В постановлении можно найти сложную формулировку о том, что специалиста по защите данных (англ. data protection officer) следует назначать в том случае, если основная деятельность предпринимателя связана с обработкой персональных данных, вид, объем и/или цель которых обуславливают обширное, систематическое и регулярное наблюдение за субъектами данных.
На первый взгляд, обязанность может показаться важной только для крупных предприятий. Если в первоначальном варианте постановления было указано, что организации с числом сотрудников менее 250 человек, как правило, не должны назначать такого специалиста, то в окончательной версии постановления такого исключения уже не устанавливается. Данная обязанность применяется и в отношении организации, в которой работает от двух до десяти человек.
Кроме того, эту обязанность интерпретировала и уточнила рабочая группа статьи 29 постановления, членами которой являются организации по защите данных государств – членов Европейского союза. Однако указанное положение статьи 29 нельзя трактовать ограниченно. К примеру, в статье говорится, что специалиста по защите данных может не назначать семейное предприятие в маленьком городе, практически не обрабатывающее персональные данные.
Таким образом, по сути, каждому предпринимателю следует задуматься о том, касается ли обязанность, проистекающая из постановления, и его деятельности, и требуется ли создавать отдельное рабочее место для специалиста по защите данных.
Более подробно о том, следует ли предприятию назначать специалиста по защите данных, можно прочитать здесь. Постановление на эстонском языке можно найти здесь, в нем самыми важными являются статьи 37-39.
Образовательная база
В постановлении нет строгих требований к уровню образования специалиста по защите данных, однако у него должны быть знания эксперта прав и обычаев сферы защиты данных.
На данный момент на специалиста по защите данных можно выучиться только во Франции, в университете Panthéon-Assas в Париже, в котором с начала этого года ввели соответствующую программу. Курсы по защите данных в будущем обещали начать проводить и университеты Эстонии.
Проблема заключается в том, что для предпринимателя часть работы будет связана с поиском квалифицированного человека, так как у многих нет возможности найти такого человека внутри организации, а закупка услуги может быть слишком дорогой.
Кратко об обязанностях
Задачей специалиста по защите данных в самом широком смысле является обеспечение соответствия деятельности предприятия положениям нового постановления.
Специалист по защите данных консультирует предпринимателя по исполнению обязанностей, проистекающих из постановления, следит за тем, чтобы придерживались норм защиты данных, повышает осведомленность персонала и организует его обучение, а также связанный с защитой данных аудит. Дополнительно он осуществляет сотрудничество с государственными учреждениями по надзору в сфере защиты данных и является контактным лицом в области защиты данных.
Заключительная рекомендация и план действий
Вступление в силу постановления принесет предпринимателям большое количество новых обязанностей, подготавливаться к которым нужно уже сейчас.
В части назначения специалиста по защите данных рекомендуем обратить внимание на следующие аспекты:
- следует выяснить, необходимо ли на предприятии назначать специалиста по защите данных;
- если такого специалиста назначать необходимо, то надо сразу заняться поиском подходящего поставщика услуги или человека. Чем раньше, тем лучше, поскольку этот процесс довольно сложен, а своего сотрудника можно уже не успеть правильно обучить;
- продумать задачи специалиста по защите данных на базе конкретного предприятия.