Кто такой инспектор по охране данных в Польше: специализация, зарплата, независимость

Среди многочисленных вопросов законодательства РП о защите персональных данных особый интерес представляет правильная организация структуры компании с точки зрения обязательств Общего регламента ЕС по защите данных (RODO). Это связано с решениями Польского управления по защите данных (PUODO) и других надзорных органов, которые поставили под сомнение назначение и деятельность должности инспектора по защите данных. По мнению органов власти, принятые решения не гарантируют независимость инспектора, что может привести к нарушению положений RODO.

Что за специальность – инспектор по защите данных? Кто может выполнять эту работу? Как обеспечивается независимость выполнения обязанностей? Ответы на эти и другие вопросы читайте в данном материале «Польского консультанта».

Скрыть содержание

• Кто такой инспектор по охране данных?
• Внутренний и внешний инспектор – сходства и различия
• Когда существует обязанность назначить IOD?
• Чем занимается инспектор по защите данных?
Роль инспектора     Основные обязанности инспектора по защите данных    
• Избежание конфликта интересов
• Независимость должностного лица по защите данных и ее сущность
• Кто может работать IOD?
• Сколько зарабатывает инспектор по охране персональных данных?

Кто такой инспектор по охране данных?

То есть сразу необходимо разделить функции этих двух профессий:

• Administrator danych osobowych – это представитель контролирующих, чаще государственных, структур, призванных проверять соблюдение законодательства об охране персональных данных.
• Inspektor Ochrony Danych – это представитель предприятия, который следить за соблюдением норм внутри компании и помогает контролеры осуществлять его функции при проведении контрольных мероприятий.

Данный материал посвящен именно второй из указанных специальностей – инспектору по охране данных.

Внутренний и внешний инспектор – сходства и различия

Назначению IOD в организации предшествует решение о выборе одной из доступных моделей сотрудничества. Общей чертой как внутренних, так и внешних моделей инспекторов является необходимость создания должности или организационного подразделения в структуре предприятия.

Хотя RODO устанавливает понятия инспектора, как одного человека, ничто не мешает такому специалисту иметь свою команду. Такое решение подойдет для крупных компаний с широким спектром деятельности, что подразумевает и высокую нагрузку на IOD. Также стоит помнить, что IOD должен быть обеспечен соответствующими ресурсами (включая организационные, технические, технологические, финансовые и, при необходимости, кадровые) для надлежащего выполнения своих обязанностей.

Различие между внутренней и внешней моделями IOD заключается во взаимоотношениях между инспекторами и организацией:

• Во внутренней модели Inspektor Ochrony Danych чаще всего — это один из сотрудников, нанятых на предприятие в качестве IOD. На практике такой человек часто также работает на другой должности или фактически выполняет другие, дополнительные задачи.
• Использование модели внешнего IOD предполагает установление партнерства с внешним консультантом, например, юридической фирмой. Однако роль инспектора исполняет не сама юридическая или консалтинговая фирма, а конкретный сотрудник этой компании.

Преимущество внешней модели заключается в том, что весь процесс поручается квалифицированному специалисту, оказывающему поддержку различным клиентам. В этом случае целесообразно воспользоваться услугами, например, авторитетных юридических фирм. Передача функций инспектора на аутсорсинг надежному провайдеру снизит нагрузку на организацию, поскольку внешний IOD самостоятельно организует необходимые ресурсы для поддержки компании.

Когда существует обязанность назначить IOD?

Обязанность назначать инспектора по защите данных возникает в следующих случаях:

• Когда обработка осуществляется государственным органом или учреждением, за исключением судов при осуществлении ими судебных полномочий.
• Основная деятельность контролера или обработчика данных состоит из операций по обработке, которые в силу своего характера, объема или целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах.
• Если основная деятельность контролера или обработчика данных заключается в обработке в больших масштабах специальных категорий персональных данных, указанных в RODO, а также персональных данных, относящихся к судимостям и правонарушениям.

В других случаях назначение DPO не является обязательным. Однако даже если закон не требует назначения инспектора, предприятие может назначить человека на данную должность.

Чем занимается инспектор по защите данных?

Общая обязанность IOD, независимо от того, работает ли он внутри организации или вне ее, заключается в самостоятельном выполнении поставленных задач. Анализируя судебную практику и рекомендации надзорных органов, можно сформулировать следующий перечень передовой практики в их деятельности.

Роль инспектора

IOD — это лицо, осуществляющее внутренний контроль над тем, что происходит с персональными данными в компании. Он не заменяет компанию (т.е. контролера или обработчика) в выполнении их обязанностей, таких как:

• принятие мер после обнаружения утечки персональных данных;
• ведение реестра видов деятельности по обработке или категорий видов деятельности;
• разработка документации по защите персональных данных, например, политики защиты персональных данных или процедур по борьбе с утечками персональных данных.

Само предприятие несет ответственность за выполнение вышеуказанных задач, а инспектор может только оказывать ему поддержку в выполнении этих действий, среди прочего, путем ознакомления с документацией, касающейся нарушения или надлежащей квалификации нарушения, определения информации, необходимой для заполнения реестров, или предоставления рекомендаций по составлению отдельных документов, связанных с защитой данных.

Основные обязанности инспектора по защите данных

В круг задач, решаемых IOD, входят, среди прочего:

• информирование и консультирование обработчика данных (предприятие), а также сотрудников, которые обрабатывают персональные данные, об их обязательствах в соответствии с RODO;
• контроль за соблюдением RODO и соответствующих политик компании, включая разделение обязанностей, мероприятия по повышению осведомленности, обучение персонала, участвующего в операциях по обработке данных, и соответствующие аудиты;
• мониторинг оценки воздействия на защиту данных и представление своих рекомендаций;
• сотрудничество с надзорным органом (в Польше это Председатель Управления по защите персональных данных), в том числе выполнение функций контактного лица для этого органа;
• участие во всех вопросах, связанных с защитой персональных данных на предприятии;
• реагирование на запросы и просьбы субъектов данных, связанные с обработкой персональных данных.

Это лишь основные обязанности IOD. Ничто не мешает инспектору выполнять дополнительные функции в рамках своей повседневной деятельности. Однако важно помнить, что эти обязанности не должны приводить к конфликту интересов. Более того, дополнительные обязанности не должны негативно влиять на способность инспектора эффективно выполнять свои функции, включая ответы на вопросы надзорного органа.

Избежание конфликта интересов

Поскольку каждый инспектор по защите данных должен выполнять свои обязанности независимо, RODO ограничивает возможность возложения на него дополнительных обязанностей, которые могли бы привести к конфликту интересов. Конфликт интересов следует рассматривать через призму обязанностей IOD, и его наиболее распространенной причиной является участие инспектора в определении целей и средств обработки персональных данных.

По этой причине, например, председатель правления компании, директор школы, председатель производственного совета, директор компании или коммерческий представитель не могут быть назначены инспекторами. Однако возложение обязанностей IOD на штатного юриста само по себе не создает конфликта интересов при условии, что эти роли формально и фактически разделены.

Независимость должностного лица по защите данных и ее сущность

Каждый IOD, назначенный предприятием, должен быть независимым. Как разъяснил Суд Европейского Союза, независимость призвана обеспечить выполнение инспектором своих обязанностей в соответствии с целью RODO, а именно обеспечение высокого уровня защиты персональных данных. Помимо предотвращения конфликтов интересов, для обеспечения независимости IOD также предусмотрены следующие меры:

• Лицо, ответственное за защиту данных (IOD), должно подчиняться непосредственно высшему руководству контролера или обработчика данных. Должность инспектора имеет значение, особенно если он также выполняет другие обязанности, например, в другом отделе. В рамках этой гарантии контролер или обработчик данных также должен обеспечить канал связи между IOD и высшим руководством.
• Сотруднику службы защиты персональных данных не следует давать указания относительно выполнения поставленных задач, например, указания о взаимодействии с надзорным органом по конкретному вопросу. Также недопустимо навязывать ему конкретные результаты анализа нормативных актов по защите персональных данных.

Работодатель не может уволить IOD или наложить на него штраф за выполнение им своих задач.

В свете вышеизложенного рекомендуемым решением является привлечение внешних консультантов на этапах назначения и сотрудничества для поддержки независимости сотрудника по защите данных.

Кто может работать IOD?

Инспектором по защите данных может быть любой человек, обладающим экспертными знаниями в области законодательства и практики защиты персональных данных. Любое дополнительное образование, например, юридическое, будет полезно, но не является обязательным.

Сколько зарабатывает инспектор по охране персональных данных?

Согласно данным портала Wynagrodzenia, медианный доход инспектора по защите персональных данных составляет 8 810 злотых брутто в месяц.

При этом:

• 25% опрошенных зарабатывают более 6 810 злотых брутто в месяц.
• 25% получают более 11 780 злотых брутто в месяц.

Подытожим. Инспектор по защите персональных данных может быть обязательным требование законодательства, но даже если таких обязательств нет, предприятие вправе назначить IOD. Инспектор может работать по совместительству, но только в случае отсутствия конфликта интересов. IOD может быть привлеченным через аутсорсинг специалистом.