Руководство по инспекторам по защите персональных данных ( «DPOs»)
РАБОЧАЯ ГРУППА ПО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Введение
Общий регламент защиты персональных данных ( «GDPR») [1], который вступит в силу 25 мая 2018 года, устанавливает современную, основанную на началах ответственности систему требований в области защиты персональных данных в Европе. Инспекторы по защите персональных данных (“DPO”) будут в центре нового правового поля для многих организаций, поскольку будут помогать им соблюдать положения GDPR.
[1] Регламент (ЕС) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном движении таких данных, и об отмене Директивы 95/46/EC (Общий регламент защиты персональных данных), (OJ L 119, 4.5.2016). GDPR распространяется на территорию ЕЭЗ и будет применяться после его включения в Соглашение о ЕЭЗ.
Согласно GDPR, некоторые контролеры и процессоры обязаны назначить DPO [2]. Это будет обязательно для всех государственных органов (независимо от того, какие данные они обрабатывают), а также для других организаций, которые в рамках основной деятельности осуществляют систематический мониторинг лиц в крупных масштабах либо обрабатывают специальные категории персональных данных в крупных масштабах.
[2] Назначение DPO также является обязательным для компетентных органов в соответствии со статьей 32 Директивы (ЕС) 2016/680 Европейского Парламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных компетентными органами для целей предупреждения, расследования, выявления или преследования преступлений или исполнения уголовных наказаний, и о свободном движении таких данных, и об отмене Рамочного решения Совета 2008/977/JHA (OJ L 119, 4.5. 2016, стр. 89-131), а также в соответствии с национальным имплементационным законодательством. Хотя настоящее Руководство описывает связанные с DPO вопросы согласно GDPR, оно также имеет отношение к DPO, назначенным в соответствии с Директивой 2016/680, в отношении аналогичных положений.
Даже когда GDPR конкретно не требует назначать DPO, для организаций может иногда оказаться полезным назначить DPO на добровольной основе. Рабочая группа статьи 29 по защите физических лиц при обработке персональных данных (“WP29”) поощряет эти добровольные усилия.
Понятие DPO не является новым. Хотя Директива 95/46/EC [3] не требовала от какой-либо организации назначать DPO, практика его назначения, тем не менее, по прошествии многих лет сформировалась в ряде государств-членов.
[3] Директива 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном движении таких данных (OJ L 281, 23.11.1995, стр . 31).
Перед принятием GDPR WP29 обсуждала тот факт, что DPO является краеугольным камнем в части ответственности в области защиты персональных данных и что назначение DPO может обеспечить соблюдение требований законодательства о защите персональных данных и, более того, стать конкурентным преимуществом для бизнесов [4]. Помимо содействия соблюдению обязательных требований посредством внедрения инструментов подотчетности (например, проведение оценки воздействия на защиту данных или аудита), DPO выступают в качестве посредников между соответствующими заинтересованными сторонами (например, надзорными органами, субъектами данных и бизнес-подразделениями внутри организации).
[4] См. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf
DPO не несут персональную ответственность за несоблюдение бизнесом требований GDPR. Регламент четко закрепил, что такую ответственность несут контролер или процессор, которые должны обеспечить соответствие осуществляемых обработок персональных данных требованиям GDPR, а также доказывать это соответствие (статья 24(1)). Ответственность за соблюдение требований в области защиты персональных данных лежит на контролере или процессоре.
Контролер или процессор также играют существенную роль в обеспечении эффективности выполнения DPO своих задач. Назначение DPO – это первый шаг, однако такому сотруднику также необходимо предоставить существенные автономию и ресурсы для эффективного выполнения возложенных на него задач.
GDPR признает DPO в качестве ключевого субъекта в новой системе управления данными и предусматривает условия для его назначения, его положение и задачи. Цель настоящего Руководства – разъяснить соответствующие положения GDPR с целью помочь контролерам и процессорам в соблюдении его требований и содействии DPO в исполнении своей роли. Руководство также содержит рекомендательные лучшие примеры из практики, разработанные в некоторых государствах-членах ЕС. WP29 будет наблюдать за внедрением положений настоящего Руководства и может дополнять их в будущем в случае необходимости.
2. Назначение DPO
[5] Обратите внимание, что, согласно статье 37(4), законодательство Союза или государств-членов может требовать назначения DPO также и в других случаях.
