Подготовка к GDPR. Назначение Директора по защите данных

Общий регламент по защите персональных данных (GDPR) вступил в силу 25 мая. Украинские компании, которые собирают и обрабатывают персональные данные граждан Евросоюза, должны тщательно подготовить свой бизнес к новым законодательным реалиям.

Подготовка к GDPR. Назначение Директора по защите данных

GDPR страшен своими санкциями за разного рода проступки.

Один из них — неназначение официального представителя компании в ЕС, если того требует закон. В роли такого представителя выступает Data Protection Officer (DPO), или Директор по защите данных.

Мы, в Brightman  решили разобраться, нужен ли вашей компании DPO, если:

  1. ваша компания учреждена в ЕС; при этом
  2. ваша компания обрабатывает персональные данные граждан ЕС регулярно и в больших объемах. Также ваша компания занимается мониторингом поведения граждан для выявления их предпочтений;
  3. ваша компания собирает ПД, относящиеся к "особой категории". В нее входят данные о расовом и этническом происхождении лица, политических и религиозных убеждениях, членстве в партии или объединении, обработка биометрических данных, а также данных о состоянии здоровья лица и его сексуальной ориентации;
  4. ваша компания собирает данные о судимостях либо уголовных преступлениях, совершенных лицом.
  5. Ваша компания расположена/учреждена за пределами ЕС, но собирает и обрабатывает ПД европейцев, а также осуществляет мониторинг поведения граждан ЕС;
  6. сбор и обработка ПД граждан ЕС осуществляется органами государственной власти.

Компании, которые не подпадают под вышеуказанные категории, все же могут назначить DPO добровольно. Директором по защите данных может быть назначен как сотрудник компании, так и внештатное лицо на основании договора об оказании услуг. В его обязанности входит:

  1. информирование компании об их обязанностях по правомерной обработке ПД;
  2. проведение необходимого аудита, адаптации внутренних политик компании и ее документации к нормам GDPR, проведение тренингов для сотрудников с целью повышения risk-awareness;
  3. проведение Data protection impact assessment. Такая процедура оценки влияния на конфиденциальность необходима в случае, если новые формы использования персональных данных несут высокий риск для граждан;
  4. осуществление коммуникации между компанией и полномочными органами.

Руководство не имеет права вмешиваться в деятельность DPO, соответственно любой конфликт интересов между обязанностями лица как DPO и сотрудника компании недопустим. В случае, если вы назначаете в качестве DPO своего работника, им не может быть лицо, занимающее руководящую должность или любую другую, связанную с принятием решений по деятельности компании. Закон не предусматривает четкого перечня требований к DPO, однако гласит, что лицо должно обладать необходимыми навыками, свойственными сфере деятельности компании.

Нанимая DPO на аутсорсе, убедитесь в том, что его обязанности четко закреплены в договоре. Проверьте необходимые квалификации лица, а также удостоверьтесь в отсутствии конфликта интересов между вашей компанией и компанией, где трудоустроен DPO. В связи со вступлением в силу GDPR можно прогнозировать быстрый темп роста данного рынка услуг и усиление конкуренции. А это значит — возможность компаний выбрать для себя еще и финансово выгодный вариант. В любом случае — помните о важности позиции DPO и соблюдайте закон.

Кристина Немчинова, партнер-основатель

Brightman FinTech Law Firm 

раздел:
теги:

По теме:

Курорты Украины: где и за сколько можно отдохнуть этим летом
Недвижимость 01 июня, 10:06

Курорты Украины: где и за сколько можно отдохнуть этим летом

Сезон отпусков уже стартовал, а это значит, что цены на жилье у моря начинают расти. Сколько будет стоить аренда квартиры в Одессе и других курортных городках летом 2018 года

UKR.NET повысил уровень безопасности Почты
Новости компаний 29 мая, 16:05

UKR.NET повысил уровень безопасности Почты

В настройках обновленной версии электронной почты Ukr.net появились новые функции, позволяющие быть информированным о событиях, связанных с безопасностью аккаунта