Data Protection Officer в Україні – нова запитувана спеціалізація у сфері електронної комерції та бізнесу, що здійснює взаємодію з персональними даними клієнтів. Коли потрібна допомога DPO? Чи необхідно вводити DPO у штат компанії? Чи можна замовити послуги Data Protection Officer на аутсорсі в Україні? Які завдання покладаються на спеціаліста з захисту персональних даних? Відповідь на ці чотири ключові питання у нашій статті.

Data Protection Officer в Україні

Посилення чинних в ЄС правил з обробки персональних даних, зміна моделі їх регулятивного впливу, а також вихід українського бізнесу на ринки Європейського Союзу – ключові чинники, які вимагають від наших компаній шукати таких спеціалістів, як data protection officer. Нові правила ЄС з обробки персональних даних “General Data Protection Regulation” або просто “GDPR” буквально перевернули старі підходи до процесу роботи з інформацією про фізичних осіб. Мова йде про роботу з особистими відомостями клієнтів, користувачів, споживачів, пацієнтів тощо.

Не будемо у черговий раз повторювати чому General Data Protection Regulation стосується практично всіх компаній,  а також перераховувати ключові принципи Регламенту. Наші юристи присвятили темі GDPR чимало публікацій, всі вони доступні у розділі Блог. Почати своє знайомство з General Data Protection Regulation можете з нашої публікації – GDPR – Лайфхак для Бізнесу.

7 актуальних питань стосовно DPO в Україні

Центральна тема сьогоднішньої публікації – Data Protection Officer і практична можливість отримати послуги такого спеціаліста в Україні. Виходячи з приписів General Data Protection Regulation і практичних аспектів правозастосування, ми надамо відповіді на такі актуальні питання:

1. Чи можна отримати послуги data protection officer на аутсорсі за цивільно-правовим договором (контрактом)?
2. У яких випадках наявність data protection officer в компанії є обов’язковою?
3. Як оформити спеціаліста з захисту персональних даних в Україні? Окремо про нюанси роботи за трудовим договором, цивільно-правовою угодою, а також господарським договором з фізичною особою-підприємцем.
4. Чи може один спеціаліст з захисту персональних даних обслуговувати декілька Ваших компаній одночасно?
5. Які завдання data protection officer (DPO) встановлені відповідно до приписів GDPR?
6. Чи можна провести GDPR-аудит і отримати юридичну допомогу дистанційно?
7. Які задачі можуть бути виконані спеціалістом з захисту персональних даних в онлайн форматі?

Згадані нами правила ЄС з обробки персональних даних передбачають, що data protection officer має бути практично в усіх організаціях, установах і підприємствах, які проводять обробку персональних даних. При цьому, немає значення характер відносин між Вашою компанією і фізичними особами, персональні дані яких Ви обробляєте. Це можуть бути як клієнти компанії, так і штатні співробітники.

Разом з тим, в контексті питання data protection officer в Україні та роботи власне українських компаній ми передусім виходимо з необхідності отримання послуг DPO у формулі “будь-який бізнес – обробка (або потенційна можливість обробки) персональних даних резидентів країн ЄС”. Це може бути абсолютно різний за своїм характером бізнес і відповідно його онлайн-утілення. Наприклад, веб-сайт медичної установи, яка надає послуги з екстракорпорального запліднення, сторінка готелю або звичайний Інтернет-магазин.

Далі ми розглянемо наскільки реально отримати в Україні послуги data protection officer на аутсорсі, а також надамо відповідь на питання – коли взагалі потрібна допомога DPO.

Послуги Data Protection Officer (DPO) на аутсорсі

Частина 6 статті 37 EU GDPR передбачає можливість отримувати послуги data protection officer за контрактом на аутсорсі. Ви також можете прийняти DPO безпосередньо у штат Вашої компанії. Зацитуємо автентичний текст частини 6 статті 37 Регламенту – The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

Чи можна оформити відносини з data protection officer за цивільно-правовим договором? ​Так, Ви можете підписати контракт з DPO та не приймати його у штат компанії. На це прямо вказано у Регламенті.

Таким чином, стаття 37 EU GDPR надає право вибору – оформити відносини з DPO як зі штатним співробітником або отримати послуги data protection officer на аутсорсі за контрактом. На наш погляд, в залежності від масштабів діяльності компанії (організації), обидва варіанти мають право на життя.

Разом з тим, прийом data protection officer на підставі трудової угоди до штату компанії обумовлений рядом складнощів. По-перше, важко знайти юриста з досвідом роботи у цій сфері за адекватну винагороду. По-друге, припинити трудові відносини з ініціативи Вашої сторони важче, ніж у випадку укладення цивільно-правової або господарської угоди. Ці перепони особливо актуальні для малого і середнього бізнесу.

Крім того, не всі компанії зобов’язані мати data protection officer. Однак, локальна допомога спеціаліста з захисту персональних даних потрібна всім без виключення. Це особливо актуально на старті будь-якої бізнес-ідеї і при переформатуванні бізнесу.

