DPO за законопроєктом 8153. Розглядаємо особливості статусу та виклики, з якими зіткнеться бізнес.
Зміни до Закону України «Про захист персональних даних», що передбачаються законопроєктом № 8153 від 25.10.2022 та імплементують положення Загального регламенту із захисту даних (GDPR), розширять спектр завдань бізнесу, який обробляє персональні дані клієнтів – проведення оцінок впливу на захист даних, ведення протоколу (реєстру) обробок тощо. Ці задачі можуть лягти на плечі юристів, але у визначених Законом випадках бізнес буде зобов’язаний призначити окремого гравця – відповідальну особу з питань захисту персональних даних (далі – Відповідальна особа, в термінології GDPR – Data Protection Officer, DPO).
У цьому дописі пропоную розібратись з тим, яку роль виконуватиме Відповідальна особа, на кого поширюються вимоги щодо її призначення, в чому особливості цієї посади і які нюанси та ризики має враховувати бізнес при її впровадженні.
Яке функціональне призначення Відповідальної особи?
Відповідальна особа з питань захисту персональних даних – це фахівець, який супроводжує весь цикл обробки персональних даних у компанії: від моменту їх збору з усіх джерел до остаточного видалення. До числа ключових завдань цієї ролі можна віднести:
контроль за дотриманням законодавства про захист персональних даних;
налагодження та моніторинг процедур обробки даних, своєчасне оновлення необхідної документації;
консультування керівництва та працівників;
взаємодія з контролюючим органом;
комунікація із суб’єктами персональних даних.
На практиці така роль передбачає активну участь у бізнес-процесах.
Ключове, що має розуміти бізнес: Відповідальна особа не зможе захистити компанію від порушень та реалізувати завдання, які перед нею ставить Закон, не отримавши дієвих важелів впливу. При цьому, як наголошує європейський регулятор, відповідальність за дотримання законодавства про захист персональних даних залишається саме за компанією, адже завдання Відповідальної особи – попередити та запропонувати варіанти рішень. Саме тому низка гарантій незалежності для цієї посади встановлюється на рівні Закону.
Ключове, що має розуміти Відповідальна особа: робота з даними починається не з дотримання вимог, а з розуміння бізнес-моделі, адже дані працюють для генерування прибутку. Це вимагає постійного балансування між бізнес-можливостями, юридичними ризиками та операційною доцільністю. Ідеальне й директивне дотримання вимог часто унеможливлює інновації, тож DPO переважно діє в межах прийнятного ризику з належним ступенем контролю.
Хто зобов’язаний призначити Відповідальну особу?
Законопроєкт 8153 передбачає, що призначення Відповідальної особи є обов’язковим для бізнесу, основна діяльність якого вимагає обробки чутливих даних (про стан здоров’я тощо), широкомасштабноїобробки персональних даних (в т. ч. систематичного та широкомасштабного моніторингу суб’єктів персональних даних). Ці поняття докладно роз’яснюються загальноєвропейським регулятором, аналогічних варто згодом очікувати й в Україні.
Наразі можна сказати, що заклади охорони здоров’я, аптечні заклади, готелі, фітнес-клуби, маркетингові агенції, торгівельні мережі, онлайн-магазини, що здійснюють профілювання користувачів, – усі вони потенційно підпадатимуть під обов’язок призначити Відповідальну особу.
Чи можна призначити одну Відповідальну особу для групи компаній?
Так, законопроєкт 8153 дозволяє призначення однієї Відповідальної особи для групи компаній за умови, що такий фахівець буде легкодоступним для кожного з учасників групи – цей підхід запозичений з GDPR.
Хто може бути Відповідальною особою?
Поточна редакція законопроєкту 8153 встановлює, що кандидат на цю посаду повинен мати ступінь вищої освіти не нижче бакалаврського та досвід роботи у сфері захисту персональних даних.
