Основная роль сотрудника по защите данных (DPO) заключается в обеспечении того, чтобы организация обрабатывала персональные данные своих сотрудников, клиентов, поставщиков или любых других лиц (также называемых субъектами данных) в соответствии с применимыми правилами защиты данных. Требование в отношении назначении DPO присутствует в General Data Protection Regulation (EU).

DPO обеспечивает, чтобы контролеры и субъекты данных были проинформированы о своих правах и обязанностях в отношении персональных данных. Он также несет ответственность:

• за ведение реестра операций по обработке персональных данных;
• за проведение DPIA (Data Protection Impact Assessment);
• предоставление рекомендаций о соблюдении и толковании законодательства по защите персональных данных;
• предоставление ответов на запросы и рассмотрение жалоб от субъектов данных и регулирующих органов в отношении обработки персональных данных.

Вам необходимо назначить DPO, независимо контролер вы или обработчик данных, если ваша основная деятельность связана с крупномасштабной обработкой персональных данных или крупномасштабным, регулярным и систематическим мониторингом отдельных лиц. В этом отношении мониторинг поведения отдельных лиц включает в себя все формы отслеживания и профилирования в интернете, в том числе в целях поведенческой рекламы.

Государственные администрации всегда обязаны назначать DPO.

DPO может быть штатным сотрудником компании или может быть нанят извне на основе контракта. DPO может быть физическим лицом или организацией. Несколько практических примеров, когда нужно назначать DPO.

Наличие DPO обязательно, если вы:

• Больница, обрабатывающая большие наборы уязвимых данных;
• Охранное предприятие, отвечающее за наблюдение за торговыми центрами и общественными местами;
• Небольшая компания по поиску кадров, которая занимается профайлингом.

DPO не является обязательным, если:

• Вы местный врач и обрабатываете личные данные своих пациентов;
• У вас небольшая юридическая фирма и вы обрабатываете личные данные своих клиентов.

Data Protection Officer должен быть независимым, а также экспертом в области защиты данных, иметь адекватные ресурсы и отчитываться только перед высшим руководством. DPO может быть как внутренним сотрудников так и нанятым на аутсорсе.

Регулятор не требует у DPO наличия каких-то конкретных квалификаций, но ожидается, что DPO будет иметь достаточный уровень знаний в сфере защиты персональной информации. Таким подтверждением может быть наличие сертификата CIPP/E.

Один DPO может представлять сразу несколько организаций.