Фехап - відповідальний за захист даних (DPO), наріжний камінь GDPR
Співробітник із захисту даних, вже більш відомий під ініціалами DPO (що відповідає посадовій особі з питань захисту даних), безсумнівно, є найбільш символічним пристроєм нового загального регламенту захисту даних (GDPR).
DPO справді є важливим пристроєм RGPD [ii], який повинен бути впроваджений з 25 травня 2018 року.
У яких випадках ESPIC зобов’язані призначити DPO? Якою буде його точна функція? Якими будуть його місії? Який профіль вибрати? Чи можемо ми передати цю функцію на аутсорсинг? Стільки питань, на які ми спробуємо відповісти в наступних рядках.
Чому GDPR передбачає призначення DPO ?
Слід мати на увазі, що, хоча GDPR являє собою значне посилення вже існуючих правил захисту персональних даних, він, перш за все, здійснює сильну зміну парадигми в способі застосування цих правил. Захист даних, який раніше підлягав апріорному контролю через формальності з CNIL, перетворюється на контроль після цього , загальніше, режим підзвітності, згідно з яким організації будуть нести відповідальність за їх дотримання. Від завтра установи зможуть обґрунтувати свою відповідність за формою та суттю правилам та принципам цього нового регулювання . GDPR робить DPO одним з основних інструментів цієї нової системи дотримання вимог.
У яких випадках DPO є обов’язковим ?
Призначення DPO є обов’язковим у трьох випадках, зокрема в наступному: якщо основна діяльність контролера або процесора полягає у широкомасштабній обробці спеціальних категорій даних (...).
Отже, приватні медичні та медико-соціальні заклади чітко стурбовані критерієм широкомасштабної обробки спеціальних категорій даних, в даному випадку даних про здоров'я.
Щодо поняття широкомасштабності, GDPR бере приклад з дев'яносто першого виступу про обробку даних пацієнтів у лікарні як частину звичайного курсу своєї діяльності. З іншого боку, обробка даних тієї ж природи, але практикуючим лікарем в індивідуальній якості, не буде представляти собою масштабної обробки.
Призначення DPO застосовується до установи, яка виконує функції контролера, а також як процесора . Пам'ятайте, що контролер визначається GDPR [ii] як особа чи орган, який визначає цілі та засоби обробки. Процесор визначається як особа чи орган, який обробляє дані від імені контролера. Нарешті, пам’ятайте, що обробка персональних даних - це суто юридична концепція, яка обертається навколо цілі (мети), незалежно від використовуваної технології (програмне забезпечення, база даних тощо).
Чи зможуть кілька закладів призначити одного DPO ?
Кілька установ, які є членами однієї групи, тієї самої асоціації або однієї і тієї ж професійної організації, можуть призначити одну й ту саму організацію за умови, що до неї, відповідно до вимог GDPR, легко дістатися з кожного місця заснування.
Яка роль DPO ?
DPO, по суті, має контрольно-дорадчу функцію, але рішення не приймає . Організація залишається повністю відповідальною за її відповідність. Отже, DPO не нестиме особистої відповідальності у разі невідповідності встановленням вимог щодо захисту даних.
Він повинен бути незалежним. Він не може отримати вказівки від керівництва щодо виконання обов’язків. Він не може бути звільнений або санкціонований за виконання своїх обов'язків. Зверніть увагу, що він не має статусу захищеного працівника у значенні положень трудового кодексу.
ОДП не повинна мати конфлікту інтересів. Він не повинен мати можливість контролювати регулярність або ризики лікування, для якого він визначився із засобами та метою. Наприклад, DPO не зможе контролювати процес, для якого він, будучи директором інформаційних систем (DSI), визначав засоби шляхом вибору програмного забезпечення та цілей, зокрема шляхом перевірки функціональної сфери.
Тому DPO ніколи не може бути обраний серед вищого керівництва закладу. Він також не може займати одночасно функції або ролі, які передбачають визначення цілей та засобів обробки.
Якщо він може органічно належати до одного з підрозділів установи, такого як відділ якості або відділ інформаційних систем, DPO повинен мати доступ і звітувати перед найвищим рівнем управління., Тобто в контексті управління лікарні, менеджер. Розробка щорічного звіту про свою діяльність, призначеного для найвищого рівня управління, в даному випадку ради директорів, буде гарною практикою впровадження цього принципу прямої звітності.
Організація відповідальних осіб має логічно мати необхідні ресурси для виконання своїх місій: підтримка управління, офіційне внутрішнє спілкування, доступ до інших служб, достатній час, бюджет та постійне навчання.
Які обов’язкові завдання DPO ?
GDPR передбачає як мінімум певну кількість місій, сформульованих навколо наступних чотирьох областей:
- Інформувати та консультувати установу та персонал щодо їх зобов'язань щодо захисту даних;
- Стежити за дотриманням законодавства про захист даних, зокрема щодо розподілу відповідальності, підвищення обізнаності та навчання, а також аудитів;
- Консультувати установу на її прохання щодо оцінки впливу та перевірити її виконання;
- Співпрацювати з наглядовим органом та діяти як контактна особа для останніх з питань, що стосуються обробки.
Зверніть увагу, що ведення реєстру переробної діяльності, передбаченого GDPR, є відповідальністю організації, а не DPO. Однак ніщо не заважає організації довірити цю місію ОДП. Однак реєстр залишатиметься відповідальністю установи.
Це питання виникне, зокрема, щодо установ, які вирішили передати свої організації, що займаються організацією замовлення. Договір на надання послуг повинен включати точний розподіл відповідальності за ведення реєстру, а також для всіх сховищ документації, пов'язаних з ним.
Яка роль DPO щодо аналізу впливу ?
Пам’ятайте, що GDPR вимагає від контролера проведення аналізу впливу, коли обробка може створити високий ризик для прав і свобод фізичних осіб.
Тут ще раз за проведення оцінки впливу буде відповідати контролер даних, тобто установа. З іншого боку, установі доведеться шукати думку ОДМ щодо необхідності проведення аналізу, методології, якої слід дотримуватися, можливого субпідряду, заходів, що застосовуються для зменшення можливих ризиків тощо. загалом щодо відповідності результатів аналізу вимогам щодо захисту даних.
Який профіль навичок зберегти ?
На наш погляд, організація охорони здоров’я медичного або медико-соціального закладу повинна мати, крім хороших знань про лікарняний світ, мінімальну базу знань у таких трьох галузях: законодавство про захист даних, інформаційні системи та управління якістю.
Не буде ідеального профілю. Юридична організація з обмеженою відповідальністю повинна працювати у тісному зв’язку з кореспондентом у ISD, а також з відділом якості. І навпаки, особі, що відповідає за замовлення персональних даних із ІТ-технологій або світу якості, повинен допомагати внутрішній або зовнішній спеціаліст, який застосовує законодавство про нові технології.
Хіба це не рішення передати ваш DPO на аутсорсинг ?
DPO фактично може бути зовнішнім постачальником послуг, який виконує свою функцію на підставі договору про надання послуг. Однак ця угода повинна визначити фізичну особу відповідальною за клієнта.
Тут знову немає ідеального рішення. Кожне з двох рішень матиме свої переваги та недоліки, якими потрібно буде керувати. Внутрішня та часткова організація з обмеженими фізичними можливостями, яка є невеликою або середньою структурою, ризикуватиме відсутністю досвіду та ізоляцією у своєму закладі. У цьому випадку було б краще надати допомогу ОДП, що надається зовнішнім консультантом, який має досвід у цьому питанні. Зовнішній ОДП матиме ризик органічної та географічної віддаленості від закладу та затримки або навіть втрати інформації, що може призвести до цього. У цьому випадку установа повинна забезпечити призначення внутрішнього кореспондента для активного управління службою DPO та залучення останнього до всіх проектів установи.
Які формальності необхідно виконати для призначення ОДВ ?
Організація відповідальних осіб, незалежно від того, є вона внутрішньою чи зовнішньою, повинна бути призначена CNIL за допомогою онлайн-форми, доступної на її веб-сайті.
Далі:
[i] Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року