Data Protection Officer — GDPR обновляет профессию



    25 мая 2018 года вступил в силу новый европейский регламент по защите персональных данных (далее GDPR – General Data Protection Regulation). Этот регламент известен своим экстерриториальным действием: он обязателен к применению во всех странах ЕС, а при некоторых условиях распространяет своё действие и на неевропейские компании или вынуждает их приводить свою деятельность в соответствие требованиям GDPR, чтобы не потерять европейского партнера. Следовательно, российский бизнес тоже может быть затронут новым законом, общий анализ которого доступен здесь. GDPR усиливает ранее установленный режим защиты персональных данных, а также вводит новые обязательства для организаций, обрабатывающих такие данные.

    В частности, регламент провёл модернизацию уже существовавшей профессии ответственного по защите данных (далее DPO — Data Protection Officer). Эта должность была предусмотрена ещё рамочной директивой 1995 года, которая и была заменена новым текстом. Предыдущее законодательство регламентировало деятельность такого специалиста, но не настаивало на его назначении в обязательном порядке.

    В каких случаях нужно назначать DPO?


    Сегодня, в эру GDPR, назначение DPO стало обязательным в следующих случаях (статья 37 GDPR):

    • В компаниях, которые систематически и регулярно осуществляют крупномасштабный мониторинг лиц (чаще всего речь идёт о мониторинге в целях контекстной рекламы);
    • В компаниях, которые осуществляют крупномасштабную обработку особых категорий персональных данных, таких как данные о состоянии здоровья и т.д.;
    • В любых публичных органах, которые осуществляют обработку персональных данных.

    Во всех других случаях назначение DPO остаётся факультативным. Тем не менее, европейские регуляторы в один голос призывают не пренебрегать таким специалистом и делегировать полномочия по защите персональных данных профессионалу в этой сфере.

    Такое нововведение европейского законодателя легко объясняется философией самого регламента: усиленный режим защиты данных; повышенная ответственность лиц, обрабатывающих данные; огромные санкции в случае нарушения диспозиций GDPR. Чтобы привести свою деятельность в соответствие с новыми требованиями, предприятия нуждаются в поддержке узконаправленных специалистов.

    Дефицит на рынке услуг DPO


    Правда парламентарии не учли или просто проигнорировали тот факт, что нынешний рынок услуг в сфере защиты персональных данных не готов выдержать такой наплыв новых клиентов, вынужденных рекрутировать DPO. Несмотря на то, что эта профессия существует уже не один день, количество специалистов оставляет желать лучшего даже на европейском рынке. Так, согласно исследованиям IAPP (International Association of Privacy Professionals), 28 тыс. специалистов должно быть нанято в 2018 году только в ЕС и США. А по всему миру эта цифра вырастает вплоть до 75 тыс.

    Очевидно, что такой спрос не может быть удовлетворён исключительно ин-хаус профессионалами (внутренние работники компаний). В связи с этим, многие компании обращаются к внешним консалтинговым организациям, оказывающим услуги DPO. Например, для представителей среднего и малого бизнеса это может оказаться намного проще, чем наём нового сотрудника. В любом случае, внешний или внутренний статус почти никак не влияет на деятельность самого DPO.

    DPO — юрист или специалист IT?


    В первую очередь необходимо понимать, что DPO должен обладать юридическими знаниями. Такой вывод прямо следует из статьи 39 европейского регламента, которая перечисляет задачи и миссии DPO. В большей степени, это, конечно же, юрист. К тому же, это должен быть юрист, который обладает крепкими управленческими навыками и должной технической экспертизой, то есть менеджер.

    Реже в роли DPO выступают и специалисты в сфере информационных технологий, которые имеют лишь базовые представления о праве. Правда такая ситуация характерна для западных стран. На отечественном рынке защиты персональных данных доминируют именно IT-специалисты, а вовсе не юристы. Уже вступивший в силу GDPR должен склонить чашу весов на сторону правоведов и в России, точнее сказать специализированных правоведов.

    Так или иначе, крупные корпорации, разумеется, предпочитают нанимать одних специалистов для обеспечения IT безопасности и других — для персональных данных. Малый и средний бизнес стараются делать выбор в пользу одного сотрудника, компетентного в обеих сферах.
    Почему же так происходит? Ответ лежит на поверхности: GDPR возлагает на компании слишком широкий спектр обязанностей.