Послуги data protection officer (DPO) на аутсорсі тим і зручні, що підприємство може використати навички такого спеціаліста виключно для приведення господарської або іншої діяльності у відповідність до вимог GDPR. Ще одна перевага – для цілей локального залучення GDPR-спеціаліста цілком реально обмежитись онлайн-форматом (про це поговоримо нижче).

У яких випадках наявність Data Protection Officer у штаті компанії є обов’язковою?

Призначення data protection officer (у штаті компанії або за окремою угодою на аутсорсі) є обов’язковим за наявності навіть одного із критеріїв, визначених у частині 1 статті 37 GDPR. Так, наявність data protection officer у контролера та обробника персональних даних передбачена в обов’язковому порядку для таких випадків:

• Діяльність контролера та/або обробника персональних даних передбачає регулярний і систематичний моніторинг суб’єктів персональних даних (тобто фізичних осіб) у великих масштабах. Наприклад, робота з великим масивом користувачів та їх персональними даними притаманна всім Інтернет-магазинам зі значним потоком клієнтів або службам онлайн-таксі.
• Основна діяльність контролера або обробника полягає у роботі зі значним обсягом спеціальних категорій персональних даних (етнічне походження особи, політичні погляди або релігійні переконання, інші відомості відповідно до приписів статті 9 EU GDPR). Подібна діяльність здебільшого характерна не для комерційних компаній, а для різного роду громадських формувань (політичних партій, громадських організацій та інших).

Необхідність визначати спеціаліста з захисту персональних даних також передбачена і для державних органів, які проводять роботу з персональними даними фізичних осіб. Однак, з цілком зрозумілих причин, ми не акцентуємо увагу на таких положеннях.

За фактом, наявність data protection officer необхідна практично для всіх підприємств і організацій (контролерів та/або обробників персональних даних), діяльність яких передбачає більш-менш регулярну і систематичну роботу з персональними даними фізичних осіб (Вашими клієнтами, користувачами, студентами, пасажирами, пацієнтами тощо). І, як було згадано, не забувайте про окрему самостійну підставу для призначення DPO – обробка компанією або організацією спеціальної категорії персональних даних (інформація про расу, етнічне походження, релігійні та філософські переконання особи тощо).

Кваліфікаційні вимоги до Data Protection Officer (DPO).

Положення розглянутої нами статті 37 GDPR не встановлюють чітких вимог до data protection officer. Однак, вони вимагають щоб DPO мав належні знання про законодавство у сфері захисту персональних даних і необхідну практику. При визначенні достатнього рівня знань і навичок спеціаліста слід виходити з конкретних цілей і завдань обробки персональних даних, які стоять перед контролером та/або обробником персональних даних.

Вимоги до data protection officer в Україні не обмежуються згаданими нюансами та здатністю DPO виконувати обов’язки, передбачені статтею 39 GDPR. Якщо Ваша компанія призначає або користується послугами спеціаліста з захисту персональних даних в Україні, то від кандидата необхідно вимагати наявності додаткової кваліфікації. Це, зокрема, знання законодавства України у сфері захисту персональних даних та відповідний досвід роботи у цій сфері.

Як оформити Data Protection Officer в Україні?

Звісно, у чинному в Україні класифікаторі професій не знайти такої спеціальності як data protection officer, так само як і спеціаліста з захисту персональних даних. Аналогічна ситуація з КВЕДами для підприємця. Зрозуміло і те, що необхідність наявності DPO – прямо обумовлена приписами GDPR, а не вимогами українського законодавства.

Проте, подібна ситуація не має сприйматися як проблема. За фактом data protection officer – це юрист з навичками менеджера (управлінця). Деталізувати обов’язки DPO доцільно у посадовій інструкції останнього. Саме у такій практичній площинні вирішується питання оформлення data protection officer за трудовим контрактом.

Якщо бажаєте отримати послуги спеціаліста з захисту персональних даних, який діє зі статусом фізичної особи-підприємця, то у такого ФОП, щонайменше, має бути КВЕД 69.10 – діяльність у сфері права. При роботі з DPO зі статусом ФОП конкретні обов’язки останнього будуть викладенні в положеннях договору про надання юридичних послуг.

Більше того, Ви можете укласти цивільно-правову угоду з юристом, який не має статусу ФОП, проте має необхідний досвід і професійні навички. При цьому Ваша компанія виступатиме у якості податкового агента. Такий варіант теж має свої недоліки і переваги.

Чи може один спеціаліст з захисту персональних даних обслуговувати декілька компаній одночасно?

Так, може. Призначення data protection officer (DPO) у декількох компаніях одночасно не заборонено. Частина 2 статті 37 GDPR передбачає – декілька підприємств можуть призначити одного спеціаліста з захисту персональних даних, за умови, що цей спеціаліст з захисту даних буде легко доступний для кожного з підприємств.

GDPR і завдання Data Protection Officer (DPO)

Ми з Вами з’ясували, що співробітник з питань захисту персональних даних або DPO на аутсорсі є необхідною мірою для всіх компаній, які збирають або обробляють персональні дані громадян ЄС. Це, як було згадано, стосується і тих компаній, які створенні в Україні і діють на території України.