Варто зазначити, що спектр задач, з якими стикається Відповідальна особа, майже завжди перебуває на межі права та технологій: юридична освіта дозволяє ґрунтовно підходити до роботи з необхідними документами (в тому числі договорами про обробку даних), а глибоке розуміння технологій (починаючи від механізму дії cookies чи localStorage і закінчуючи функціонуванням баз даних чи ШІ-рішень) – ідентифікувати ризики та приймати правильні рішення.
Які особливості статусу Відповідальної особи?
Незалежність – ключова ознака цієї посади. Відповідальна особа не може підпорядковуватись керівникам середньої ланки (а отже, бути включеною до складу юридичного чи будь-якого іншого структурного підрозділу), адже Закон вимагатиме її підзвітності та підконтрольності безпосередньо керівнику компанії.
Наступний важливий аспект – це конфлікт інтересів: законопроєкт 8153 визначає, що на Відповідальну особу не має бути покладено інших посадових обов’язків, які передбачають прийняття рішень про обробку персональних даних, представництво інтересів компанії в судових чи арбітражних провадженнях, що стосуються захисту персональних даних. Цей підхід запозичений з настанов загальноєвропейського регулятора, який наголошує: працівник може суміщати обов’язки Відповідальної особи з іншою посадою лише в тому випадку, коли остання не пов’язана з визначенням цілей та засобів будь-якої обробки даних. Це обумовлено потребою забезпечити об’єктивність, безсторонність та автономність Відповідальної особи у прийнятті рішень, в тому числі – щодо заборони певних обробок даних, якщо вони порушують вимоги законодавства.
До речі, штраф наглядового органу Бельгії, накладений на банк в розмірі 75 тис. євро за доручення функцій DPO особі, яка займала посаду керівника відділу управління операційними та інформаційними ризиками (справа № DOS-2020-03763) – яскравий приклад допущення конфлікту інтересів.
Чи може зовнішній підрядник виконувати роль Відповідальної особи?
Так, ним може бути як юридична особа, так і фізична особа-підприємець. До статусу зовнішнього підрядника застосовуються всі ті самі вимоги, що й до працівника, тож потреба в процедурній автономії, гарантії незалежності, вимоги щодо уникнення конфлікту інтересів варто відобразити у договорі про надання послуг.
Розподіл відповідальності
Підхід загальноєвропейського регулятора в питаннях визначення зони відповідальності DPO принциповий: він не несе персональної відповідальності за недотримання компанією вимог GDPR – це одна з гарантій його незалежного статусу. Тобто якщо бізнес приймає рішення, яке прямо суперечить позиції та рекомендаціям DPO, відповідальність за порушення покладатиметься саме на компанію.
Законопроєкт 8153 також передбачає, що Відповідальну особу не може бути звільнено чи примушено до звільнення, притягнуто до дисциплінарної відповідальності чи піддано з боку компанії іншим негативним заходам впливу (переведення, атестація, зміна умов праці, зменшення заробітної плати тощо) або загрозі таких заходів впливу у зв’язку з належним виконанням ним завдань, передбачених цим Законом.
Ця заборона впливу, передбачена на рівні Закону – яскраве свідчення того, наскільки Відповідальна особа залучена у бізнес-процеси (про що вже згадувалось на початку) і які «незручні» рішення й рекомендації інколи доводиться озвучувати, аби виконати своє призначення. Тож гарантії незалежності – це можливість діяти необхідним чином.
За порушення обов'язків щодо призначення відповідальної особи, забезпечення гарантій її незалежності, своєчасного залучення останньої до вирішення всіх питань, пов'язаних з обробкою та захистом персональних даних, передбачена відповідальність у вигляді штрафу: для фізичних осіб - в розмірі від 100 000 до 300 000 гривень, для юридичних осіб - в розмірі від 3% до 5% загального річного обороту такої юридичної особи, але не менше ніж 300 000 гривень за кожне окреме порушення вимог Закону.
На завершення
За задумом європейського законодавця, Відповідальна особа має змінювати культуру прийняття рішень – з позиції поваги до приватності клієнтів. Питання лише в тому, наскільки український бізнес готовий дати їй працювати по-справжньому. Тож найцікавіше, як завжди, попереду.
