Общий Регламент по Защите Данных: кому придется нанять ответственного за защиту данных?

Общий Регламент по Защите Данных: кому придется нанять ответственного за защиту данных?

Время продолжает неотступно приближаться к маю следующего года , когда ожидаются серьезные перемены в применении европейских законов о защите данных. Общий Регламент по Защите Данных ( GDPR ) будет действовать во всех странах-членах Европейского союза (включая Великобританию, до и почти наверняка после выхода из состава ЕС).

Было написано много статей о санкциях за нарушения (штрафы вплоть до 20 млн евро или 4% годового глобального оборота организации) и об изменениях в таких понятиях, как дача согласия, ответственность и права субъектов данных , но возможно, был упущен момент о том, что регламент вводит законодательную основу для той должности, которая до сих пор имела только имела неформальный статус – должности ответственного за защиту данных (DPO).

До сих пор, в Великобритании и на большей части Европы и остального мира, роль ответственного за защиту данных была в значительной степени неопределенной. Существующая структура защиты данных датируется директивой ЕС от 1995 года.

В те дни «данные» рассматривались исключительно в контексте компьютеров, и первые люди, получившие неофициальное название DPO, были в основном людьми с опытом в информационно-коммуникационных технологиях — теми, кто мог понять поток компьютеризированных данных, а также идентифицировать и «защищать» данные, имеющие отношение к определенным лицам.

С тех пор, как технология стала наполнять всю нашу жизнь настолько, что наше цифровое «я» присутствует с нами везде, куда бы мы не пошли, ожидания от ответственных за защиту данных значительно расширились и диверсифицировались.

В настоящее время ответственный за защиту данных — это должность, ответственная за соблюдение защиты данных в организации. По-прежнему ожидается, что ответственный за защиту данных будет помогать организациям выполнять свои юридические обязательства, но теперь уже в том, что касается соблюдения права на неприкосновенность частной жизни.

Это также касается безопасности, но в наши дни речь идет о гораздо большем. Теперь это включает в себя специалистов, имеющих опыт в разных отраслях: по-прежнему, в информационно-коммуникационных технологиях, но также в юридической, сфере сервиса и во многих других областях.

Общий Регламент по Защите Данных не только официально закрепляет эту должность, но и делает ее обязательной для многих организаций. Например, потребуется хотя бы один ответственный за защиту данных для каждого государственного органа, хотя определение «государственного органа» не совсем ясно, в Великобритании это, скорее всего, будет эквивалентно понятию «государственная власть».

Это означает, что некоторые очень мелкие организации, например, окружные советы или государственные школы, будут обязаны ввести в штат должность ответственного за защиту данных.

Но эта должность также обязательна и для тех организаций, чьи основные виды деятельности связаны с «регулярным и систематическим мониторингом данных в крупном масштабе» или если «основные виды деятельности» связаны с крупномасштабной обработкой особо конфиденциальных данных (таких как данные, относящиеся к расовому или этническому происхождению, религиозным убеждениям, здоровью, сексуальной жизни или уголовной ответственности).

Дальнейшие рекомендации (хотя и не сформулированные достаточно ясно) были подготовлены так называемой рабочей группой по статье 29 , группой представителей органов по защите данных стран ЕС. В этом руководстве все же объясняется, что «основные виды деятельности» не включают в себя обработку информации о персонале в целях управления персоналом (противоположное мнение, вероятно, привело бы к тому, что любой работодатель должен иметь в штате ответственного за защиту данных).

GDPR также проясняет определенную структуру и определяет некоторые из требуемых качеств и обязательств ответственного за защиту данных. В Регламенте говорится, что ответственный за защиту данных должен:

  • Действовать «независимо»;
  • Не принимать инструкций от своего работодателя;
  • Иметь экспертные знания в области защиты данных;
  • Обладать достаточными ресурсами;
  • Не может быть уволен за выполнение своих непосредственных обязанностей;
  • Должен предоставлять отчет непосредственно лицам, находящимся на «самом высоком управленческом уровне».

Ответственный за защиту данных не обязательно должен быть назначен из числа имеющихся сотрудников — GDPR дает понять, что эта вакансия может быть заполнена подрядчиком и может быть распределена между организациями.

В любом случае, как указывается в руководстве, существует риск конфликта интересов и что, хотя ответственный за защиту данных может занимать и другие должности, есть все же должностные позиции, несовместимые с ролью ответственного за защиту данных — например, генеральный директор, финансовый директор, руководитель отдела маркетинга, HR или ИТ.

Что произойдет, если организация должна назначить ответственного за защиту данных в рамках Общего Регламента по Защите Данных, но не делает этого? Теоретически такое нарушение может привлечь штраф «нижнего уровня» — до 10 млн евро или 2% годового глобального оборота.

GDPR: who needs to hire a data protection officer?

Другие записи

  • Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?
  • Директива № 20 США (Presidential Policy Directive 20) по кибероперациям. Подробности
  • 4 громкие новости о кибербезопасности
  • 5 особенностей русского инсайда. Инсайд по-русски
  • Что интересного в отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год?
  • Контрольный список по безопасности для американских чиновников

© editor for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh

Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации