Основна роль співробітника із захисту даних (DPO) полягає в забезпеченні того, щоб організація обробляла персональні дані своїх співробітників, клієнтів, постачальників або будь-яких інших осіб (також званих суб’єктами даних) відповідно до правил захисту даних. Вимога щодо призначення DPO присутня в General Data Protection Regulation (EU).

DPO забезпечує, щоб контролери та суб’єкти даних були проінформовані про свої права та обов’язки щодо персональних даних. Він також несе відповідальність:

• за ведення реєстру операцій з обробки персональних даних;
• за проведення DPIA (Data Protection Impact Assessment);
• надання рекомендацій щодо дотримання та тлумачення законодавства щодо захисту персональних даних;
• надання відповідей на запити та розгляд скарг від суб’єктів даних і регулюючих органів щодо обробки персональних даних.

Вам необхідно призначити DPO, незалежно контролер ви чи обробник даних, якщо Ваша основна діяльність пов’язана з великомасштабною обробкою персональних даних або великомасштабним, регулярним і систематичним моніторингом окремих осіб. У цьому відношенні моніторинг поведінки окремих осіб включає в себе всі форми відстеження та профілювання в Інтернеті, в тому числі з метою поведінкової реклами.

Державні адміністрації завжди зобов’язані призначати DPO.

DPO може бути штатним співробітником компанії або може бути найнятий ззовні на основі контракту. DPO може бути фізичною особою або організацією. Кілька практичних прикладів, коли потрібно призначати DPO.

Наявність DPO обов’язкова, якщо ви:

Лікарня, що обробляє великі набори вразливих даних;

• Охоронне підприємство, що відповідає за спостереження за торговельними центрами та громадськими місцями;
• Невелика компанія з пошуку кадрів, яка займається профайлінгом.

DPO не є обов’язковим, якщо:

• Ви місцевий лікар і обробляєте особисті дані своїх пацієнтів;
• У вас невелика юридична фірма і ви обробляєте особисті дані своїх клієнтів.

Data Protection Officer повинен бути незалежним, а також експертом у сфері захисту даних, мати адекватні ресурси і звітувати тільки перед вищим керівництвом. DPO може бути як внутрішнім співробітником, так і найнятим на аутсорсингу.

Регулятор не вимагає у DPO наявності якихось конкретних кваліфікацій, але очікується, що DPO матиме достатній рівень знань у сфері захисту персональної інформації. Таким підтвердженням може бути наявність сертифіката CIPP/E.

Один DPO може представляти одразу кілька організацій.