[6] Исключением являются судебные органы при осуществлении правосудия. См. статью 32 Директивы (ЕС) 2016/680.
b) когда основная деятельность контролера или процессора включает в себя операции по обработке, которые требуют регулярного и систематического мониторинга субъектов данных в крупных масштабах; или
c) когда основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных [7] или [8] персональных данных, касающихся судимостей и правонарушений [9].
[7] В соответствии со статьей 9, к таким случаям относится обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.
[8] Статья 37(1)(с) использует союз ,em>«и». См. Раздел 2.1.5 ниже с разъяснением о применении союза «или» вместо «и».
В нижеследующих подразделах WP29 приводит разъяснение критериев и терминологии, используемых в статье 37(1).
За исключением случаев, когда отсутствие необходимости в назначении DPO является очевидным, WP29 рекомендует контролерам и процессорам документировать внутренний анализ, который проводится с целью определить необходимость назначения DPO, чтобы иметь возможность продемонстрировать надлежащий учет соответствующих факторов [10]. Этот анализ является частью процесса документирования в соответствии с принципом подотчетности. Результаты анализа могут быть истребованы надзорным органом и должны обновляться по мере необходимости, например, если контролеры или процессоры начали оказывать новые услуги, которые могут подпадать под случаи, перечисленные в статье 37(1).
Если организация назначает DPO на добровольной основе, то требования, предусмотренные статьями 37-39, будут применяться к его назначению, положению в организации и задачам так, как если бы его назначение было обязательным.
Ничто не мешает организации, которой необязательно назначать DPO и которая не желает назначать его добровольно, нанимать сотрудников или внешних консультантов для поручения задач, связанных с защитой персональных данных. В таком случае важно обеспечить отсутствие путаницы в их должностях, статусе, роли и задачах. То есть должно быть четко обозначено, что при взаимодействии с сотрудниками компании, надзорными органами, субъектами данных и общественностью в целом данный сотрудник или консультант не является DPO [11].
[11] Указанное верно и для ведущих инспекторов по вопросам приватности (“CPOs”) и других профессионалов в области приватности, которые в настоящий момент работают в некоторых компаниях и не соответствуют требованиям GDPR. Например, у них могут отсутствовать необходимое количество ресурсов и гарантии независимости при выполнении своих задач. В таких ситуациях их нельзя считать DPO.
DPO, независимо от того, назначен ли он в обязательном или добровольном порядке, имеет дело со всеми операциями по обработке, осуществляемыми контролером или процессором.
GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.
[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).
Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.
В таких случаях персональные данные субъектов данных могут обрабатываться государственными органами для целей этих секторов. При этом субъекты данных часто не имеют возможности выбирать, будут ли обрабатываться их персональные данные, и если да, то какие. В связи с этим им может потребоваться дополнительная защита, которую может обеспечить назначение DPO.
Даже в случаях, когда назначение DPO не является обязательным, WP29 рекомендует в качестве хорошей практики назначать его частным организациям, осуществляющим публичные функции. Деятельность DPO охватывает все осуществляемые операции по обработке персональных данных, в том числе и те, которые не относятся к выполнению публичных задач или общественного долга (например, управление базой данных сотрудников).
Пункты (b) и (с) статьи 37 (1) GDPR упоминают «основную деятельность контролера или процессора». Преамбула 97 к данной статье уточняет, что основная деятельность контролера относится к его «основному виду деятельности и не относится к обработке персональных данных как вспомогательному виду деятельности». «Основную деятельность» можно представить как совокупность ключевых операций, необходимых для достижения целей контролера или процессора.
Однако «основную деятельность» не следует толковать как деятельность, исключающую неразрывную связь обработки персональных данных с деятельностью контролера или процессора. Например, основной деятельностью больницы является охрана здоровья. Однако в больнице не смогли бы безопасно и эффективно лечить пациентов без обработки данных о здоровье (например, истории болезни пациента). Следовательно, обработку таких данных следует включать в основную деятельность больниц, ввиду чего им необходимо назначать DPO.
Приведем другой пример. Частное охранное предприятие осуществляет наблюдение на территории ряда частных магазинов и общественных мест. Такое наблюдение является основной деятельностью предприятия и при этом неразрывно связано с обработкой персональных данных. Следовательно, такому предприятию также необходимо назначить DPO.
С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.
