Правовой статус DPO и лица, ответственного за организацию обработки персональных данных: европейское и российское регулирование

 

30 сентября 2023 г.

 

Профессия лица, ответственного за защиту персональных данных – Data Protection Officer (далее также — «DPO») набирает популярность как мире, так и в России. Это связано с развитием новых технологий и обработкой большого объема персональных данных (далее также – «ПД»). Росту востребованности способствуют также возросшее количество утечек и большие размеры штрафов за несоблюдение требований к обработке персональных данных.

В статье рассмотрим, для какого бизнеса обязательно иметь такого специалиста в штате либо привлечь его на основе договора об оказании услуг, какие требования предъявляются к его квалификации, какими правами и обязанностями наделяется в европейском и российском законодательстве.

Кто такой Data Protection Officer?

Должность и профессия специалиста по защите персональных данных – «Data Protection Officer» появилась в Европе в 70-х годах прошлого века после принятия в Германии первого закона о защите персональных данных. Главная цель его деятельности заключалась в защите прав человека на неприкосновенность частной жизни.

25 мая 2018 года в Евросоюзе вступил в силу регламент защиты персональных данных General Data Protection Regulation (далее по тексту – «GDPR», «Регламент»). Обратим внимание, что Регламент является обязательным к применению для всех лиц, осуществляющих обработку персональных данных граждан Евросоюза, вне зависимости осуществляется она на территории ЕС или за его пределами.

Российские компании, являющиеся операторами персональных данных, также попадают под действие GDPR, если:

  • имеют филиалы и представительства на территории стран Евросоюза, а также офис или рабочее место, где осуществляется обработка персональных данных;
  • оказывают услуги или продают товары гражданам из Евросоюза, в том числе онлайн;
  • осуществляют мониторинг действий (наблюдение и прогнозирования предпочтений, личностных характеристик, особенностей поведения физических лиц в маркетинговых, статистических и иных целях) граждан ЕС.

Институт DPO регламентирован в разделе 4 GDPR, который требует внимательного рассмотрения. Компании, являющиеся операторами персональных данных (в GDPR они именуются «Контролеры» и «Процессоры», но в рамках данной статьи далее будут именоваться аналогично российскому законодательству «Операторы»), обязаны назначить DPO в случае, если:

  • обработка осуществляется государственным органом или учреждением, за исключением судов;
  • основная деятельность Оператора требует регулярного или систематического мониторинга субъектов данных в больших масштабах;

В качестве примера можно привести HR-агентство, основным видом деятельности которого является подбор сотрудников, для чего оно регулярно мониторит данные физических лиц, ищущих работу. Отметим, что GDPR не содержит определения понятий «регулярный и систематический контроль» и «обработка в больших масштабах». Однако в сложившейся правоприменительной практике при определении большого объема обработки необходимо принимать во внимание следующие факторы: число субъектов данных, объем обрабатываемых персональных данных; диапазон обрабатываемых различных элементов данных, географические масштабы обработки.

  • основная деятельность Оператора заключается в обработке специальных категорий данных в больших масштабах или персональных данных, касающихся судимостей и правонарушений. Например, деятельность медицинской клиники или медицинской страховой компании, которые масштабно обрабатывают данные физических лиц, касающиеся состояния их здоровья.

В иных случаях DPO назначают по желанию Оператора или в случаях, если такая обязанность предусмотрена национальным законодательством. Группа компаний может назначить единого DPO при условии, что легко доступен из каждой организационной единицы.

Требования к квалификации DPO

Регламент определяет только в общем виде. Так, DPO должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных. Конкретные требования к образованию и квалификации не установлены. Вместе с тем отметим, что в странах ЕС функционируют несколько систем сертификации DPO, а органы-регуляторы стран ЕС публикуют рекомендации к его уровню компетенции. Например, на территории Франции установлены 17 квалификационных критериев, которым необходимо соответствовать для получения статуса сертифицированного DPO.

DPO может являться сотрудником Оператора, либо выполнять задачи на основе договора об оказании услуг. В Европе эту позицию чаще всего занимают специалисты с юридическим образованием. Оператор публикует контактные данные и сообщает их надзорному органу-регулятору.

Задачи и гарантии DPO

В статье 39 GDPR определены задачи DPO, к которым относятся:

  • информировать и консультировать Оператора и его сотрудников, которые обрабатывают данные, о возложенных на них обязанностях;

В рамках данной задачи DPO информирует руководство и сотрудников о необходимых для защиты технических и организационных мерах, осуществляет контроль за изменениями законодательства, проводит обучающие мероприятия.

  • осуществлять мониторинг за соблюдением GDPR и других законов о защите данных, а также за соблюдением локальных нормативных актов о защите данных, включая соответствующие аудиторские проверки;

Фактически DPO должен полностью осуществлять аудит процессов сбора, обработки и хранения данных на соответствие требованиям GDPR. Также DPO контролирует ведение документации, касающейся обработки данных, и обеспечивает ее своевременную актуализацию.

  • сотрудничать с надзорным органом-регулятором;
  • выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой.

GDPR также регламентирует гарантии DPO и его взаимодействие с компанией-Оператором. В частности, Оператор:

  • обеспечивает поддержку специалисту посредством предоставления необходимых ресурсов и обеспечения доступа к персональным данным и действиям по обработке, а также предоставляет ресурсы для поддержания его специальных знаний;
  • обеспечивает надлежащее и своевременное участие DPO во всех вопросах по защите персональных данных;
  • гарантирует, что DPO не получает никаких инструкций при выполнении своих задач;
  • не отстраняет его или не применяет к нему санкции за выполнение своих задач.

DPO несет ответственность непосредственно перед высшим руководством Оператора. Он может выполнять иные задачи и обязанности, но Оператор должен обеспечить, чтобы они не создавали конфликт интересов.

Как видим, роль DPO в компаниях-Операторах стран ЕС велика. Российским компаниям, которые подпадают под действие GDPR, при обработке персональных данных граждан ЕС следует организовать работу с учетом положений международно-правовых актов, и, по возможности, назначить лицо, ответственное за защиту данных, обладающего необходимыми компетенциями.

Кто отвечает за организацию обработки персональных данных в соответствии с российским законодательством?

В России одной из обязанностей компании-Оператора является назначение лица, ответственного за организацию обработки персональных данных (далее по тексту – «ответственный за обработку ПД», «ответственный»). Его правовой статус регулирует статья 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»).

Она была включена в Закон еще в 2011 году, однако данному лицу довольно долго не уделяли должного внимания ни контрольные органы, ни Операторы. Положение начало меняться с развитием цифровизации и информатизации, а также повышением штрафных санкций.

Рассмотрим правовое положение ответственного за обработку ПД подробнее. Если Оператором является юридическое лицо, в том числе государственный орган, то назначение ответственного за обработку ПД обязательно. Индивидуальные предприниматели назначать его не обязаны. Однако, учитывая, что Закон о персональных данных, устанавливает для Оператора значительное количество обязанностей, такой специалист может быть необходим любому лицу, занятому обработкой персональных данных.

Закон о персональных данных не предъявляет требований к образованию и квалификации такого лица. По данным из открытых интернет-ресурсов в настоящее время в 37% случаев на данную позицию назначают юристов, 26% — это специалисты информационной безопасности, ещё 9% — HR-специалисты[1].

Ответственным можно назначить как сотрудника Оператора, состоящего в трудовых отношениях с ним, так и привлечь для выполнения данной функции третье лицо на основании гражданско-правового договора. В случае передачи обязанностей на аутсорсинг ответственность за действия данного лица также будет нести Оператор. Исключение – государственные или муниципальные органы. Они назначают ответственного только из числа служащих и (или) работников данного органа (подпункт «а» пункта 1 Перечня, утвержденного постановлением Правительства России от 21.03.2012 № 211[2]).

Дискуссионным является вопрос, вправе ли Оператор назначить несколько ответственных. На этот счет высказывается два противоположных мнения. На наш взгляд, разделять обязанности межу несколькими лицами не всегда целесообразно. Кроме того, в уведомлении об обработке персональных данных, направляемом в Роскомнадзор, ответственным должен быть указан один человек.

Обязанности ответственного за обработку ПД перечислены в части 4 статьи 22.1 Закона о персональных данных. Они сходны с обязанностями DPO. Ответственный за обработку ПД обязан:

  • осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения работников Оператора положения законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

Для обеспечения деятельности ответственного Оператор обязан предоставлять ему сведения, которые предоставляются в Роскомнадзор при подаче уведомления перед началом обработки персональных данных, как-то цели обработки ПД, принимаемые меры защиты ПД и обеспечении безопасности и т.п.

Как видим, деятельность данного лица, как и в GDPR, урегулирована крайне поверхностно, и с очевидностью требует дополнительной регламентации в локальных нормативных актах Оператора (приказах, должностных инструкциях, положениях о порядке обработки персональных данных и регламентах взаимодействия подразделений).

Ответственный за безопасность персональных данных

Если Оператор обрабатывает данные с использованием информационных систем, может потребоваться также назначить ответственного за обеспечение безопасности персональных данных в информационной системе (далее по тексту – «ответственный за безопасность ПД»).

Во-первых, это зависит от уровня защищенности персональных данных в информационной системе.

Уровни защищенности определяются Оператором в соответствии с постановлением Правительства России от 01.11.2012 № 1119[3] и зависят от следующих факторов: типа угрозы и категории обрабатываемых персональных данных. В силу пункта 14 указанного постановления для обеспечения 3-го и 2-го уровня защищенности должен быть назначен ответственный за обеспечение безопасности ПД.

Отметим, что законодательство о персональных данных не содержит требования к должности и образованию лица, ответственного за безопасность. Как правило, ответственным за безопасность ПД назначают специалиста в области информационной безопасности, компьютерной сфере или иного технического специалиста.

Для обеспечения 1-го уровня защищенности потребуется создание отдельного структурного подразделения, ответственного за обеспечение безопасности, либо возложение на одно из структурных подразделений таких функций.

Во-вторых, требования о наличии лиц, ответственных за безопасность зависит от сферы деятельности компании.

Так, в соответствии с Указом Президента России от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» в органах исполнительной власти, государственных фондах, государственных корпорациях, стратегических и системообразующих организациях и субъектов критической информационной инфраструктуры (далее по тексту – «субъекты КИИ») должно быть создано структурное подразделение, осуществляющее функции по обеспечению информационной безопасности. На заместителя руководителя такой организации возлагаются полномочия по обеспечению информационной безопасности. Напомним, к субъектам КИИ относятся российские юридические лица, работающие в одной из 14 сфер деятельности (здравоохранении, науке, транспорте, связи, энергетики, банковской сфере и финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности).

Постановлением Правительства России от 15.07.2022 № 1272 утверждены типовые положения о заместителе руководителя, ответственном за обеспечение информационной безопасности и о структурном подразделении, обеспечивающем информационную безопасность. В частности, заместитель руководителя должен иметь высшее образование (не ниже уровня специалитета, магистратуры) по информационной безопасности или иное высшее образование и профессиональную переподготовку по направлению «Информационная безопасность»[4].

В соответствии с приказом ФСТЭК России от 21.12.2017 № 235[5] к работникам структурного подразделения по безопасности субъекта КИИ, предъявляются следующие требования:

  • Для руководителя структурного подразделения по безопасности – наличие высшего профессионального образования в области информационной безопасности или иного высшего профессионального образования и документа, подтверждающего прохождение профессиональной переподготовки по направлению «Информационная безопасность», стаж работы в сфере информационной безопасности не менее 3 лет.
  • Для иных работников подразделения – наличие профессионального образования по информационной безопасности или иного высшего профессионального образования и повышение квалификации по направлению «Информационная безопасность».

Кроме того, указанные работники обязаны не реже одного раза в 3 года повышать свою квалификацию в данной сфере.

На работников подразделения по безопасности приказ ФСТЭК России от 21.12.2017 № 235 возлагает следующие функции:

  • проводить анализ угроз безопасности, выявлять уязвимости в объектах КИИ;
  • обеспечивать реализацию требований по обеспечению безопасности значимых объектов КИИ;
  • обеспечивать реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
  • осуществлять реагирование на компьютерные инциденты;
  • организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  • готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности объектов КИИ;
  • разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности объектов КИИ.

Кроме того, для выполнения указанных функций могут привлекаться организации, имеющие лицензии в области защиты информации.

Несмотря на слабую регламентацию требований к специалистам по обеспечению безопасности ПД, данная профессия требует как хорошего знания законодательства, так и большого объема узкоспециализированных знаний и навыков. Российский рынок труда до сих пор испытывает недостаток таких специалистов.

Как накажут за нарушения в деятельности ответственных лиц?

За несоблюдение GDPR, в том числе норм, регламентирующих деятельность DPO, на Оператора может быть штраф в размере до 20 000 000 Евро или до 4 % от годового оборота (статья 83 GDPR). Его размер варьируется в зависимости от тяжести нарушения, его продолжительности и последствий.

В открытых источниках есть информация о нескольких таких случаях. Так, в одном из дел на немецкое подразделение Facebook был наложен штраф в размере 51 000 евро за отсутствие DPO. Facebook утверждал, что DPO назначен в другой стране ЕС и будет осуществлять свою деятельность в отношении всех европейских подразделений Facebook. Орган-регулятор не принял данный довод, поскольку его ранее об этом не уведомили. При определении размера штрафа учли оперативное устранение нарушения[6].

В другом деле бельгийскую компанию – оператора персональных данных оштрафовали на 50 000 евро за наличие конфликта интересов у DPO и недостаточное вовлечение в разрешение вопросов по обработке и защите персональных данных в компании. Как было установлено, один сотрудник совмещал функции руководителя отдела аудита, рисков и соответствия и офицера по обеспечению безопасности. Такую ситуацию расценили как «самоконтроль»[7].

Возвращаясь к российскому законодательству, отметим, что нормы, устанавливающие административную ответственность за отсутствие ответственного лица, в Кодексе об административных правонарушениях отсутствует. Однако если Роскомнадзор выявит, что Оператор не назначил ответственного, ему выдадут предписание. За неисполнение предписания привлекут к административной ответственности по части 1 статьи 19.5 КоАП РФ. Штраф на должностных лиц – до 2 000 рублей или дисквалификация на срок до 3 лет, на юридических лиц – до 20 000 рублей.

Рассмотрим на примере из судебной практики. Роскомнадзором была проведена проверка соблюдения Избирательной комиссией законодательства о персональных данных. В ходе проверки были выявлены нарушения, в том числе факт отсутствия лица, ответственного за организацию обработки персональных данных. Было выдано предписание об устранении нарушений. Комиссия пыталась оспорить предписание в суде, ссылалась, что такое лицо было определено распоряжением. Суд решил, что из буквального текста распоряжения следует, что секретарь комиссии отвечает лишь за сбор и хранение данных, но не за их обработку. При таких обстоятельствах предписание является законным и обоснованным[8].

Также органы прокуратуры могут принудить назначить ответственное лицо в судебном порядке. В одном из дел прокурор обратился в суд с иском к Администрации района об обязании в течение двух месяцев назначить ответственное должностное лицо и утвердить внутренние нормативные акты, регламентирующие деятельность в данной сфере. Иск был удовлетворен в полном объеме[9].

За нарушения в деятельности ответственного за безопасность ПД, есть риск привлечения к административной ответственности по части 6 статьи 13.12 КоАП РФ «Нарушение требований о защите информации». Штраф на должностных лиц – до 2 000 рублей, на юридических лиц – до 15 000 рублей.

Так, в одном из дел прокуратурой было выявлено, что некоммерческая организация осуществляет передачу информации, содержащей персональные данные граждан РФ, по сети Интернет без использования сертифицированных средств криптографической защиты информации. При проведении проверки также было установлено, что ответственный за обеспечение безопасности ПД не назначен, не исключается возможность неконтролируемого проникновения в помещении, в котором размещена информационная система. Организация была привлечена к административной ответственности по части 6 статьи 13.12 КоАП РФ, назначен штраф в размере 10 000 рублей. Оспорить постановление о привлечении к ответственности в суде не удалось[10].

Подводя итоги, отметим, что в условиях повсеместной информатизации и цифровизации, риски утечки персональных данных растут, а требования к Операторам ужесточаются. Для соблюдения положений законодательства и недопущения неблагоприятных последствий рекомендуем любому оператору ПД назначать лицо, ответственное за организацию работы и обеспечение безопасности, обладающее необходимыми компетенциями. Недавние громкие утечки персональных данных еще раз обращают внимание на необходимость профессиональной защиты информации.

______________________

 

[1] Кто такой Data Protection Officer? / B-152. М. Лагутин.12.09.2023.// «Habr».

[2] Постановление Правительства России от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

[3] Постановление Правительства России от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

[4] Постановление Правительства России от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».

[5] Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования».

[6] Facebook’s Tiny Privacy Fine Is a ‘Warning,’ Watchdog Says. Hamburg privacy watchdog levies symbolic EU 51,000 penalty. EU’s new privacy rules give authorities higher fining powers // Stephanie Bodoni. 13 февраля 2020 г. // Bloomberg.

[7] DPO and conflict of interest: the Belgian DPA issues a 50,000 EUR fine. May 4, 2020 / Jane Murphy // Edpo.

[8] Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012.

[9] Решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-520/2019.

[10] Решение Куйбышевского районного суда города Омска от 21.10.2021 по делу № 12-696/2021.

 

30 сентября 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png