Призначення, функціонування та функціонування посадової особи з питань захисту персональних даних

Право у всіх його формах

захисту

Як частина реалізації принципу підзвітності, GDPR передбачає призначення, обов’язкове, в певних випадках, посадової особи з питань захисту даних (DPD або DPO для працівника з питань захисту даних).

DPO відіграє ключову роль у просуванні культури захисту даних в організації та допомагає впровадити такі основні елементи GDPR, як принципи, що стосуються обробки даних, прав зацікавлених осіб, захисту даних за проектом та захисту даних за замовчуванням, реєстр діяльності з обробки, безпека обробки, а також повідомлення та повідомлення про порушення даних.

DPD представлена ​​Групою статей 29 як "один з наріжних каменів режиму відповідальності", запроваджений європейським законодавцем.

Точніше, його призначення:

  • По-перше, сприяти дотриманню правил шляхом впровадження інструментів підзвітності (наприклад, сприяння оцінці впливу на захист даних та сприяння або проведення аудитів захисту даних)
  • З іншого боку, виступати посередником між зацікавленими суб'єктами (наприклад, наглядовими органами, зацікавленими особами та суб'єктами господарювання в організації).

Насправді призначення особи, відповідальної за забезпечення відповідності внутрішніх процедур компанії принципам, викладеним у текстах, не є новим.

директива від 24 листопада 1995 р вже передбачала можливість для держав-членів призначити особу з питань захисту даних, яка буде відома у Франції під іменем Correspondentant Informatique et Libertés (CIL).

Досить сказати, що DPD призначений замінити цей CIL, однак, за винятком того, що позначення DPD, в деяких випадках, стає обов'язковим згідно з GDPR.

На диво, хоча GDPR детально описує статус ОДВ, французький закон про транспонування від 20 червня 2018 року обмежується наданням його призначення. В іншому, це посилання на європейський регламент, який, хоча і безпосередньо застосовується, містить багато сфер неточності.

Крім того, це залежить від CNIL та судової практики, яка буде визначати правовий статус DPD.

На даний момент доцільно звернутися до GDPR та керівних принципів Групи статті 29, щоб зрозуміти правовий режим DPD.

I) Призначення посадової особи з питань захисту даних

AT) Випадки позначення DPO

З GDPR випливає, що слід розрізняти випадки, коли призначення ДПО є обов'язковим, та випадки, коли призначення не є обов'язковим.

  1. Призначення DPO є обов’язковим

В якості попереднього зауваження можна помітити, що стаття 37 GDPR застосовується як до контролерів даних, так і до процесорів щодо призначення ДПО.

Залежно від особи, яка відповідає обов'язковим критеріям призначення, в деяких випадках лише контролер або процесор повинен призначити DPO, в інших контролер і процесор повинні призначити кожного DPO (два DPO повинні співпрацювати між собою).

Важливо підкреслити, що, незважаючи на те, що контролер відповідає обов'язковим критеріям призначення, його процесор не обов'язково повинен призначати DPO.

Щоб визначити, чи обов’язкове позначення, зверніться до розділ 37, 1. GDPR, де викладено три випадки.

У тиші LIL та судової практики, яка ще не мала можливості висловити свої зауваження, сфера дії цих трьох справ повинна розумітися з урахуванням Керівних принципів щодо службових осіб із захисту даних, прийнятих Групою Article 29 13 грудня 2016 р.

2. Призначення DPO є необов’язковим

Розділ 37, 4. GDPR передбачає, що "контролер або обробник або асоціації та інші органи, що представляють категорії контролерів або обробників, можуть призначати або, якщо це вимагає законодавство Союзу або законодавство держави-члена, зобов'язані призначити посадового особу з питань захисту даних".

Це позначення буде результатом оцінки рівня ризику невідповідності, якому піддається контролер або процесор.

У зв'язку з цим можна помітити, що G29 рекомендує контролерам даних та процесорам документувати внутрішній аналіз, проведений для того, щоб визначити, чи є необхідність призначати DPO чи ні, щоб вони змогли продемонструвати, що відповідні фактори були належним чином враховані.

Цей аналіз є частиною документації, необхідної за принципом відповідальності. Це може вимагатися наглядовим органом, і воно повинно регулярно оновлюватися, наприклад, якщо контролери або обробники даних здійснюють нову діяльність або пропонують нові послуги, які можуть відповідати випадкам, переліченим у статті 37.

Б) Процедури призначення DPO

  1. Призначення зовнішнього ДПО

Група за статтею 29 попереджає: коли орган призначає ОДВ на добровільних засадах, умови, передбачені статтями 37 - 39, застосовуються до призначення, функціонування та місій останньої, як ніби призначення було обов'язковим.

Ніщо не заважає органу, який не має юридичного зобов’язання призначити ОДВ та не бажає призначити його на добровільних засадах, наймати персонал або зовнішніх консультантів, відповідальних за місії, пов’язані із захистом персональних даних.

У такому випадку важливо переконатись, що немає плутанини щодо їх титулу, статусу, функції та обов’язків.

Таким чином, у будь-якому спілкуванні як в компанії, так і з органами захисту даних, суб’єктами даних та широкою громадськістю повинно бути чітко зазначено, що ця особа або консультант не носить звання посадової особи з питань захисту даних (DPD).

