Время продолжает неотступно приближаться к маю следующего года, когда ожидаются серьезные перемены в применении европейских законов о защите данных. Общий Регламент по Защите Данных (GDPR) будет действовать во всех странах-членах Европейского союза (включая Великобританию, до и почти наверняка после выхода из состава ЕС).
Было написано много статей о санкциях за нарушения (штрафы вплоть до 20 млн евро или 4% годового глобального оборота организации) и об изменениях в таких понятиях, как дача согласия, ответственность и права субъектов данных, но возможно, был упущен момент о том, что регламент вводит законодательную основу для той должности, которая до сих пор имела только имела неформальный статус – должности ответственного за защиту данных (DPO).
До сих пор, в Великобритании и на большей части Европы и остального мира, роль ответственного за защиту данных была в значительной степени неопределенной. Существующая структура защиты данных датируется директивой ЕС от 1995 года.
В те дни «данные» рассматривались исключительно в контексте компьютеров, и первые люди, получившие неофициальное название DPO, были в основном людьми с опытом в информационно-коммуникационных технологиях - теми, кто мог понять поток компьютеризированных данных, а также идентифицировать и «защищать» данные, имеющие отношение к определенным лицам.
С тех пор, как технология стала наполнять всю нашу жизнь настолько, что наше цифровое «я» присутствует с нами везде, куда бы мы не пошли, ожидания от ответственных за защиту данных значительно расширились и диверсифицировались.
В настоящее время ответственный за защиту данных - это должность, ответственная за соблюдение защиты данных в организации. По-прежнему ожидается, что ответственный за защиту данных будет помогать организациям выполнять свои юридические обязательства, но теперь уже в том, что касается соблюдения права на неприкосновенность частной жизни.
Это также касается безопасности, но в наши дни речь идет о гораздо большем. Теперь это включает в себя специалистов, имеющих опыт в разных отраслях: по-прежнему, в информационно-коммуникационных технологиях, но также в юридической, сфере сервиса и во многих других областях.
Общий Регламент по Защите Данных не только официально закрепляет эту должность, но и делает ее обязательной для многих организаций. Например, потребуется хотя бы один ответственный за защиту данных для каждого государственного органа, хотя определение «государственного органа» не совсем ясно, в Великобритании это, скорее всего, будет эквивалентно понятию «государственная власть».
Это означает, что некоторые очень мелкие организации, например, окружные советы или государственные школы, будут обязаны ввести в штат должность ответственного за защиту данных.
Но эта должность также обязательна и для тех организаций, чьи основные виды деятельности связаны с «регулярным и систематическим мониторингом данных в крупном масштабе» или если «основные виды деятельности» связаны с крупномасштабной обработкой особо конфиденциальных данных (таких как данные, относящиеся к расовому или этническому происхождению, религиозным убеждениям, здоровью, сексуальной жизни или уголовной ответственности).
Дальнейшие рекомендации (хотя и не сформулированные достаточно ясно) были подготовлены так называемой рабочей группой по статье 29, группой представителей органов по защите данных стран ЕС. В этом руководстве все же объясняется, что «основные виды деятельности» не включают в себя обработку информации о персонале в целях управления персоналом (противоположное мнение, вероятно, привело бы к тому, что любой работодатель должен иметь в штате ответственного за защиту данных).
GDPR также проясняет определенную структуру и определяет некоторые из требуемых качеств и обязательств ответственного за защиту данных. В Регламенте говорится, что ответственный за защиту данных должен:
- Действовать «независимо»;
- Не принимать инструкций от своего работодателя;
- Иметь экспертные знания в области защиты данных;
- Обладать достаточными ресурсами;
- Не может быть уволен за выполнение своих непосредственных обязанностей;
- Должен предоставлять отчет непосредственно лицам, находящимся на «самом высоком управленческом уровне».
Ответственный за защиту данных не обязательно должен быть назначен из числа имеющихся сотрудников - GDPR дает понять, что эта вакансия может быть заполнена подрядчиком и может быть распределена между организациями.
В любом случае, как указывается в руководстве, существует риск конфликта интересов и что, хотя ответственный за защиту данных может занимать и другие должности, есть все же должностные позиции, несовместимые с ролью ответственного за защиту данных - например, генеральный директор, финансовый директор, руководитель отдела маркетинга, HR или ИТ.
Что произойдет, если организация должна назначить ответственного за защиту данных в рамках Общего Регламента по Защите Данных, но не делает этого? Теоретически такое нарушение может привлечь штраф «нижнего уровня» - до 10 млн евро или 2% годового глобального оборота.
Предоставлю подробную консультацию
Предложу актуальное и наиболее выгодное решение Вашей проблемы.