    С одной стороны, нужно обеспечивать безопасность персональных данных, правильно реагировать в случае их утечки. Этим обычно занимаются «айтишники». С другой стороны, нужно заключать договоры, юридически соответствующие требованиям регламента, вести специально предусмотренные реестры, контактировать с надзорными органами и выполнять другие «бумажные» обязанности. А этим обычно занимаются именно юристы, иногда еще менеджеры.

    В результате, хороший специалист в сфере персональных данных представляет собой своеобразный микс всех этих профессий.

    Чем занимается DPO?


    Что касается периметра деятельности DPO, то такой сотрудник займётся всем необходимым, чтобы компания полностью соответствовала европейскому регламенту и другим актам в сфере защиты персональных данных и, таким образом, избежала крупных санкций, а также договорных рисков с партнерами.

    DPO проведёт общий аудит деятельности, выявит все категории персональных данных, обрабатываемых компанией, предложит меры по обеспечению их безопасности, а также общую стратегию развития в направлении законного использования данных. Он же будет вести переговоры с надзорным органом в случае необходимости. Он же поможет правильно реагировать на запросы лиц, чьи данные обрабатываются компанией. В общем и целом, практически все, что касается персональных данных попадёт под периметр деятельности DPO.

    Стоит ли пренебрегать таким сотрудником в эпоху GDPR, а также в разгар крупных скандалов с утечкой персональных данных, решать уже самим компаниям. Но еще раз, решать это необходимо только тем, кто не имеют прямой обязанности назначать DPO.

    Особенности предоставления услуг DPO


    Когда организация задумывается над рекрутированием DPO, важно при этом понимать, что существует два основных вида оказания услуг в этой области: вышеупомянутые ин-хаус и консалтинг. В первом случае наём сотрудника происходит по трудовому договору, во втором — внешняя консалтинговая компания оказывает услуги DPO по гражданско-правовому договору. Независимо от выбранного варианта, юридически ответственным лицом по-прежнему останется сама компания. DPO ни в каком случае не несёт ответственность за несоблюдение компанией диспозиций GDPR.

    К тому же, европейский регламент строго предусматривает полную независимость специалиста по защите персональных данных. В случае ин-хауса, DPO может быть подотчетен только лицу, занимающему наивысший пост в иерархии. В случае внешнего консалтинга, DPO не должен оказаться в ситуации конфликта интересов, что часто бывает если это, например, адвокат.
    В любом случае, конфликт интересов и независимость DPO всегда проверяются надзорным органом в сфере защиты персональных данных. Это обязательный процесс и любое назначение DPO должно декларироваться регулятору. Иначе говоря, каждый раз, когда назначается DPO, надзорный орган должен быть об этом извещен.

    Более подробно о всевозможных тонкостях связанных с назначением DPO как в обязательном порядке, так и не в обязательном, а также о его функциях и миссиях можно узнать из Гайдлайна рабочей группы WP29. Эта организация существовала в эпоху рамочной директивы 1995 года, и её главной задачей было толкование законодательства в сфере защиты персональных данных. Со вступлением в силу GDPR, на смену рабочей группе пришёл Европейский совет по защите данных (European Data Protection Board), но работы WP29 не потеряли своего значения.

    Немного инсайдов о профессии DPO


    На сегодняшний день, совершенно непонятно, каким бэкграундом должен обладать соискатель должности DPO в России. Образовательные учреждения почти не предоставляют специальных программ в сфере цифрового права или защиты персональных данных. Конечно, и спрос на отечественном рынке в разы меньше, чем на европейском, но не настолько, чтобы оправдать такой пробел. Крупные юрфаки только начинают вводить спецкурсы по направлению IT.

    Многие международные организации давно предоставляют различные способы сертификации. Например, уже упомянутая IAPP предлагает подготовительный курс по GDPR и сертифицирует успешно сдавших экзамен. Такой курс доступен всем желающим и аккредитация IAPP высоко ценится по всему миру.

    Что касается доходности профессии, то если верить, например, французской ассоциации ответственных по защите персональных данных, заработок среднестатистического DPO в Европе составляет от 2,5 тыс. до 4 тыс. евро. Эта вилка примерно соответствует среднему доходу европейского программиста. Как вывод, стоит ожидать приблизительное равенство между доходами этих двух профессий и на отечественном рынке.


