1.
Актуальные вопросы
GDPR: DPO
Прозоров Андрей, CISM
80na20.blogspot.ru
2018-03-22

2.
The Article 29 Working Party:
“The GDPR recognises the
DPO as a key player in the new
data governance system…”
GDPR признает DPO как ключевого игрока в
новой системе управления данными…

3.
Статьи GDPR про DPO
Section 4 Data protection officer
• Article 37 Designation of the data protection officer
• Article 38 Position of the data protection officer
• Article 39 Tasks of the data protection officer

4.
Section 4. Data protection officer
Article 37
Designation of the data protection officer
1.The controller and the processor shall designate
a data protection officer in any case where:
(a) the processing is carried out by a public
authority or body, except for courts acting in their
judicial capacity;
(b) the core activities of the controller or the
processor consist of processing operations which,
by virtue of their nature, their scope and/or their
purposes, require regular and systematic
monitoring of data subjects on a large scale; or
(c) the core activities of the controller or the
processor consist of processing on a large scale of
special categories of data pursuant to Article 9
and personal data relating to criminal convictions
and offences referred to in Article 10.
Раздел 4. Инспектор по защите ПДн
Статья 37
Назначение на должность инспектора по
защите персональных данных
1. Контролёр и обработчик должны назначить
инспектора по защите персональных данных
при любых обстоятельствах, в случае когда:
(a) обработка осуществляется органом власти
или учреждением, за исключением судов,
действующих в рамках своей судейской
дееспособности;
(b) ключевая деятельность контролёра или
обработчика заключается в обработке данных,
которая в силу своего характера, своего объема
и/или целей, требует регулярного и
систематического мониторинга субъектов
данных в больших масштабах; или
(c) ключевая деятельность контролёра или
обработчика заключается в масштабной
обработке особых категорий данных, в
соответствии со Статьей 6, а также
персональных данных, касающихся
осужденных в уголовном порядке и
правонарушителей в соответствии со Статьей
10.

5.
«Large-scale» «Regular and systematic monitoring»
• processing of patient data in the regular course of
business by a hospital
• processing of travel data of individuals using a city’s
public transport system (e.g. tracking via travel cards)
• processing of real time geo-location data of customers
of an international fast food chain for statistical
purposes by a processor specialised in these activities
• processing of customer data in the regular course of
business by an insurance company or a bank
• processing of personal data for behavioural
advertising by a search engine
• processing of data (content, traffic, location) by
telephone or internet service providers
Do not constitute large-scale
• processing of patient data by an individual physician
• processing of personal data relating to criminal
convictions and offences by an individual lawyer
• operating a telecommunications
network
• providing telecommunications services
• email retargeting
• profiling and scoring for purposes of
risk assessment (e.g. for purposes of
credit scoring, establishment of
insurance premiums, fraud prevention,
detection of money-laundering)
• location tracking, for example, by
mobile apps
• loyalty programs
• behavioural advertising
• monitoring of wellness, fitness and
health data via wearable devices
• closed circuit television
• connected devices e.g. smart meters,
smart cars, home automation, etc
Примеры (The Article 29 Working Party)

6.
2.A group of undertakings may appoint a single
data protection officer provided that a data
protection officer is easily accessible from each
establishment.
3.Where the controller or the processor is a public
authority or body, a single data protection officer
may be designated for several such authorities or
bodies, taking account of their organisational
structure and size.
4.In cases other than those referred to in
paragraph 1, the controller or processor or
associations and other bodies representing
categories of controllers or processors may or,
where required by Union or Member State law
shall, designate a data protection officer. The
data protection officer may act for such
associations and other bodies representing
controllers or processors.
2.Группа компаний может назначить единого
инспектора по защите персональных данных,
при условии, что инспектор по защите
персональных данных может быть легко
доступен для каждой компании.
3.В случае если контролёр или обработчик
является государственным органом или
учреждением, единый инспектор по защите
персональных данных может быть назначен
для нескольких таких органов власти или
учреждений, принимая во внимание их
организационную структуру и количественный
состав.
4.В случаях, иных чем те, которые указаны в
параграфе 1, контролёр, или обработчик, или
ассоциации и иные органы, представляющие
категории контролёров или обработчиков,
могут, или если этого требует право Евросоюза
или право государства-члена, должны
назначить инспектора по защите
персональных данных. Инспектор по защите
персональных данных может действовать от
лица указанных ассоциаций и иных органов,
представляющих контролёров или
обработчиков.

7.
5.The data protection officer shall be designated
on the basis of professional qualities and, in
particular, expert knowledge of data protection
law and practices and the ability to fulfil the tasks
referred to in Article 39.
6.The data protection officer may be a staff
member of the controller or processor, or fulfil
the tasks on the basis of a service contract.
7.The controller or the processor shall publish the
contact details of the data protection officer and
communicate them to the supervisory authority.
5.Инспектор по защите персональных данных
должен назначаться на основе
профессиональных качеств и, в том числе, на
основе экспертных знаний в сфере права
защиты данных и практики, а также
способности осуществлять задачи,
предусмотренные Статьей 39.
6.Инспектор по защите персональных данных
может являться сотрудником контролёра или
обработчика, или осуществлять задачи на
основании договора об оказании услуг.
7.Контролёр или обработчик должны
опубликовать реквизиты инспектора по
защите персональных данных и сообщить их
надзорному органу.

8.
Собственный DPO нужен
лишь малой части
операторов ПДн,
подпадающих под GDPR.
Но рекомендуется…

9.
Article 38
Position of the data protection officer
1.The controller and the processor shall ensure
that the data protection officer is involved,
properly and in a timely manner, in all issues
which relate to the protection of personal data.
2.The controller and processor shall support the
data protection officer in performing the tasks
referred to in Article 39 by providing resources
necessary to carry out those tasks and access to
personal data and processing operations, and to
maintain his or her expert knowledge.
Статья 38
Должность инспектора по защите
персональных данных
1.Контролёр и обработчик должны обеспечить,
чтобы инспектор по защите персональных
данных участвовал в установленном порядке и
согласно указанным срокам во всех делах,
которые относятся к защите персональных
данных.
2.Контролёр и обработчик должны оказывать
содействие инспектору по защите
персональных данных в осуществлении задач,
предусмотренных в Статье 39, посредством
средств, необходимых для осуществления таких
задач, а также предоставлением доступа к
персональным данным и операциям
обработки, и поддерживать его/ее экспертную
осведомленность.

10.
3.The controller and processor shall ensure that
the data protection officer does not receive any
instructions regarding the exercise of those tasks.
He or she shall not be dismissed or penalised by
the controller or the processor for performing his
tasks. The data protection officer shall directly
report to the highest management level of the
controller or the processor.
4.Data subjects may contact the data protection
officer with regard to all issues related to
processing of their personal data and to the
exercise of their rights under this Regulation.
communicate them to the supervisory authority.
3.Контролёр и обработчик должны следить за
тем, чтобы инспектор по защите персональных
данных не получал каких-либо указаний
относительно осуществления таких задач.
Он/она не должны быть уволены или
наказаны контролёром или обработчиком за
осуществление их задач. Инспектор по защите
персональных данных должен напрямую
отчитываться перед руководством высшего
уровня контролёра или обработчика.
4.Субъекты данных могут обращаться к
инспектору по защите персональных данных
относительно всех вопросов, связанных с
обработкой их персональных данных, а также
связанных с осуществлением их прав в
соответствии с настоящим Регламентом.

11.
5.The data protection officer shall be bound by
secrecy or confidentiality concerning the
performance of his or her tasks, in accordance
with Union or Member State law.
6.The data protection officer may fulfil other tasks
and duties. The controller or processor shall
ensure that any such tasks and duties do not
result in a conflict of interests.
5.Инспектор по защите персональных данных
должен быть связан с соблюдением тайны или
конфиденциальности, в отношении
осуществления его/ее задач, в соответствии с
правом Евросоюза или правом государства-
члена.
6.Инспектор по защите персональных данных
может выполнять иные задачи и обязанности.
Контролёр или обработчик должны следить за
тем, чтобы любые такие задачи и обязанности
не приводили к конфликту интересов.

12.
Типовой конфликт интересов
• CEO
• COO
• CFO
• Chief medical officer
• Head of marketing department
• Head of Human Resources
• Head of IT departments
The Article 29 Working Party

13.
Article 39
Tasks of the data protection officer
1.The data protection officer shall have at least the
following tasks:
(a) to inform and advise the controller or the
processor and the employees who carry out
processing of their obligations pursuant to this
Regulation and to other Union or Member State
data protection provisions;
(b) to monitor compliance with this Regulation,
with other Union or Member State data protection
provisions and with the policies of the controller
or processor in relation to the protection of
personal data, including the assignment of
responsibilities, awareness-raising and training of
staff involved in processing operations, and the
related audits;
…
Статья 39
Задачи инспектора по защите персональных
данных
1.Инспектор по защите персональных должен
выполнять, как минимум следующие задачи:
(a) информировать и давать советы
контролёру или обработчику, а также
сотрудникам, которые осуществляют
обработку, относительно их обязанностей по
настоящему Регламенту и иным положениям о
защите данных Евросоюза или государства-
члена;
(b) осуществлять мониторинг соблюдения
настоящего Регламента, иных положений
Евросоюза или государства-члена о защите
данных, и политик контролёра или обработчика
в отношении защиты персональных данных, в
том числе распределения обязанностей,
повышения осведомленности и обучения
персонала, занятого в обработке данных, а
также относительно аудита.
…

14.
(c) to provide advice where requested as regards
the data protection impact assessment and
monitor its performance pursuant to Article 35;
(d) to cooperate with the supervisory authority;
(e) to act as the contact point for the supervisory
authority on issues relating to processing,
including the prior consultation referred to in
Article 36, and to consult, where appropriate, with
regard to any other matter.
2.The data protection officer shall in the
performance of his or her tasks have due regard to
the risk associated with processing operations,
taking into account the nature, scope, context and
purposes of processing.
(c) давать рекомендации, когда они
запрашиваются, относительно оценки
воздействия на защиту данных, а также
осуществлять мониторинг их выполнения, в
соответствии со Статей 35;
(d) сотрудничать с надзорным органом;
(e) действовать в качестве контактного центра
для надзорного органа по вопросам,
относящимся к обработке, в том числе по
предварительному консультированию,
предусмотренному Статей 36, а также давать
советы, в соответствующих случаях, в
относительно иных вопросов.
2.Инспектор по защите персональных данных
при выполнении его/ее задач должен
соответствующим образом учитывать риск,
связанный с операциями обработки, принимая
во внимание характер, объем, контекст и цели
обработки.

15.
Важно! Не путайте DPO с официальным
представителем компании в ЕС.
см. GDPR Art.27 «Representatives of controllers
or processors not established in the Union»

16.
Разъяснения про DPO
• The Article 29 Working Party:
• Guidelines on Data Protection Officers
('DPOs') -
http://ec.europa.eu/newsroom/article29/
item-detail.cfm?item_id=612048
• DPO FAQs -
http://ec.europa.eu/information_society/
newsroom/image/document/2016-
51/wp243_annex_en_40856.pdf
• Guide to the GDPR - https://ico.org.uk/for-
organisations/guide-to-the-general-data-
protection-regulation-gdpr
Но, по сути, это пересказ GDPR. Пользы мало…

17.
Сколько требуется DPO?
• более 28 000 в ЕС
• более 75 000 в Мире
По оценкам IAPP

18.
Лишь 38,4%
организаций назначили DPO
для соблюдения требований
GDPR

19.
Кто выполняет функции DPO?
38,5%
11,1%13,0%
0,5%
11,1%
25,9%
Data Protection Officer
IT Manager
ISMS Manager
External service provider
Not aware
Other
«GDPR Report» (2017-07), IT Governance

20.
Что важно?
• DPO – работа мечты! Задач мало, персональной
ответственность за несоблюдение требований GDPR нет, трудно
уволить, отчитывается перед высшим руководством
• Может быть 1 DPO на несколько компаний или даже аутсорсинг
• Важно не путать DPO с «официальным представителем в ЕС»,
это разные люди!
• В РФ будет мало DPO (не в scope). На HH.ru вакансий нет
(меньше 10)…
• Уедут ли российские CISO в Европу? Скорее нет, нужно хорошо
разбираться в европейском законодательстве и
взаимодействовать с регуляторами…
• Основная задача DPO – повышение осведомленности
(awareness)

21.
Спасибо!
Прозоров Андрей, CISM
80na20.blogspot.ru