Пункты (b) и (с) статьи 37 (1) GDPR предписывают, что DPO необходимо назначать в случае, когда обработка персональных данных осуществляется в крупных масштабах. GDPR не разъясняет, когда обработка персональных данных признается крупномасштабной, хотя некоторое руководство на этот счет содержится в Преамбуле 91 [14].
[14] Согласно Преамбуле, такая обработка, в частности, имеет место в случае, когда есть «крупномасштабные операции, нацеленные на обработку значительного объема персональных данных на региональном, национальном или супранациональном уровне, которые могут оказать влияние на большое количество субъектов данных и способны привести к возникновению больших рисков». С другой стороны, Преамбула подчеркивает, что «обработку персональных данных не следует признавать крупномасштабной, если она касается персональных данных пациентов и клиентов, обрабатываемых индивидуальным врачом, иным профессионалом в области медицины или юристом». Важно отметить, что, хотя Преамбула и приводит примеры границ масштабов обработки (от обработки, осуществляемой индивидуальным врачом, до обработки данных со всей страны или по всей Европе), существует большая серая зона между этими границами. Более того, следует помнить, что данная преамбула касается оценки воздействия на защиту персональных данных. Это означает, что некоторые элементы могут зависеть от контекста и необязательно применимы тем же образом к назначению DPO.
Действительно, установить точный и применимый к любой ситуации показатель в отношении количества обрабатываемых данных или количества субъектов данных не представляется возможным. Однако это не исключает возможности того, что со временем будет выработана стандартная практика определения качественных и (или) количественных показателей “крупного масштаба” в отношении некоторых типичных обработок. WP29 также планирует внести вклад в развитие такой практики посредством опубликования примеров возможных минимальных порогов, влекущих необходимость назначить DPO.
WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:
• количество субъектов данных – точное количество либо доля численности населения соответствующего региона
• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)
• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг
• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.
• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.
Понятие регулярного и систематического мониторинга субъектов данных не дано в GDPR, однако понятие «мониторинг поведения субъектов данных» упоминается в Преамбуле 24 [15] и четко включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы.
[15] “Для того чтобы определить, является ли деятельность по обработке мониторингом поведения субъектов данных, необходимо проверить, отслеживаются ли физические лица в Интернете, в том числе посредством потенциального последующего использования методов обработки персональных данных, нацеленных на профилирование физического лица, в частности, для принятия решений, касающихся этого лица, или для предсказания его личных предпочтений и поведения”.
Однако понятие мониторинга не ограничивается онлайн-средой, и онлайн-трекинг следует рассматривать только в качестве примера мониторинга поведения субъектов данных [16].
[16] Следует отметить, что Преамбула 24 посвящена экстерриториальному применению GDPR. Кроме того, существует разница между формулировками «мониторинг поведения» (статья 3(2)(b)) и «регулярный и систематический мониторинг субъектов данных» (статья 37(1)(b)), которые, следовательно, могут рассматриваться как разные понятия.
Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.
Статья 37(1)(с) регулирует обработку специальных категорий данных в соответствии со статьей 9, а также персональных данных, касающихся судимостей и правонарушений, в соответствии со статьей 10. Хотя положения этой статьи используют союз «и», но при этом отсутствуют основания для их применения лишь при наличии обоих критериев. Таким образом, текст следует читать так, будто он использует союз «или».
Статья 37 применяется как к контролерам [17], так и к процессорам [18] при назначении DPO. В зависимости от того, кто отвечает критериям обязательного назначения DPO, последнее может быть обязательным только для контролера или только для процессора, а может быть обязательным и для контролера, и для процессора (в таком случае их DPO должны сотрудничать друг с другом).
[17] Контролер определяется статьей 4(7) как физическое лицо или организация, которые определяют цели и средства обработки.
[18] Процессор определяется статьей 4(8) как физическое лицо или организация, которые обрабатывают данные от имени контролера и по его поручению.
Важно подчеркнуть, что даже если контролер подпадает под критерии обязательного назначения DPO, его процессору не обязательно тоже назначать его. Однако это можно считать хорошей практикой.
• Небольшой семейный бизнес, занимающийся распродажей бытовой техники в одном городе, пользуется услугами процессора, чья основная деятельность заключается в предоставлении веб-аналитики и помощи с таргетированной рекламой и маркетингом. Деятельность семейного бизнеса и его клиенты не приводят к возникновению крупных масштабов обработки данных, учитывая небольшое количество клиентов и относительную ограниченность такой деятельности. Однако деятельность процессора, имеющего много таких же клиентов, как это малое предприятие, вместе взятых, приводит к возникновению крупномасштабной обработки. Поэтому процессор должен назначить DPO в соответствии со статьей 37(1)(b). В то же время, сам семейный бизнес не обязан назначать DPO.