2. Призначення єдиного ОДП для кількох організацій

Розділ 37, 4 GDPR передбачає, що "група компаній може призначити одного спеціаліста з питань захисту даних за умови, що співробітника з питань захисту даних легко дістати з кожного місця заснування".

Для групи за статтею 29 концепція досяжності стосується місій ОДМ як пункту контакту для зацікавлених осіб, контролюючого органу, але також і всередині організації, беручи до уваги той факт, що одна з місій ДПО полягає в тому, щоб "інформувати та консультувати контролера або процесора, а також працівників, які здійснюють обробку, щодо своїх зобов'язань за цим Регламентом".

Для того, щоб забезпечити доступність DPO, як внутрішнього, так і зовнішнього, важливо

забезпечити надання їх контактних даних відповідно до вимог GDPR.

Отже, він повинен мати можливість за допомогою команди, якщо це необхідно, ефективно спілкуватися із зацікавленими особами та співпрацювати з компетентними наглядовими органами, що також передбачає, що це спілкування відбувається мовою (мовами), якою користується наглядовий орган. органи влади та суб’єкти даних, про які йдеться.

Наявність організації з обмеженою відповідальністю (фізично розташована в тому самому місці, де працюють працівники, або до якої можна дістатись за допомогою гарячої лінії чи інших захищених засобів зв'язку) є надзвичайно важливою, щоб зацікавлені особи могли зв’язатися з ним.

На додачу, розділ 37 GDPR санкціонує призначення єдиної посадової особи з питань захисту даних для кількох органів державної влади чи державних органів, враховуючи:

  • З їх організаційної структури
  • З їх розміру.

Застосовуються ті самі міркування щодо ресурсів та комунікацій.

З огляду на те, що ОДП відповідає за низку завдань, контролер або обробник повинен забезпечити, щоб один ОДІ міг за допомогою команди, якщо це необхідно, ефективно виконувати ці місії, незважаючи на те, що його призначають кілька державних органів і державні органи.

VS) Публічність позначення DPO

Розділ 37, 7 GDPR покладає на контролера обов'язок публікувати "контактні дані працівника з питань захисту даних та повідомляти їх контролюючому органу".

Ці вимоги мають на меті забезпечити, щоб суб’єкти даних (як всередині організації, так і за її межами) та наглядові органи могли легко та безпосередньо зв’язуватися з ОДМ, не зв’язуючись з іншою службою.

==> Про передачу контактних даних DPO

Контактні дані DPO повинні містити інформацію, що дозволяє суб’єктам даних та контролюючим органам легко зв’язатися з ним (поштова адреса, конкретний номер телефону та/або конкретна адреса електронної пошти).

Там, де це доречно, для цілей комунікації з громадськістю можуть також надаватися інші засоби зв'язку, наприклад, конкретна телефонна допомога або конкретна контактна форма, надіслана до організації з обмеженою відповідальністю на веб-сайті організації.

==> Про повідомлення імені DPO

Розділ 37, 7 не вимагає, щоб опубліковані контактні дані містили назву DPO.

Однак передача назви контролюючого органу контролюючого органу є надзвичайно важливою, щоб організація відповідальних осіб могла виступати як точка контакту між органом та контролюючим органом.

II) Функція працівника з питань захисту даних

AT) Умови прийнятності на посаду ОДВ

Розділ 37, 5. GDPR передбачає, що "службовець з питань захисту даних призначається на основі його професійних якостей і, зокрема, його спеціалізованих знань із законодавства та практики захисту даних, а також його здатності виконувати завдання, зазначені у статті 39".

Стаття 97 визначає, що рівень необхідних спеціалізованих знань повинен визначатися, зокрема, на основі проведених операцій з обробки даних та захисту, необхідного для персональних даних, що обробляються контролером або процесором. Іншими словами, оцінка повинна проводитися в кожному конкретному випадку.

У будь-якому випадку, щоб отримати право на посаду ОДВ, призначена особа повинна обґрунтувати:

Б) Функція DPD

Розділ 38 GDPR передбачає, що "контролер даних та обробник забезпечують, щоб відповідальний за захист даних належним чином та своєчасно брав участь у всіх питаннях, що стосуються захисту персональних даних. персонал".

З цього положення випливає, що, коли ситуація стосується обробки персональних даних, DPO повинен, як мінімум, бути проінформований контролером або навіть проконсультуватися для отримання висновку.

VS) Ресурси DPD

Розділ 38 GDPR покладає обов'язок на контролера даних надати DPO:

  • Ресурси, необхідні для виконання цих місій
  • Доступ до персональних даних та операцій з обробки даних, що дозволяє йому зберігати свої спеціалізовані знання.

Група статті 29 зазначає, що, як правило, чим складніші або чутливіші операції з обробки, тим більші ресурси виділяються на DPO. Функція захисту даних повинна бути ефективною та забезпечуватись достатніми ресурсами щодо проведеної обробки даних.

D) Гарантії для здійснення функції

Стаття 38 GDPR встановлює низку норм, які мають на меті дозволити ОІО виконувати свої обов'язки в повній незалежності.

У зв’язку з цим у статті 97 зазначається, чи є DPO співробітником контролера, він у будь-якому випадку повинен мати можливість виконувати свої функції та місії в повній незалежності.

Ця незалежність гарантується:

III) Місії працівника з питань захисту даних

Місії, які повинні бути доручені DPD, викладені, не вичерпно, у статті 39 GDPR.

Це положення передбачає, що організація відповідальних осіб відповідає за: