4.2 DATA PROTECTION OFFICER: РОЛЬ, ФУНКЦИИ И КОМПЕТЕНЦИИ

Автор раздела:

Ответственные за организацию обработки ПДн (Data Protection Officers, DPO) в России уже выделились в отдельную группу со своей повесткой и своими интересами, самостоятельный DPO появился у многих крупных и даже средних коммерческих организаций. Отечественный субинститут DPO находится на этапе перехода от обслуживающей роли при нанимателе к позиции посредника между различными подразделениями, имеющими отношение к обработке ПДн.

Хотя сам субинститут лиц, ответственных за организацию обработки ПДн, был включен в российское законодательство еще в 2011 году, ему довольно долго не уделяли должного внимания субъекты данных, надзорные органы, консультанты и даже сами операторы ПДн. Ситуация начала меняться в связи со вступлением в силу Федерального закона от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» и появлением у операторов обязанности «локализовывать» базы с ПДн граждан РФ при их сборе. Это породило спрос на квалифицированных DPO, которые на регулярной основе помогали бы нанимателям разбираться с запутанными требованиями законодательства и хитросплетениями потоков ПДн. Второй импульс возник в 2018 году и был связан с регламентом GDPR, в котором роли и функциям DPO уделено особое внимание. Хотя положения GDPR могут быть прямо применены лишь к относительно небольшому количеству российских организаций, европейский опыт сохраняет релевантность для нашей страны.

Тем не менее до сих пор в России роль DPO традиционно сводится к выполнению ряда обслуживающих функций по отношению к основной деятельности организации-нанимателя. Такое понимание этой роли во многом проистекает из ч. 4 ст. 22.1 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных» (ФЗ-152). Лица, ответственные за организацию обработки ПДн в российских организациях, обязаны выполнять функции, показанные на рисунке 8.

Важно отметить, что вышеупомянутой ст. 22.1 установлено требование о получении DPO указаний непосредственно от исполнительного органа организации, являющейся оператором, и о подотчетности DPO данному органу. Кроме того, оператор обязан предоставлять DPO основные сведения о детальности организации по обработке ПДн.

Задачи DPO в странах Европейской экономической зоны (ЕЭЗ) базово определены в статье 39 GDPR. Если же обратиться к существующей правоприменительной и судебной практике ЕЭЗ, то можно выделить функции и задачи, описанные на рисунке 9.

Следует отметить непривычную для российских организаций роль DPO как своеобразного советника для своего нанимателя-оператора («контролера» в терминах GDPR). Главными функциями DPO являются 1) информирование руководства организации о выявленных несоответствиях в области обработки и защиты ПДн и 2) предоставление нанимателю активных рекомендаций по выполнению требований GDPR и по устранению выявленных несоответствий. При этом DPO не несет ответственности за определение приоритетов и выполнение действий, направленных на сохранение конфиденциальности и соблюдение GDPR. Эта ответственность ложится на контролера данных или процессора.

DPO как лицам, ответственным за организацию обработки ПДн и их защиту, необходимо постоянно повышать свой профессиональный уровень, чтобы эффективно выполнять должностные обязанности в организации, так как нормы права и технологические аспекты постоянно меняются. В ЕС уже существует несколько систем сертификации DPO, созданных в рамках правового поля GDPR. Надзорные органы стран — членов ЕС публикуют рекомендации, помогающие интерпретировать требования GDPR. Одним из таких органов является Национальная комиссия по информационным технологиям и гражданским свободам Франции (Commission Nationale de l’Informatique et des Libertés, CNIL). В частности, CNIL в 2018 году опубликовала руководство по сертификации действующих на территории Франции (или франкоязычных) DPO. В руководстве приводятся требования к кандидатам и условия рассмотрения заявлений кандидатов, а также перечислены 17 квалификационных критериев (компетенций), которым необходимо соответствовать для получения статуса сертифицированного DPO от органов сертификации, аккредитованных CNIL.

Одно из самых наглядных и всеобъемлющих описаний компетенций DPO и дорожной карты их развития подготовлено Комиссией по защите персональных данных Сингапура (Personal Data Protection Commission, PDPC). Это описание схематично представлено на рисунке 10.

Каждая из ступеней развития компетенций DPO может быть кратко охарактеризована следующим образом.

1. Управление защитой данных — разработка и внедрение политик и процедур управления защитой ПДн организации в соответствии с применимым законодательством и лучшими практиками.

2. Управление ИТ-рисками — эффективное прогнозирование и оценка существующих и потенциальных ИТ-рисков, которые влияют на работу и (или) прибыльность организации, а также на разработку и внедрение общеорганизационных стратегий и процессов, для снижения рисков, связанных с обработкой ПДн.

3. Управление нарушениями безопасности данных — выявление инцидентов в сфере кибербезопасности и утечек данных, определение фактических обстоятельств и последствий нарушений, принятие мер для устранения или уменьшения масштаба последствий инцидентов и утечек, эффективные коммуникации по поводу нарушений с заинтересованными лицами.
4. Управление заинтересованными сторонами — управление ожиданиями и потребностями сторон (стейкхолдеров), заинтересованных в состоянии защищенности ПДн, с учетом требований и целей организации в целом.

5. Аудит и комплаенс — организация эффективного внешнего и внутреннего мониторинга и контроля (в том числе путем реализации процедур информирования о нарушениях и проведения служебных расследований) за соблюдением применимых норм в области ПДн.

6. Управление данными — разработка и внедрение в деятельность организации принципов и правил надлежащей обработки ПДн на различных этапах их жизненного цикла, а также предоставление активных рекомендаций в отношении обработки данных и устранения утечек данных в различных сложных, неоднозначных или многогранных контекстах.

7. Этика данных — применение этических принципов при формировании процессов обработки ПДн в контексте деятельности организации.

8. Обмен данными — умение адекватно определять ценность ПДн для достижения конкурентного преимущества и (или) целей организации.

9. Навыки дизайн-мышления — руководство методологическими и процессными аспектами дизайн-мышления для решения конкретных задач организации и управление заинтересованными сторонами на этапах определения проблемы, исследования, формирования идеи и ее осуществления.

Назначая DPO, организация показывает, что управляет всеми процессами и рисками, связанными с обработкой ПДн. В преамбуле GDPR постулируется самостоятельный статус DPO: будучи сотрудником организации или нанятым извне работником, он должен исполнять свои обязанности независимо от воли нанимателя. Для этого DPO не должен быть подчинен какой-либо функции в организации или быть элементом ее управленческого контура, но должен быть наделен необходимыми полномочиями со стороны организации. DPO в ситуации конфликта интересов не сможет качественно выполнять свои функции и задачи. Этот вопрос особенно актуален для России, где эта роль еще не очень распространена и пока не наработана практика разрешения подобных конфликтов.

Рассмотрим несколько моделей конфликта интересов, которые встречаются в организациях довольно часто.

1. Модель «DPO-босс». Роль DPO выполняет один из руководителей организации, который сталкивается с конкурирующими интересами при принятии решений. Как DPO он должен защищать права и законные интересы субъектов ПДн. Как топ-менеджер (уровня финансового или ИТ-директора) он оценивает «стоимость» своих решений для организации, и на практике интересы компании оказываются для него приоритетны.

2. Модель «DPO-сам-себе-контролер». Роль DPO выполняет сотрудник, принимающий решения в важной области ИТ-инфраструктуры (ИТ-менеджер, системный администратор, ответственный за ведение ИС, в которой обрабатываются ПДн, и др.). DPO вынужден сам контролировать свою работу. Это создает предпосылки для внутреннего конфликта интересов: в большинстве ситуаций для такого сотрудника приоритетны текущие задачи и риски в его основной области.

3. Модель «DPO-мастер-на-все-руки». Роль DPO поручена сотруднику, который выполняет рекомендации, написанные им же. В качестве DPO сотрудник выявляет риски в сфере защиты данных и разрабатывает рекомендации по снижению этих рисков. В роли внутреннего консультанта он разрабатывает локальные документы (согласия, политики, положения и даже техническую документацию) и контролирует их внедрение в организации. В результате конфликта интересов сотрудник упрощает себе задачу — разрабатывает план действий с минимальными затратами времени и сил.

Институт DPO в России развит пока недостаточно, и конфликт интересов начинается уже на этапе выбора DPO. Многие организации не задумываются, кого назначить DPO, или не имеют возможности выбрать сотрудника так, чтобы избежать конфликта интересов. В ст. 22.1 ФЗ-152 «Лица, ответственные за организацию обработки персональных данных в организации» статус DPO описан очень общо. Среди других сотрудников его выделяет ответственность за организацию обработки ПДн, но при этом он получает указания непосредственно от исполнительного органа организации — оператора ПДн и подотчетен ему (в ЕС, в отличие от России, DPO ни от кого не получает указаний в отношении своих обязанностей; но и там возник дефицит квалифицированных специалистов на роль DPO).

Регулирование конфликта интересов DPO — непростая, но решаемая задача. Для ее решения необходимо следовать лучшим практикам, накопленным в сфере комплаенса. Особенность DPO в том, что конфликт интересов связан не только с экономической стороной, с безопасностью организации, но и с публичным интересом — защитой прав субъектов ПДн. Важнейшим инструментом этой защиты является автономность и независимость DPO. Мы уже видим зарождение в нашей стране профессиональной общности DPO, которые придерживаются единых ценностей и принципов работы. В ближайшие годы DPO, скорее всего, станут лицами, принимающими решения и определяющими политику своих нанимателей в сфере обработки ПДн.