• Фирма среднего размера по производству плитки заказывает услуги по охране труда у внешнего процессора, который имеет большое количество подобных клиентов. Процессор назначает DPO в соответствии со статьей 37(1)(с) при условии, что обработка производится в крупных масштабах. Тем не менее, производитель может быть не обязан назначить DPO.
DPO, назначенный процессором, также осуществляет надзор за деятельностью, осуществляемой организацией-процессором в качестве самостоятельного контролера (например, HR, IT, логистика).
Статья 37(2) позволяет группе предприятий назначить единого DPO при условии, что он “легко доступен из каждой организационной единицы”. Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных [19], надзорного органа [20], а также внутри самой организации, поскольку в задачи DPO входит “информировать и консультировать контролера, процессора и осуществляющих обработку сотрудников по вопросам об их обязанностях в соответствии с настоящим Регламентом” [21].
[19] Статья 38(4): “субъекты данных могут обратиться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно настоящему Регламенту”.
[20] Статья 39(1)(е): “выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой персональных данных, в том числе в рамках предварительной консультации, упомянутой в статье 36, и при необходимости консультироваться по любому другому вопросу”.
Для того чтобы гарантировать, что DPO, будь то внутренний или внешний, является доступным, важно убедиться, что имеются их контактные данные в соответствии с требованиями GDPR [22].
Он или она (если необходимо – с помощью команды) должны быть в состоянии эффективно взаимодействовать с субъектами данных [23] и сотрудничать [24] с надзорными органами. Это также означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одном уровне с остальными сотрудниками, по горячей линии или посредством иного безопасного средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.
[23] Статья 12(1): “Контролер принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, – особенно когда информация адресована ребенку”.
В соответствии со статьей 37(3), единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости – с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.
Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор.
Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в рамках Европейского Союза [25], DPO может быть в состоянии действовать более эффективно, если он находится за пределами ЕС.
Статья 37(5) предусматривает, что DPO «должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в области защиты персональных данных, а также способности выполнять задачи, указанные в статье 39». Преамбула 97 предусматривает, что необходимый уровень экспертных знаний должен определяться в соответствии с выполняемыми операциями по обработке персональных данных и защитой, которая требуется для обрабатываемых контролером или процессором персональных данных.
Необходимый уровень знаний не является строго определенным, но он должен быть соизмерим с чувствительностью, сложностью и объемом данных, обрабатываемых организацией. Например, когда деятельность по обработке данных является особенно сложной или когда в нее вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки. Существует также разница в зависимости от того, передает ли организация персональные данные за пределы Европейского Союза регулярно или эпизодично. Таким образом, кандидата на должность DPO следует тщательно подбирать с учетом вопросов относительно защиты персональных данных, которые возникают в рамках организации.
Хотя статья 37 (5) не определяет профессиональные качества, которые следует учитывать при назначении DPO, важным является наличие у DPO знания национальных и европейских законов и практики в области защиты персональных данных, в том числе углубленного понимания GDPR. Также является полезным предоставление надзорными органами адекватного и регулярного обучения для DPO.
Полезно знать деловой сектор и организационные процессы контролера. DPO должен также иметь хорошее понимание операций по обработке персональных данных, а также информационных систем и потребностей в области безопасности и защиты данных контролера.
В случае с государственным органом DPO также должен иметь хорошие знания административных норм и процедур внутри такой организации.
Способность выполнять задачи, возложенные на DPO, должна толковаться со ссылкой как на их личные качества и знания, так и на их положение в организации. Личные качества должны включать в себя честность и верность высокой профессиональной этике; основной заботой DPO должно быть обеспечение соблюдения требований GDPR. DPO играет ключевую роль в развитии культуры защиты персональных данных в рамках организации и помогает реализовать такие существенные элементы GDPR, как, например, принципы обработки данных [26], права субъектов данных [27], защита персональных данных спроектированная и по умолчанию [28], учет деятельности по обработке персональных данных [29], безопасность обработки [30], а также направление уведомлений и коммуникация по вопросам о нарушении безопасности персональных данных [31].
Функции DPO также могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией, не относящимися к организации контролера или процессора. В этом случае очень важно, чтобы каждый сотрудник организации, осуществляющей функции DPO, соответствовал всем применимым требованиям раздела 4 GDPR (например, очень важно, чтобы никто не имел конфликта интересов). Не менее важно, чтобы каждый такой сотрудник был защищен положениями GDPR (например, не допускается необоснованное прекращение договора оказания услуг за осуществление функций DPO, необоснованное увольнение любого отдельного сотрудника организации за выполнение задач DPO). В то же время индивидуальные навыки и сильные стороны нескольких сотрудников могут быть объединены для командной работы, в связи с чем организация может более эффективно обслуживать своих клиентов.
Для целей юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов среди членов команды рекомендуется четко распределять задачи внутри команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за каждого клиента. Целесообразно указывать эти пункты в договоре оказания услуг.
Цель этих требований – обеспечить, чтобы субъекты данных (как внутри оганизации, так и вне ее) и надзорные органы могли легко и непосредственно связаться с DPO без необходимости связываться с другими подразделениями организации. Не менее важна и конфиденциальность: например, сотрудники могут неохотно направлять свои жалобы DPO, если конфиденциальность их общения не гарантируется.
DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения им своих задач в соответствии с законодательством Союза или государств-членов (статья 38(5)).
Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации.
Статья 37(7) не требует включать в опубликованные контактные данные имя DPO. Хотя это может быть хорошей практикой, но именно контролер или процессор, а также DPO принимают решение о том, является ли это необходимым или полезным в конкретных обстоятельствах [32].
[32] Следует отметить, что статья 33 (3)(b), описывающая информацию, которую необходимо предоставлять надзорным органам и субъектам данных в случае нарушения безопасности персональных данных, в отличие от статьи 37 (7), дополнительно требует указывать имя (а не только контактные данные) DPO.
3. Положение DPO
Статья 38 GDPR предусматривает, что контролер и процессор должны гарантировать, что DPO «надлежащим образом и своевременно вовлечен в участие во всех вопросах, касающихся защиты персональных данных».
Очень важно, чтобы DPO или его/ее команда как можно раньше принимали участие во всех вопросах, касающихся защиты персональных данных. Что касается оценки воздействия на защиту персональных данных, то GDPR четко предусматривает раннее участие DPO и указывает, что контролер должен обращаться за консультацией к DPO при проведении такой оценки [33]. Обеспечение информирования DPO и консультирования с ним будет способствовать соблюдению GDPR, продвигать подход спроектированной защиты персональных данных, поэтому такой подход должен быть стандартной процедурой в рамках управления организацией. Кроме того, важно, чтобы DPO рассматривался в качестве партнера для переговоров в организации и чтобы он являлся частью соответствующих рабочих групп, занимающихся обработкой персональных данных в рамках организации.
его или ее присутствие рекомендуется, когда принимаются решения, имеющие воздействие на защиту персональных данных. Вся необходимая информация должна быть передана DPO своевременно для того, чтобы он мог предоставить надлежащую консультацию
мнению DPO всегда уделяется должное внимание. В случае несогласия WP29 рекомендует в качестве хорошей практики документировать причины несоблюдения консультаций DPO
с DPO необходимо незамедлительно проконсультироваться в случае нарушения безопасности персональных данных или другого инцидента.
В случае необходимости, контролер или процессор могут разработать руководство или программу по защите персональных данных, которые уточняют случаи, когда необходимо проконсультироваться с DPO.
