DPO: профессия будущего или объективная реальность

Повышенное в эпоху цифровизации внимание к защите персональных данных (ПД), ужесточение законодательства в этой области способствовало появлению новой профессии – Data protection officer (DPO), что в переводе с английского означает ‘сотрудник по защите данных’. DPO играют ключевую роль в обеспечении соблюдения требований законодательства о защите ПД.

Представление о DPO в разных странах и последствия его отсутствия

Беларусь. В ЕКСД такое лицо именуется специалистом по внутреннему контролю за обработкой ПД. Из квалификационных требований – только высшее образование. Хотя практика показывает, что этому лицу необходимо знать принципы работы Закона о защите ПД и понимать техническую сторону защиты.

Для Беларуси это новая профессия, наличием таких специалистов могут похвастаться только некоторые крупные компании. Однако из Закона о защите ПД следует, что DPO должны быть в каждой организации. Причем в качестве сотрудников, а не лица на аутсорсе, т.к. это специалисты, ответственные за внутренний контроль за обработкой ПД (абз. 2 п. 3 ст. 17 Закона о защите ПД).

За отсутствие DPO на организацию могут наложить штраф в размере от 20 до 50 БВ по причине несоблюдения мер по обеспечению защиты ПД (ч. 4 ст. 23.7 КоАП). НЦЗПД может приостановить обработку ПД в информационной системе организации до устранения такого нарушения, что часто равносильно приостановлению деятельности (ч. 1 п. 23 Положения о НЦЗПД, утвержденного Указом от 28 октября 2021 года № 422). Полагаем, что формальное возложение обязанностей DPO на работника, который не может их выполнять, также может привести к нарушениям.

Россия. В российском законодательстве DPO появился еще в 2011 году, но организации, которые обрабатывают ПД (операторы) поначалу игнорировали новый институт. Ситуация начала меняться в связи с вступлением в силу Федерального закона от 21 июля 2014 года № 242-ФЗ. Он уточнил порядок обработки ПД в информационно-телекоммуникационных сетях, что породило спрос на квалифицированных DPO, которые на регулярной основе помогали бы нанимателям разбираться с запутанными требованиями законодательства.

Второй импульс в 2018 году был связан с принятием в Европе GDPR – Общего регламента защиты ПД, уделившего роли и функциям DPO особое внимание. Хотя положения GDPR прямо затрагивают лишь небольшое количество российских организаций, европейский опыт соотносится с требованиями российского законодательства.

Ответственные за организацию обработки ПД уже выделились в России в отдельную группу со своей повесткой и своими интересами. Самостоятельные DPO появились у многих крупных и даже средних коммерческих организаций.

Сегодня DPO проходят этап отказа от обслуживающей роли при нанимателе и трансформации в посредника между различными подразделениями, имеющими отношение к обработке ПД. Но пока роль DPO по-прежнему сводится к выполнению ряда обслуживающих функций по отношению к основной деятельности организации-нанимателя.

За отсутствие DPO административной ответственности нет, но Роскомнадзор выдаст предписание, неисполнение которого может повлечь штраф в размере до 20 000 российских рублей (примерно 744 белорусских) (ч. 1 ст. 19.5 КоАП России).

ЕС. Европейский Парламент и Совет ЕС приняли GDPR 27 апреля 2016 года. Исходя из русской версии этого регламента инспектор по защите ПД (DPO) назначается на основе профессиональных качеств, в частности на основе экспертного знания законодательства и практики в сфере защиты ПД, а также способности выполнять задачи, указанные в ст. 39 GPRD.

Требования о назначении и задачах DPO подробно описывают ст. 37–39 GDPR. DPO может быть сотрудником контролера или процессора либо выполнять задачи на основе договора об оказании услуг.

Примечание
Контролер и процессор – это аналоги оператора и уполномоченного лица.

Назначить DPO обязаны организации, которые :

– систематически проводят крупномасштабный мониторинг лиц (например, в целях контекстной рекламы);

– осуществляют крупномасштабную обработку особых категорий ПД (о состоянии здоровья и т.д.) (ст. 37 GDPR).

Остальные организации назначают DPO по желанию. Однако с учетом тенденции к усилению режима защиты ПД, высокой ответственности обрабатывающих их лиц, значительных санкций за нарушение положений GDPR и необходимости осуществления деятельности в соответствии с новыми требованиями европейский законодатель настоятельно рекомендует иметь такого специалиста всем организациям. Его неназначение может повлечь штраф в размере до 20 млн евро или до 4 % от общего годового оборота компании (ст. 83 GDPR).

КНР. Закон о защите личной информации (Personal Information Protection Law of the People’s Republic of China (PIPL)) вступил в Китае в силу 1 ноября 2021 года. В нем эксперт по защите ПД именуется PIPO (Personal Information Protection Officer – ‘сотрудник по защите личной информации’). Назначить его обязаны крупные операторы персональной информации, определенные в соответствии с критериями, установленными Государственным департаментом кибербезопасности и информатизации.

Примечание
Операторы персональной информации, представляющие важные платформенные интернет-сервисы, должны, среди прочего, создать систему контроля за защитой персональной информации и сформировать независимый орган из преимущественно внешних лиц для надзора за защитой такой информации (ст. 58 PIPL).

PIPL не закрепляет требований к PIPO. Прямой санкции за их неназначение мы не нашли, но ст. 66 PIPL предусматривает вынесение предписания, если персональная информация обрабатывается в нарушение закона. При неустранении нарушения штраф может составить до 1 млн юаней (примерно 435 тысяч белорусских рублей).

Примечание
Информация о нарушениях вносится в кредитную историю (ст. 67 PIPL).

США. Согласно принятому в Калифорнии Закону о конфиденциальности потребителя (California Consumer Privacy Act (CCPA)) организацию могут оштрафовать за нарушение, несмотря на незнание положений CCPA.

Если организация собирает большое количество общественных и личных данных, регулярно мониторит субъектов данных, ей нужен офицер по защите данных. При отсутствии обязанности соблюдать GDPR наличие DPO – лучшая практика в области конфиденциальности данных и соблюдения законов об их защите. Причем в организации должны быть внутренние протоколы, обеспечивающие независимость DPO.

В ближайшем будущем в США может появиться федеральный закон о конфиденциальности данных.

DPO может быть организацией или физическим лицом внутри организации или на аутсорсинге. Минимальные требования – степень бакалавра в области информатики или информационной безопасности. Перед назначением на роль DPO кого-то внутри организации важно провести специальную оценку и определить, кто может быть назначен на такую должность. Дело в том, что некоторые функции (например, руководителя отдела по информационной безопасности или главного юрисконсульта) могут вступить в конфликт с обязанностями DPO.

Функции DPO

Общий функционал DPO заключается в создании в организации – операторе ПД системы внутреннего контроля по защите ПД. В целом DPO – своеобразный советник руководства организации – оператора ПД. Его задачи могут варьироваться в зависимости от задач организации-оператора и ее потребностей в соблюдении законов о конфиденциальности. В частности, DPO:

1) консультирует руководство, менеджеров и работников, занимающихся обработкой ПД, доводит до их сведения положения законодательства о защите ПД;

2) организует и контролирует прием и обработку запросов и обращений субъектов ПД;

3) разрабатывает и внедряет политики, процедуры управления защитой ПД, принципы и правила обработки ПД;

4) прогнозирует и оценивает IT-риски;

5) контролирует соблюдение в организации – операторе ПД требований законодательства (в том числе международного, иностранного) по защите данных и иных НПА;

6) дает рекомендации по оценке воздействия на защиту ПД и контролирует их выполнение;

7) сотрудничает с надзорным органом, в том числе при проверке, и т.д.

Независимость DPO и конфликт интересов с оператором ПД

Наличие DPO в организации свидетельствует, что она управляет всеми процессами и рисками, связанными с обработкой ПД. В преамбуле GDPR постулируется самостоятельность DPO, будь то служащий организации или нанятый специалист. Он исполняет свои обязанности независимо от воли организации.

Поскольку ключевое здесь – независимость, DPO должен:

– иметь возможность выполнять свою работу без влияния других лиц организации, в том числе высокого уровня;

– находиться вне сферы подчинения какой-либо функции или управленческого контура организации;

– обладать необходимыми полномочиями.

В ситуации конфликта интересов DPO не сможет качественно выполнять свои функции и задачи. Этот вопрос особенно актуален для стран, где пока не наработана практика разрешения подобных конфликтов. Рассмотрим несколько моделей (таблица).

Таблица

Лицо, которое выполняет роль DPO (модель конфликта)	Ситуация	Суть конфликта
Один из топ-менеджеров организации («DPO-босс»)	Конкурирующие интересы при принятии решений	Как DPO – должен защищать права и законные интересы субъектов ПД. Как топ-менеджер – оценивать значение своих решений для организации. На практике ее интересы оказываются выше
Сотрудник, принимающий решения в важной области IT-инфраструктуры: IT-менеджер, системный администратор, ответственный за ведение информационной системы, в которой обрабатываются ПД, и т.д. («DPO – сам себе контролер»)	DPO вынужден сам контролировать свою работу	Внутренний конфликт интересов: в большинстве ситуаций у сотрудника в приоритете текущие задачи и риски в его основной области
Сотрудник, выполняющий написанные им же рекомендации («DPO – мастер на все руки»)	Сотрудник сам написал рекомендации и следует им, упростил себе задачу – разработал план действий с минимальными затратами сил и времени	Как DPO – выявляет риски в сфере защиты ПД и разрабатывает рекомендации по их снижению. Как внутренний консультант – разрабатывает локальные документы (согласия, политики, положения и даже техническую документацию) и контролирует их внедрение в организации

Развитый институт DPO не предполагает никаких указаний по обязанностям. В странах, где роль DPO пока недостаточно сформировалась, лицо, ответственное за организацию обработки ПД, получает указания от руководства организации – оператора ПД и подотчетно ему.

С учетом специфики и направленности роли DPO можно не сомневаться: в дальнейшем это скорее будут лица, принимающие решения и определяющие политику организации – оператора ПД в сфере их обработки.

Кандидат на роль DPO

Пока найти подходящего кандидата достаточно сложно, тем более что еще не совсем понятно, каким квалификационным и иным требования должен соответствовать DPO. Представляется, что DPO необходимо:

– знать закон (согласно специфике) и понимать принципы работы;

– понимать внутренние процессы и технологии организации;

– иметь технические навыки по защите информации.

Возможно, это юрист, разбирающийся в технической защите.

Полагаем, что в ближайшем будущем наличие DPO в организации станет неотъемлемой частью любого бизнеса. Потребители при выборе товара, услуги или работы уже начинают обращать внимание, как организация обращается с их ПД. Это становится одним из важных пунктов доверия, порой решающим фактором, а значит, и конкурентным преимуществом организации.