Переходимо до найцікавішої частини нашої публікації. Час розглянути завдання data protection officer згідно з положеннями General Data Protection Regulation, а також порядок їх взаємодії з Вашою компанією.

Data protection officer виконує широкий перелік завдань. DPO відповідає за проведення періодичних навчань і доведення до відома працівників компанії, які займаються обробкою персональних даних, вимог GDPR, що безпосередньо стосуються їх роботи. Спеціаліст з захисту персональних даних проводить регулярні перевірки (аудити) дотримання безпеки у сфері своєї компетенції.

Головна мета data protection officer – допомагати Вашій компанії у запобіганні витоку персональних даних і порушенні прав суб’єктів персональних даних (фізичних осіб), а також оптимізувати процеси роботи з такими даними всередині підприємства. Крім того, спеціалісти з захисту персональних даних забезпечують контакт між компанією та будь-якими органами контролю, які здійснюють нагляд за діяльністю, пов’язаною зі збором, обробкою і зберіганням персональних даних.

Конкретні задачі DPO передбачені у статті 39 EU GDPR:

1. Інформувати та консультувати компанію (організацію) та її персонал, залучений до процесу обробки особистих даних фізичних осіб, щодо правил і вимог, передбачених приписами GDPR і національного законодавства у сфері захисту персональних даних.
2. Стежити за дотриманням правил Регламенту, інших нормативно-правових актів у сфері захисту особистих даних фізичних осіб, а також політики конфіденційності компанії щодо тієї чи іншої сфери її діяльності. Це передбачає впровадження розподілу обов’язків між працівниками компанії, підвищення рівня обізнаності та проведення тренінгів для персоналу, який залучений до процесу обробки персональних даних. До цього напрямку задач також відноситься проведення відповідних аудитів.
3. Надавати керівництву компанії поради і рекомендації щодо оцінки впливу різних чинників на захист персональних даних.
4. Взаємодіяти і співпрацювати з контролюючим (наглядовим) органом з питань, пов’язаних з обробкою персональних даних.
5. Виступати у якості контактної особи між підприємством і наглядовим органом. За необхідності проводити консультації з наглядовим органом, у тому числі попередні.

Спеціаліст із захисту і обробки персональних даних також допомагає належним чином організувати роботу зі зверненнями суб’єктів персональних даних. DPO організовує впровадження заходів щодо інформування суб’єктів персональних даних про те, як і з якою метою їх дані використовуються та які права вони мають.

Співробітник з питань захисту персональних даних при виконанні своїх завдань належним чином враховує наявні ризики, пов’язані з обробкою даних, приймаючи при цьому до уваги характер, обсяг, контекст та цілі обробки. Частина 2 Статті 39 EU GDPR.

Data protection officer звітує безпосередньо керівнику або керівному органу організації або компанії (CEO, Головний директор, Правління тощо). Ви, зі свого боку, маєте забезпечити для DPO можливість виконувати наведені вище завдання незалежно і неупереджено.

Перелік задач, які можуть бути виконані спеціалістом з захисту персональних даних в онлайн форматі.

Ураховуючи, що бізнес не завжди хоче/може мати DPO на постійній основі, то принаймні існує можливість мінімізувати ризики, повязані з потенційним порушенням вимог GDPR. Так, спеціаліст з захисту персональних даних може бути залучений для вирішення окремих або локальних завдань.

Крім того, значна частина задач, які перебувають у компетенції спеціаліста з захисту даних, можуть бути вирішенні дистанційно, в онлайн-режимі. До таких задач DPO належать:

1. Проведення GDPR-аудиту в онлайн форматі;
2. Розробка публічних оферт, у тому числі положення про конфіденційність компанії, а також політики конфіденційності для програмних продуктів та/або онлайн-сервісів;
3. Проведення вебінарів та інструктажів з правил GDPR у режимі відео-конференції;
4. Правовий аналіз і вивчення договорів з контрагентами в частині, що стосується вимог General Data Protection Regulation;
5. Консультування керівництва і працівників Вашої компанії (організації);
6. Допомога у вирішенні звернень, скарг, заяв і пропозицій суб’єктів персональних даних.

Виключно Вам вирішувати, яким чином вибудовувати бізнес – поступово і відповідно до закону або з мінімальними затратами і максимальними ризиками. Якщо Ви вирішили вести діяльність з дотриманням правил GDPR, то користуючись нашими порадами зможете правильно сформувати завдання для data protection officer (DPO). Якщо ж ні – то принаймні тепер Ви знаєте хто такий data protection officer, які його задачі, та чи потрібно вводити спеціаліста з захисту персональних даних у штат компанії.

Будемо вдячні за поширення посилання на нашу публікацію – такі дії сприятимуть формуванню в Україні свідомого та якісного підходу до отримання послуг data protection officer на аутсорсі або в штаті за контрактом.

Контакти юристів: +38 050 643 79 03 та +38 063 626 85 23.

З повагою до читачів,

юрист, засновник NGO “Legal Support” Євгеній Мовчун

Блог – Data Protection Officer в Україні – GDPR і завдання DPO