Статья 38 (2) GDPR требует от организаций оказывать поддержку своим DPO посредством «предоставления ресурсов, необходимых для выполнения [их] задач и доступа к персональным данным и операциям по их обработке, а также ресурсов, необходимых для поддержания его или ее экспертных знаний». В частности, следует рассматривать следующие составляющие:
• активную поддержку деятельности DPO со стороны высшего руководства (например, на уровне совета директоров)
• время, достаточное для выполнения DPO своих обязанностей. Это особенно важно, когда внутренний DPO работает неполный рабочий день или когда внешний DPO занимается вопросами защиты персональных данных в дополнение к другим обязанностям. В противном случае конфликтующие приоритеты могут привести к пренебрежению обязанностями DPO. Поэтому наличие достаточного времени, которое можно посвятить задачам DPO, имеет первостепенное значение. Хорошей практикой является установление процента времени, отводимого для выполнения функций DPO в условиях частичной занятости. Хорошей практикой также является определение времени, необходимого для выполнения функций DPO, соответствующего уровня приоритета для обязанностей DPO, а также составление плана работы самим DPO или организацией
• адекватную поддержку с точки зрения финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• официальное уведомление всех сотрудников о назначении DPO для того, чтобы гарантировать, что о его существовании и функциях известно в пределах организации
• необходимый доступ к другим ресурсам, например, кадрам, правовой помощи, IT, безопасности и т.д. для того, чтобы DPO мог получать существенную поддержку и информацию
• непрерывное обучение. DPO должна быть предоставлена возможность идти в ногу со временем в области защиты персональных данных. Цель должна состоять в постоянном повышении уровня знаний DPO, и их следует стимулировать к участию в учебных курсах по защите персональных данных и других формах профессионального развития, таких, как участие в форумах по приватности, круглых столах и т.д.
• учитывая размер и структуру организации, может потребоваться создать команду DPO (сам DPO и его сотрудники). В таких случаях необходимо четко прописывать внутреннюю структуру команды, задачи и обязанности каждого из ее членов. Точно так же, когда функция DPO осуществляется внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда, под ответственность назначенного главного контактного лица для клиента.
В целом, чем более сложными и (или) чувствительными являются операции по обработке персональных данных, тем больше ресурсов требуется DPO. Функция защиты персональных данных должна осуществляться эффективно и снабжаться достаточно хорошими ресурсами по отношению к осуществляемым операциям по обработке персональных данных.
Статья 38 (3) устанавливает основные гарантии, чтобы обеспечить способность DPO выполнять свои задачи с достаточной степенью автономии в рамках своей организации. В частности, контролеры/процессоры должны гарантировать, что DPO “не будет получать никаких указаний относительно выполнения им своих задач”. Преамбула 97 дополняет, что DPO, “независимо от того, является ли он сотрудником контролера, должен быть в состоянии выполнять свои обязанности и задачи в независимом порядке”.
Это означает, что при выполнении своих задач в соответствии со статьей 39 DPO не должен получать указания, как разрешить тот или иной вопрос, например, какой результат должен быть достигнут, каким образом изучать жалобу или консультироваться ли с надзорным органом. Кроме того, нельзя указывать DPO придерживаться определенного взгляда на вопрос, связанный с законодательством о защите персональных данных, например, особого толкования закона.
Однако автономия DPO не означает, что они имеют полномочия для принятия решений, выходящих за рамки их задач, перечисленных в статье 39.
Контролер или процессор несут ответственность за соблюдение законодательства о защите персональных данных и должны быть в состоянии продемонстрировать его соблюдение [34]. Если контролер или процессор принимают решения, которые несовместимы с требованиями GDPR и консультациями DPO, последний должен иметь возможность четко изложить свое особое мнение высшему руководству и принимающим решения лицам. В связи с этим, статья 38(3) предусматривает, что DPO «должен непосредственно отчитываться на самом высоком уровне управления контролера или процессора». Такая прямая отчетность гарантирует, что высшее руководство (например, совет директоров) будет в курсе консультаций и рекомендаций, предоставленных DPO в рамках его миссии по информированию и консультированию контролера или процессора. Другим примером прямой подотчетности является составление годового отчета о деятельности DPO, который направляется высшему руководству.
Статья 38 (3) гласит, что DPO «не должен подвергаться увольнению или иному наказанию контролером или процессором за выполнение [своих] задач».
Это требование укрепляет автономию DPO и помогает гарантировать, что он может действовать независимо и обладать достаточной защитой при выполнении своих задач по защите персональных данных.
Наказание DPO запрещается GDPR только в случае, если оно налагается за выполнение им своих обязанностей. Например, DPO мог посчитать, что определенная обработка может с большой вероятностью привести к высокому риску, и посоветовал контролеру или процессору провести оценку воздействия на защиту персональных данных, но контролер или процессор не согласен с оценкой DPO. В такой ситуации DPO не может быть уволен за предоставление этой рекомендации.
Наказание может принимать различные формы и быть прямым или косвенным. Оно может состоять, например, в отсутствии или задержке повышения; предотвращении продвижения по карьерной лестнице; отказе в предоставлении преимуществ, которые другие сотрудники получают. Не обязательно, чтобы эти наказания фактически исполнялись, самой их угрозы достаточно, если они используются, чтобы наказать DPO по причинам, связанным с его/ее деятельностью.