    Подводя итоги, необходимо подчеркнуть, что Data Protection Officer – это молодая профессия, которая получила существенный толчок к развитию благодаря вступлению в силу нового европейского регламента GDPR. На сегодняшний день, защита персональных данных по GDPR — это научный тренд, на который нужно обратить внимание компаниям по всему миру, а не только в Европе. В скором времени, полноценное сотрудничество с европейскими партнерами станет возможным исключительно при соблюдении GDPR, что трудно себе представить без интеграции профессии DPO как минимум в секторе консалтинговых услуг.

    image
    Digital Rights Center
    99,00
    Юридическая помощь в цифровом пространстве
    Поделиться публикацией

    Комментарии 13

      +2

      Сейчас DPO одна из профессий по которой россиянину можно работать в Европе в связи с востребованностью. Правда в общем случае английского будет маловато, нужно знать хорошо один из европейских целевой страны.

        +1
        Персональныке данные -это конечный массив данных (приблизительно).
        Когда все данные будут в 3-4 х базах тогда все GDPR и закончится.
        Рынок победит.
        Персданные будут товаром (они и сейчас таковые есть, но с разной ценой).
        Я думаю 10 лет срок стабилизации ситуации.
          +2
          Конечный? Люди перестанут рождаться, увольняться, переезжать, жениться, разводиться и т.д.?
            +1
            Вы говорите об обновлении данных, о работе уже с готовым массивом данных — а так он конечный (приблизительно)…
              +1
              Перс данные находятся в информационных системах различных категорий, это бесконечный и меняющийся предмет регулирования.
                +1
                Количество субъектов ПДн на планете конечно!
                Я говорю о том, что Иванов Иван Иванович + его перс данные — это конечный экземпляр! А регулировать инфосистемы мы можем до бесконечности.
                Т.е. БД сформируются и далее будут только обслуживаться — обработка, хранение, уничтожение…
                  +1
                  В этом контексте понятно, мысль о том, что операторами всех субъектов ПДН будут 2-3 компании, тоже имеет право на существование.
          +3

          Всё верно, но есть тонкости. Например некоторые страны вводят дополнительные требования к DPO на своём законодательном уровне (так как GDPR сам по себе существует редко где в ЕС, его дополняют, где разрешено, детализированными национальными законами о защите персональных данных. Я в Латвии сдавал экзамен на специалиста по защите персональных данных ещё до того, как вступил в силу GDPR. По опыту могу сказать, что 80% сдававших — юристы, и лишь оставшиеся 20 — представители IT. Сам я имею оба диплома, и на практике DPO почти всегда юристы — на инциденты реагируют инфосеки и бизнес оунеры, а уж DPO решает, как поступить в конкретной ситуации.

            +2
            Вроде как можно дополнить требования к DPO на своем национальном уровне, если DPO штатный и работает по трудовому законодательству. В целом же GDPR не дает право расширять толкование по DPO, там ряд императивных указаний, услуги DPO вполне можно законно оказывать и из России (или Латвии) по любой стране Европы. Вот с назначением представителя уже сложнее. Или я не прав?
              +1
              GDPR, как и любой регламент ЕС, имеет прямое действие. Однако страны могут его дополнять в местах, где GDPR даёт такое право. Расширительно толковать GDPR нельзя, тут вы правы, но вот ввести конкретные детализированные требования, например, по надзорным органам и правилам общения с ними (ст. 51), страна может. Также страна может установить дополнительные, более жесткие условия для назначения DPO (ст. 37. п.4.). Жесткой привязки к контракту DPO нет — он может работать как на основании трудового договора, так и на основании договора об оказании услуг (ст. 37. п. 6.). Представитель может быть один на всю группу компаний, работающих в нескольких странах EC.
                +3
                Представитель может быть один на всю группу компаний, работающих в нескольких странах EC.

                Вот как раз в этом случае не совсем очевидно, какому именно регулятору нужно декларировать DPO.
                Лично мне представляется странным декларировать одного и того же DPO во всех странах ЕС, где представлена компания. Тем более в случае договора об оказании услуг.
                  +1
                  По представителю же, получается, нужно и адрес национальный показать.
                    +1
                    если компания транснациональная, то DPO в составе отдела может быть один (так и будет) на несколько регионов и с одним адресом в центре.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое