Page 1

Путеводитель

ГЛАВА 1. ЗАПУСК КОРПОРАТИВНОЙ ПРОГРАММЫ ОБЕСПЕЧЕНИЯ КОМПЛАЕНСА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ {1.01} Прежде чем начать разработку и имплементацию программы комплаенса по защите персональных данных в организации, вы столкнетесь с необходимостью выполнения ряда подготовительных действий и принятия ключевых решений, в том числе: • Возложение ответственности за соблюдение законодательства о защите персональных данных на отдельного сотрудника или команду. • Подготовка списка конкретных задач посредством выявления относимых фактов, законов и требований, которые применимы к вашей организации. • Определение приоритетов на основе бизнес-целей организации, рисков привлечения к ответственности и степени простоты соблюдения тех или иных требований применимого законодательства. • Выполнение поставленных задач. • Работа с заинтересованными лицами / командами внутри организации, а также со сторонними консультантами. Распределение ответственности {1.02} В организации должно быть лицо, ответственное за защиту персональных данных. Если вы ведете бизнес самостоятельно в качестве индивидуального предпринимателя, вы сами будете выполнять функции такого лица. В более крупных организациях, как правило, ряд отдельных кандидатов либо отделов могут принять на себя функции по соблюдению законодательства о персональных данных, включая юристов, IT-специалистов, специалистов отдела кадров и службы 26


Глава 1. Запуск корпоративной программы обеспечения комплаенса

внутреннего аудита. Каждая из названных групп работников обычно имеет свои подходы к защите персональных данных, а также сильные и слабые стороны. Ниже представлены некоторые факторы, которые следует учитывать при выборе подходящего для вашей организации кандидата или команды: • {1.03} Как правило, юристы корпоративных юридических отделов выполняют консультативную роль и предоставляют информацию о применимом законодательстве, в том числе о защите персональных данных. В зависимости от культуры и стиля работы компании юридический отдел может самостоятельно инициировать обсуждение будущих ситуаций либо консультировать конкретно по запросу руководства. Юристы обучены интерпретировать и применять нормативные акты, однако не все юристы обладают достаточными техническими знаниями и осуществляют эффективный менеджмент проектов. • {1.04} Специалисты IT-отдела обладают обширными техническими знаниями, однако им может быть сложнее анализировать и применять нормы законодательства. IT-специалисты занимаются развертыванием и обслуживанием программного обеспечения и оборудования, которое используется другими группами — ​отделами кадров, продаж, маркетинга, производства и т. д. IT-отдел также оказывает поддержку таким командам и обеспечивает их технологиями, которые помогают в достижении их бизнес-задач. Обычно IT-отдел инициирует и обеспечивает соблюдение протоколов (внутренних инструкций) защиты данных от несанкционированного доступа (например, путем имплементации мер безопасности данных), однако данный отдел, как правило, не принимает решений о том, кто будет иметь доступ к тем или иным данным, а также по вопросам соблюдения законодательства о персональных данных. • {1.05} В некоторых компаниях создан департамент внутреннего аудита, в задачи которого входит мониторинг и обеспечение соблюдения нормативных актов, а также внутренних 27


Путеводитель

документов организации (процедура комплаенса). Такие департаменты обычно сконцентрированы на проверке того, соблюдается ли законодательство и выполняются ли корпоративные программы комплаенса. При этом такие департаменты обычно не устанавливают правила, проверкой соответствия которым они занимаются, поскольку вероятен конфликт интересов в тех случаях, когда одни и те же лица создают правила, а затем проводят аудит их исполнения. В таких случаях вы просто рискуете потерять фокус своей работы. Кроме того, когда внутренний аудит проводит внутренние расследования, существует большой риск нарушения его специалистами законодательства о защите персональных данных. В частности, они могут предпринять без необходимого уведомления попытку доступа к почтовым ящикам, файлам и компьютеру работника, которого заподозрили в противоправном поведении, а также интервьюировать его коллег и даже вести запись его звонков и других коммуникаций. По этой причине некоторые компании полагают, что не исключены злоупотребления, если поручить разработку корпоративной программы комплаенса в сфере защиты персональных данных департаменту внутреннего аудита. {1.06} Еще одним вариантом может быть выбор кандидата из тех групп внутри компании, которые используют персональные данные в своей работе, например, из отдела кадров или маркетинга. Компании в сфере информационных технологий рассматривают защиту персональных данных не только в контексте необходимости соблюдения законодательства, но также как бизнес-актив и возможность. Например, разработчики и поставщики программного обеспечения, информационных систем хранения данных и облачных технологий все больше и больше уделяют внимание вопросам защиты персональных данных своих пользователей при разработке и продвижении своих продуктов на рынке (подробнее см. в Главе 5 Проектируемая конфиденциальность {«Privacy by Design»}). Насколько отдельные меры по защите персональных данных являются конкурентным преимуществом на рынке, во многом зависит от целевой аудитории: крупные корпоративные клиенты, как правило, сосредоточены на реализации мер 28


Глава 1. Запуск корпоративной программы обеспечения комплаенса

обеспечения соблюдения законодательства о защите персональных данных; в то же время потребители и клиенты из числа небольших компаний могут интересоваться отдельными функциями продукта (например, наличием шифрования для смартфонов и онлайн-хранилищ), при этом выбирая бесплатные услуги либо другие удобства в обмен на пониженные требования к конфиденциальности. {1.07} В большинстве крупных компаний лицо, ответственное за защиту персональных данных, обычно является сотрудником одного из перечисленных выше отделов или профессиональных областей. Крупные компании, деятельность которых представляет больший риск с точки зрения защиты данных либо которые проявляют больший интерес в обеспечении защиты данных своих пользователей, могут принять решение о создании отдельного департамента или службы по защите персональных данных. Для компании меньших размеров может быть достаточно одного сотрудника, занятого на неполный рабочий день. Если в компании есть юридический отдел, его специалисты обычно также вовлечены в работу по защите персональных данных; часто именно юристы являются инициаторами отдельных мер в сфере защиты персональных данных. Однако идеальный кандидат для руководства комплаенс-проектами не обязательно должен быть юристом, особенно если компания рассматривает защиту персональных данных больше как бизнес-актив, чем бремя соблюдения закона. Взаимодействие с заинтересованными лицами внутри организации и внешними консультантами {1.08} Заинтересованные лица внтури компании. Для получения ресурсов и поддержки руководства вы должны ответить на один важный вопрос: зачем вашей компании нужна комплаенс-программа по защите персональных данных? Для некоторых компаний соблюдение законодательства в данной сфере является вопросом управления рисками и предотвращения санкций со стороны государственных органов. Другие компании в большей мере заботятся о своей репутации и рассматривают сильную программу по защите данных пользователей 29


Путеводитель

в качестве своего конкурентного преимущества на рынке. Помимо этого для некоторых компаний требования безопасности и защиты данных являются ключевым юридически значимым условием для продажи товаров и услуг, например для организаций, оказывающих услуги по хранению данных, или компаний в сфере SaaS. Когда вы приступите к имплементации комплаенс-программы по защите персональных данных, будет полезно подготовить внутренний информационный документ {«whitepaper»} в формате вопросов и ответов с целью заручения поддержкой ключевых лиц в компании. Дополнительная информация по данной теме изложена в Главе 5 настоящей книги, в разделе «З». {1.09} Внешние консультанты. Большинство компаний обращаются к внешним юристам за консультациями по вопросам соблюдения законодательства за пределами их домашней юрисдикции, то есть в иностранных государствах, поскольку определение требований зарубежного законодательства, в котором нормативные акты могут использовать специфическую терминологию или быть представлены в другом формате и на другом языке, является сложной задачей, отнимающей много времени. В данной книге вы найдете ряд советов в отношении общих принципов регулирования персональных данных и некоторых законодательных различий в отдельных странах, однако данный путеводитель не предоставляет детальную информацию по содержанию требований в том или ином государстве. {1.10} При найме внешних консультантов многие компании сталкиваются с одной и той же проблемой: каждый эксперт (консультант по безопасности данных, поставщик отдельной технологии, местный юрист и т. д.) знаком с рисками и сложившейся практикой в своей области и относится к ним с особой серьезностью. Однако компании, как правило, имеют ограниченный бюджет и не всегда могут обратиться ко всем требованиям законодательства с одинаковой степенью тщательности и последовательности. В связи с этим компаниям необходимо расставить приоритеты в сфере соблюдения таких требований. Если вы нанимаете скоординированную команду консультантов, они могут помочь в расстановке приоритетов среди 30


Глава 1. Запуск корпоративной программы обеспечения комплаенса

областей и вопросов, экспертами в которых они выступают. Вместе с тем не следует ожидать, что эти консультанты смогут учесть все характерные для вашей компании особенности, которые могут повлиять на ее экономические показатели, например, обеспечить достаточный рост прибыли или непрерывность операционной деятельности. Если же вы нанимаете отдельных экспертов, а не скоординированную команду консультантов, такие специалисты часто концентрируются на собственной области и, следовательно, могут преувеличить либо приуменьшить важность соблюдения того или иного требования по защите персональных данных, что, конечно, усложняет правильную приоритизацию. По этим причинам у сторонних консультантов целесообразно запросить не только обзор законодательства, но также информацию о практике применения его требований местными контролирующими органами и судами, в том числе по частным искам, а также о проблемах и рисках, с которыми сталкиваются другие компании вашей отрасли в данной юрисдикции. Ответы на такие вопросы помогут расставить информацию в правильном порядке и в дальнейшем помочь в приоритизации задач вашей компании. Назначение ответственного должностного лица по защите данных {1.11} Специалисты, на которых возлагается ответственность за разработку и имплементацию корпоративной программы комплаенса в сфере защиты персональных данных, иногда называются в зависимости от юрисдикции должностными лицами, ответственными за защиту персональных данных {«Data Protection Officer»}, либо главным должностным лицом в сфере обеспечения защиты данных {«Chief Privacy Officer»}. При этом обязанности назвнных или аналогичных должностей могут отличаться, и вам необходимо изучить, необходимо ли вашей организации вводить одну из таких должностей либо обе из названных позиций. {1.12} Одной из главных причин, по которой транснациональные компании вводят должность должностного лица по защите данных, 31


Путеводитель

является их коммерческое присутствие в Германии. Большинство таких компаний считают Германию важным рынком. В соответствии с немецким законодательством о защите персональных данных организации обязаны ввести указанную должность и наделить ее контролирующими функциями в дополнение к надзору со стороны государственных органов по защите прав субъектов персональных данных. Германия является первой страной, которая еще в 1970 году законодательно установила требование о назначении в организациях внутреннего должностного лица по защите данных с целью перехода от государственного регулирования указанной сферы к ее саморегулированию через уполномоченных сотрудников компании. Некоторые страны с длительной историей развития законодательства о защите персональных данных, в том числе Франция, в качестве способа регулирования данных отношений избрали систему уведомлений и одобрений со стороны государственных органов. Промежуточный подход был воспринят в других странах, в частности, в Нидерландах, Норвегии, Швеции и Швейцарии. В этих странах компании вправе назначить должностное лицо по защите данных вместо исполнения требований по подаче уведомлений или получения одобрений местных органов государственной власти. Согласно Регламенту ЕС 2018 организации во всех государствах — ​ч ленах ЕЭЗ должны назначить должностное лицо по защите данных, если они вовлечены в особо чувствительные формы обработки персональных данных, включая систематический мониторинг субъектов данных или обработку специальных категорий персональных данных в крупном масштабе и в качестве основного вида деятельности. Группы компаний могут назначить одного сотрудника на роль такого внутреннего должностного лица для нескольких или даже всех входящих в группу компаний при условии нахождения должностного лица в зоне доступа подотчетного подразделения. {1.13} Некоторые компании строят свой подход к назначению дожностного лица по защите данных во всех юрисдикциях по образцу немецкого законодательства. Данный подход, как правило, отвечает требованиям Регламента ЕС 2018 и законодательства других 32


Глава 1. Запуск корпоративной программы обеспечения комплаенса

стран, поскольку немецкие правила являются наиболее строгими и всеобъемлющими. Однако следование такой стратегии не является обязательным. {1.14} Многие компании добровольно назначают должностное лицо по защите данных даже в тех юрисдикциях, в которых это не требуется или предусмотрено законом, либо в которых компаниям не предоставляются преимущества в связи с его назначением. Кроме того, многие крупные американские компании имеют в своем штате как главное должностное лицо в сфере обеспечения защиты данных {«Chief Privacy Officer»}, так и других должностных лиц, занимающихся комплаенсом, внутренних аудиторов, специалистов по безопасности данных, юристов и иных сотрудников, которые специализируются на защите персональных данных. Однако более детальное изучение показывает, что роли и должностные обязанности таких сотрудников могут и часто должны различаться. В качестве примера при принятии решении о назначении уполномоченного должностного лица вы можете обратиться к немецкой модели или к Руководству Рабочей группы Статьи 29 о назначении такого должностного лица в свете Регламента ЕС 2018, и самостоятельно решить, какие аспекты следует принять во внимание и реализовать на практике для той или иной юрисдикции или на глобальном уровне: {1.15} Назначение должностного лица по защите персональных данных по немецкому законодательству. Согласно немецкому законодательству компании обязаны назначить уполнолномоченное лицо в течение одного месяца с начала своей деятельности, оформив такое решение в письменной форме. Некоторые исключения применяются, например, для компаний, которые не обрабатывают специальные категории персональных данных (чувствительные данные) и имеют менее десяти сотрудников. • {1.16} Квалификационные требования. Кандидаты на должность уполномоченого должностного лица должны обладать достаточным опытом и знаниями в области защиты персональных данных, информационных технологий, а также пониманием 33


Путеводитель

особенностей ведения конкретного бизнеса. Кроме того, кандидаты не должны иметь конфликта интересов, что исключает назначение на такую должность владельцев компании, топ-менеджеров и сотрудников, которые вовлечены в процессы сбора и использования персональных данных, например специалистов отдела кадров или маркетинга. Компания должна обеспечить выполнение обязанностей, возложенных на должностное лицо, предоставив ему необходимую информацию и соответствующие обучение или тренинг, а также освободив его от иных должностных обязанностей на время выполнения функций должностного лица. Многие компании назначают на данную должность сотрудников из юридического отдела, IT-отдела или отдела кадров либо привлекают внешних специалистов, не входящих в штат организации (аутсорсинг). • {1.17} Внешний или внутренний кандидат? Обязанности должностного лица по защите данных могут быть возложены как на  сотрудника компании, так и  на  внешнего специалиста, не входящего в штат организации. Оба варианта имеют определенные преимущества и недостатки. Например, согласно немецкому трудовому законодательству должностное лицо по защите персональных данных, которое является сотрудником компании, пользуется дополнительными гарантиями при увольнении. В то же время прекращение договорных отношений с внешним специалистом осуществляется только на условиях заключенного договора оказания услуг и не требует принятия дополнительных мер. Назначение своего сотрудника позволяет компании сохранить конфиденциальность информации. В свою очередь привлечение внешнего кандидата означает раскрытие используемых в компании систем, процессов, мер безопасности, в также самих данных третьим лицам, не входящим в штат компании и, следовательно, не несущих обязательств конфиденциальности в силу статуса работника. Внутренний кандидат имеет лучшее представление о действующих в компании процессах и практиках, их недостатках, а также более открытый доступ к существу обеспокоенности работников и иным 34


Глава 1. Запуск корпоративной программы обеспечения комплаенса

проблемам. Однако внешние специалисты могут иметь лучшее представление о стандартах отрасли и обладать большим опытом и знаниями, чем внутренние сотрудники, которые могут заниматься вопросами защиты персональных данных наряду с другими должностными задачами помимо позиции уполномоченного должностного лица. Специализация позволяет сторонним специалистам сосредоточиться на новеллах в законодательстве о защите персональных данных, а также новинках в области информационных технологий. Выбирая кандидата, компаниям также следует учитывать затраты и время реагирования на запросы компании. Например, услуги внешних специалистов могут оплачиваться на почасовой основе (что может способствовать более оперативному реагированию консультантов на запросы компании, однако может затруднить контроль над расходами компании) или путем уплаты ежемесячного или годового фиксированного платежа (что может увеличить время ответа на запрос и, соответственно, вызвать задержки в реализации проектов). Что касается внутренних кандидатов, компания должна учитывать нагрузку таких сотрудников в соотношении с иными функциями, которые они могут выполнять в компании. • {1.18} Транснациональная компания может назначить в качестве должностного лица по защите данных для немецкой дочерней компании сотрудника одной из ее аффилированных компаний за пределами Германии или иной дочерней организации в Германии, если такая компания владеет несколькими дочерними организациями в Германии. В таком случае данный сотрудник будет квалифицироваться как «внешнее» должностное лицо, что позволит избежать применения жестких норм немецкого трудового законодательства. Некоторые немецкие органы власти по защите персональных данных 4 относятся скептически 4

По всей видимости, профессор Детерманн имеет в виду не только федеральные (союзные) органы власти, но органы власти земель, которые в Федеративной Республике Германия имеют определенную компетенцию в данной области (Прим. пер. — ​А .Г.). 35


Путеводитель

к назначению лиц, которые проживают за пределами Германии, и могут утверждать, что такие лица не способны полноценно выполнять свои обязанности. Вместе с тем немецкое законодательство не содержит прямого указания на назначение должностного лица по защите персональных данных только на территории Германии. По этой причине компании со штабквартирой или дата-центрами за пределами Германии имеют веские причины для назначения таким лицом кого-либо за пределами Германии, если данное лицо находится ближе к региональным или глобальным центрам компании. Компании могут предпочесть назначить одного сотрудника в качестве должностного лица для всех юрисдикций, в которых такое назначение требуется, что позволит работать над глобальными проектами быстрее, эффективнее и без риска противоположных позиций и запросов. В странах, где о назначении должностного лица необходимо уведомить местные органы по защите прав субъектов персональных данных, компании должны быть готовы ответить на ряд вопросов со стороны местных органов о целесообразности назначения лица, которое не проживает в данной стране, а также к определенному сопротивлению со стороны таких органов. Однако в большинстве случаев компании могут преодолеть такое, ссылаясь на свои организационные особенности. В Регламенте ЕС 2018 группам компаний разрешено назначать одно должностное лицо для всех компаний при условии, что такой сотрудник будет легко доступен для каждой компании группы и подразделения. • {1.19} Процедура назначения. По немецкому законодательству компании должны оформить решение о  назначении должностного лица по защите данных в письменной форме. Согласно Регламенту ЕС 2018 компаниям необходимо опубликовать и предоставить в местный орган по защите данных контактную информацию такого должностного лица, например номер телефона и адрес электронной почты. При опубликовании компании обычно предпочитают использовать условные (обезличенные) контактные данные, например, dataprotectionofficer@company. 36


Глава 1. Запуск корпоративной программы обеспечения комплаенса

com, чтобы не обновлять уведомления о конфиденциальности при каждой замене конкретного сотрудника на позиции уполномоченного должностного лица. Компании могут определить предельный срок нахождения такого сотрудника на своей позиции, но он не должен быть слишком коротким, так как это может повлиять на независимость сотрудника в принятии им решений (срок от двух до пяти лет рассматривается как разумный). При наличии профсоюза в немецкой компании такой профсоюз имеет право участвовать в принятии решений в отношении трудового контракта сотрудника, назначенного в качестве должностного лица по защите данных. • {1.20} Обязанности. Должностное лицо по защите данных отвечает за то, чтобы деятельность компании по обработке персональных данных соответствовала применимому праву и была должным образом задокументирована. Компании должны консультироваться с должностным лицом по вопросам своей деятельности по обработке данных и любых предполагающихся изменениях. Должностное лицо, в свою очередь, должно давать рекомендации и обращать внимание на несоответствия, но оно не обязано официально утверждать принимаемые меры. Если компания не реагирует на официальные указания должностного лица, оно имеет право — ​и в некоторых случаях обязано — ​у ведомить о нарушении местные органы по защите прав субъектов персональных данных. Офицер действует независимо и не подчиняется приказам либо распоряжениям органов управления компании. К его ежедневным обязанностям относятся: помощь в документировании процессов обработки данных; оценка и дальнейшее развитие систем защиты данных; предложение, выбор и имплементация мер технической безопасности; составление форм и договоров в области защиты данных; отбор сотрудников, поставщиков услуг и других компаний, вовлеченных в процессы обработки персональных данных; мониторинг принимаемых мер по сохранению конфиденциальности и защите данных; рассмотрение жалоб о нарушениях законодательства и внутренних политик; обучение 37


Путеводитель

персонала; подготовка и направление уведомлений в местные органы по защите прав субъектов персональных данных. • {1.21} Персональная ответственность. Если вы рассматриваете сотрудника вашей компании в качестве кандидата на должность должностного лица по защите персональных данных, будьте готовы ответить на вопрос о его персональной ответственности. Краткий ответ состоит в том, что любые сотрудники могут быть привлечены к ответственности за нарушение законодательства и прав третьих лиц. Большинство кандидатов, тем не менее, подвержены риску привлечения к ответственности за нарушение своих обязанностей в такой же или даже еще большей мере, чем в отношении их действий в качестве должностного лица по защите данных. Немецкое законодательство о защите персональных данных прямо не предусматривает персональную ответственность должностного лица. В соответствии с общими приципами права любой представитель компании может нести ответственность за действия или бездействие компании, если такие действия или бездействия были совершены данным сотрудником. В связи с этим должностное лицо по защите данных может быть привлечено к ответственности за непосредственное участие в незаконной деятельности по обработке данных (например, в записывании телефонных звонков без согласия субъектов данных). Теоретически должностное лицо по защите данных может также нести ответственность за непринятие мер по прекращению незаконных действий, которые совершались без его участия. Однако на практике сотрудники привлекаются к ответственности за бездействие довольно редко. {1.22} Обязательное назначение должностного лица по защите данных {«mandatory appointment»}, а также назначение, которое не является обязательным по закону, но дает компании преимущества, в других юрисдикциях {«beneficial appointment»}. Если вы назначите должностное лицо по защите данных в соответствии с положениями немецкого законодательства, которое будет выполнять такую роль и в других странах, то вы, скорее всего, сможете удовлетворить 38

Путеводитель в правовом регулировании персональных данных Лотара Детерманна  

Данная книга посвящена персональным данным, а также тому, как работать с персональными данными одновременно эффективно и в соответствии с за...

Путеводитель в правовом регулировании персональных данных Лотара Детерманна  

Данная книга посвящена персональным данным, а также тому, как работать с персональными данными одновременно эффективно и в соответствии с за...

Advertisement