До побачення CIL! Привіт ДПО; Блог Master 1 IPIT

master

У грудні 2016 року організація G29 [1] надала детальну інформацію про нову функцію делегата, відповідального за здійснення відповідності організацій європейському регламенту щодо захисту персональних даних: DPO ("Службовець з питань захисту даних", псевдонім " службовець із захисту даних ").

Таким чином, DPO представляється дочірньою організацією CIL (нинішнього співробітника з питань захисту даних): йому судимо стати наступником його з травня 2018 року, він пропонує нові ідеї та більше відповідає сучасним методам та практиці. DPO насправді є результатом нового регламенту GDPR [2], прийнятого 27 квітня 2016 року, який є частиною європейської політики, прийнятої щодо персональних даних: створити режим захисту фізичних осіб, забезпечуючи при цьому правове середовище, сприятливе для розвитку економіки даних. Цей новий регламент представляє деякі важливі нововведення.

Хоча цей GDPR буде головним чином відповідальним за гармонізацію правил захисту даних на європейському рівні [3], він також буде джерелом підвищеної відповідальності організацій, які повинні обробляти персональні дані. Тоді DPO відіграватиме центральну роль, ширшу, ніж його попередник CIL. Але, щоб зрозуміти мету цієї реформи, необхідно переглянути поточну систему, яка збирається зникнути, коли цей закон набуде чинності у травні 2018 року.

Поточна система базується на логіці попереднього декларування: реалізація обробки персональних даних вимагає декларації до національного органу захисту даних (у Франції - CNIL). Таким чином, асоціації, компанії чи адміністрації повинні точно заявити, якщо і як, в контексті своєї діяльності, вони призначені для обробки персональних даних. На жаль, цей принцип попередньої декларації мав нещасний наслідок через надмірно тривалий час обробки, заохочуючи контролерів даних залишатися незаконними або паралізувати до цього часу тих, хто відповідає законодавчій базі.

Для того, щоб виправити цю проблему, GDPR покладе край поточній системі попередніх формальностей на користь виконання зобов'язання контролера даних документувати її відповідність та внутрішньо визначати правила забезпечення відповідності. . Таким чином, компанії буде запропоновано взяти на себе відповідальність та визначити сама по собі відповідність заходам, які вона вважає найбільш доречними для своєї ситуації, причому останні можуть бути отримані від контролюючих органів, які контролюватимуть точний рівень відповідності законодавству. За словами колишнього юридичного директора CNIL Гійома Десген-Пасанау, з новими правилами "професіонали більше не зможуть ховатися за екраном попередніх формальностей".

Потім DPO переходить від CIL шляхом призначення нових місій. Як справжній охоронець дотримання вимог щодо захисту даних у своїй організації, ОДІ відіграватиме центральну роль у моніторингу, аналізі впливу та веденні записів щодо обробки персональних даних. Його призначення буде обов’язковим у багатьох випадках, і ці місії будуть такими:

  • місія інформації та порад адміністратору даних та працівникам;
  • місія моніторингу та контролю за дотриманням нормативних актів та національного законодавства про захист даних;
  • консультативна місія в організації при проведенні аналізу впливу, що стосується захисту даних (вона перевірить його виконання);
  • місія співпраці з наглядовим органом (CNIL) (він буде контактним пунктом останнього).

Усі ці місії є частиною нової логіки корпоративної підзвітності: отже, DPO, завдяки своїм знанням та досвіду в цій галузі, буде в центрі цієї відповідності організацій вимогам GDPR і буде привілейованим партнером організацій. Крім того, регулювання передбачає, в силу своєї ролі та позиції, яку вона займає в стратегії компанії, незалежність дій та відсутність санкцій [4]. Конкретно, ОДМ не може бути відмовлено в підвищенні, ані санкція за виконання своїх місій, а також матиме вигоду від адекватного ієрархічного позиціонування ... необхідні для ефективного забезпечення створення режиму захисту фізичних осіб, забезпечуючи при цьому правове середовище, сприятливе для розвитку економіки даних.

Отже, GDPR змінює спосіб дотримання організаціями, що обробляють персональні дані, закону. Цей розвиток, який набуває форми посилення підзвітності та створення ОДП, повинен супроводжуватися значним посиленням ролі контролюючих органів, таких як CNIL. З усуненням попередніх формальностей, які становили важливу частину його діяльності, її робота зараз зосереджена на публікації контрольних показників та рекомендацій, спрямованих на керівництво контролерами даних у їх виконанні (відповідні дослідження, юридична доцільність, аудит ...), що вимагає велике перетворення для нього. Що стосується санкцій, тепер можна буде накладати штрафи до 20 мільйонів євро або 4% від світового обороту компанії.

Але в даний час його статистика щодо оголошених грошових санкцій залишається особливо невтішною: у 2015 році із 10 санкцій, проголошених CNIL, лише 3 становлять грошові санкції [5]. Баланс європейського регулювання та довіра до його режиму тепер засновані на повноваженнях апостеріорної санкції, за яку відповідають наглядові органи, такі як CNIL. В іншому випадку загальний рівень особистого захисту цілком може знизитися. Слід також зазначити, що GDPR є частиною логіки узгодження інтересів, а не абсолютного захисту персональних даних та конфіденційності: попередня згода суб'єкта даних на обробку даних завжди підлягає численним і широким виняткам, аналіз відповідності обробки даних законодавству проводитиметься на основі принципу пропорційності, нове право на переносимість даних, передбачене GDPR, підтверджує економічну концепцію даних ...

Особисті дані тепер пов’язані з логікою прозорості: користувачі Інтернету дедалі більше взаємодіють між собою, електронна комерція користується величезним успіхом, а еволюція пристроїв дозволяє постійно зв’язуватися. Але, зіткнувшись із такою кількістю слідів, що залишилися в Інтернеті, потрібно мало для того, щоб ця прозорість сповзла до повної втрати контролю над особистими даними. Потім ОДВ буде на передовій, щоб забезпечити, в межах закону, найбільш захисний режим для осіб. Його робота з підвищення обізнаності серед зацікавлених сторін буде набагато важливішою: користувачі Інтернету повернуть контроль над своїми даними в першу чергу за допомогою інформації.

Хай живе DPO.

Бенджамін Баратта

1-й курс магістра IP/ІТ

Джерела:

[1] Ця організація, яка об’єднує наглядові органи, відповідальні за захист персональних даних з кожної країни-члена ЄС, відповідає за прийняття рекомендацій щодо сприяння розробці європейських стандартів та видання думки щодо рівня захисту у Країн ЄС та консультувати Європейську Комісію щодо будь-якого проекту, що впливає на захист даних та особисті свободи.

[2] Регламент (ЄС) 2016/679 Європейського Парламенту та Ради про захист фізичних осіб при обробці персональних даних та про вільний рух даних (GDPR)

[3] Правила застосовуватимуться до всіх підприємств, орієнтованих на споживачів ЄС, незалежно від того, засновані вони всередині ЄС або за його межами, а також підприємств, що базуються за межами ЄС.

[4] Стаття 38, параграф 3 GDPR: "Контролер та обробник забезпечують, щоб службовець із захисту даних не отримував жодних вказівок щодо виконання завдань. Особа, що захищає дані, не може бути звільнена від своїх обов'язків або покарана контролером або процесором за виконання своїх обов'язків. "