтрольні безпосередньо керівнику організації.
Наступний ключовий момент стосується конфлікту інтересів: законопроєкт 8153 встановлює, що на Відповідальну особу не можуть бути покладені додаткові посадові зобов'язання, які передбачають ухвалення рішень щодо обробки персональних даних або представлення інтересів компанії в судових чи арбітражних справах, пов'язаних із захистом цих даних. Цей підхід запозичено з рекомендацій європейського регулятора, який підкреслює, що співробітник може поєднувати обов'язки Відповідальної особи з іншою посадою лише в тому випадку, якщо ця інша посада не пов'язана з визначенням цілей та засобів обробки даних. Такий підхід зумовлений необхідністю гарантувати об'єктивність, неупередженість та незалежність Відповідальної особи у процесі ухвалення рішень, зокрема щодо заборони певних видів обробки даних, якщо вони суперечать законодавчим вимогам.
До речі, штраф наглядового органу Бельгії, накладений на банк в розмірі 75 тис. євро за доручення функцій DPO особі, яка займала посаду керівника відділу управління операційними та інформаційними ризиками (справа № DOS-2020-03763) - яскравий приклад допущення конфлікту інтересів.
Таким чином, в ролі зовнішнього підрядника можуть виступати як юридичні особи, так і фізичні особи-підприємці. До підрядників застосовуються аналогічні вимоги, як і до співробітників, тому важливо врахувати необхідність процедурної автономії, забезпечення незалежності та дотримання вимог щодо уникнення конфлікту інтересів у контракті на надання послуг.
Розподіл відповідальності
Підхід загальноєвропейського регулятора в питаннях визначення зони відповідальності DPO принциповий: він не несе персональної відповідальності за недотримання компанією вимог GDPR - це одна з гарантій його незалежного статусу. Тобто якщо бізнес приймає рішення, яке прямо суперечить позиції та рекомендаціям DPO, відповідальність за порушення покладатиметься саме на компанію.
Законопроєкт 8153 також передбачає, що Відповідальну особу не може бути звільнено чи примушено до звільнення, притягнуто до дисциплінарної відповідальності чи піддано з боку компанії іншим негативним заходам впливу (переведення, атестація, зміна умов праці, зменшення заробітної плати тощо) або загрозі таких заходів впливу у зв'язку з належним виконанням ним завдань, передбачених цим Законом.
Ця заборона на вплив, закріплена на законодавчому рівні, є яскравим підтвердженням того, наскільки глибоко Відповідальна особа інтегрована у бізнес-процеси (як вже було зазначено раніше) і які "незручні" рішення та рекомендації іноді потрібно висловлювати, щоб виконати свої обов'язки. Таким чином, гарантії незалежності забезпечують можливість діяти у відповідності до необхідних вимог.
За задумом європейського законодавця, Відповідальна особа має змінювати культуру прийняття рішень - з позиції поваги до приватності клієнтів. Питання лише в тому, наскільки український бізнес готовий дати їй працювати по-справжньому. Тож найцікавіше, як завжди, попереду.
#Бізнес #Україна #Європа #Юрист #Сміливіше. #Юридична особа #Маркетинг #Вища освіта #Євро #Законодавство #Автономія #Моніторинг #Банк #Персональні дані #Бізнес-процес #Бельгія #Конфіденційність #Захист даних #Загальний регламент про захист даних #Конфлікт інтересів #Закон України «Про захист персональних даних» #Дисциплінарна відповідальність #Незалежність