В рамках обычной нормы управления и, как это было бы в случае любого другого сотрудника или подрядчика в соответствии с применимым национальным договором, трудовым или уголовным правом, DPO все еще может быть законно уволен по причинам, не связанным с выполнением им своих задач в качестве DPO (например, в случае кражи, физического, психологического или сексуального домогательства или иного подобного грубого нарушения правил поведения).
В этом контексте следует отметить, что GDPR не определяет, как и когда DPO может быть уволен или заменен другим лицом. Тем не менее, чем стабильнее договор с DPO и чем больше гарантий существует против необоснованного увольнения, тем более вероятно, что он будет иметь возможность действовать независимым образом. Таким образом, WP29 будет приветствовать усилия организаций на этот счет.
Статья 38 (6) позволяет DPO «выполнять другие задачи и обязанности». Однако от организаций требуется гарантировать, что «выполнение таких задач не приводит к конфликту интересов».
Отсутствие конфликта интересов тесно связано с требованием действовать независимым образом. Хотя DPO разрешено осуществлять другие функции, они могут быть возложены на него только в рамках других задач и обязанностей и при условии, что они не приводят к конфликту интересов. Это влечет за собой, в частности, невозможность для DPO занимать такую должность в организации, которая ведет к определению им целей и средств обработки персональных данных. В силу специфики организационной структуры в каждой организации это должно рассматриваться в каждом отдельном случае.
Как правило, конфликтующие позиции внутри организации могут включать в себя высокие руководящие должности (например, директор, начальник операционного отдела, начальник финансового отдела, главный врач, начальник отдела маркетинга, начальник отдела кадров или начальник IT-отдела), а также более низкие должности в организационной структуре, если такие должности приводят к определению целей и средств обработки. Кроме того, конфликт интересов может возникнуть, например, если внешнего DPO просят представлять интересы контролера или процессора в судах в делах, связанных с вопросами защиты персональных данных.
В зависимости от деятельности, размера и структуры организации, для контролеров и процессоров может быть хорошей практикой:
• заявить о том, что их DPO не имеет конфликта интересов в отношении его функций DPO, что является способом повышения осведомленности об этом требовании
• включить гарантии во внутренние правила организации и обеспечить, чтобы уведомление о вакансии на должность DPO или договор оказания услуг были достаточно точными и детализированными для того, чтобы избежать конфликта интересов. В этом контексте следует также иметь в виду, что конфликт интересов может принимать различные формы в зависимости от того, является ли DPO штатным или внештатным сотрудником.
4. Задачи DPO
Статья 39 (1)(b) возлагает на DPO, помимо прочего, обязанность следить за соблюдением GDPR. Преамбула 97 далее указывает, что DPO «должен помогать контролеру или процессору осуществлять контроль за внутренним соблюдением настоящего Регламента».
Контроль за соблюдением GDPR не означает, что DPO несет персональную ответственность при обнаружении несоблюдения требований Регламента. GDPR подчеркивает, что не DPO, а именно контролер «принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом» (статья 24 (1)). Соблюдение законодательства о защите персональных данных является корпоративной ответственностью контролера, а не DPO.
В соответствии со статьей 35 (1), в задачи контролера (а не DPO) входит осуществление, при необходимости, оценки воздействия на защиту персональных данных ( «DPIA»). Тем не менее, DPO может играть очень важную и полезную роль при оказании помощи контролеру. В соответствии с принципом встроенной защиты персональных данных, статья 35 (2) устанавливает, что контролер «должен проконсультироваться» с DPO при проведении DPIA. Статья 39 (1)(с), в свою очередь, возлагает на DPO задачу «предоставлять запрашиваемые рекомендации касательно [DPIA] и контролировать ее осуществление в соответствии со статьей 35».
WP29 рекомендует контролерам обращаться за консультацией к DPO, среди прочего, по следующим вопросам [35]:
[35] Статья 39 (1) упоминает о задачах DPO и указывает на то, что DPO должны иметь «по крайней мере» следующие задачи. Таким образом, ничто не мешает контролеру возлагать на DPO другие задачи помимо тех, которые упомянуты в статье 39 (1), или указывать эти задачи более подробно.
• какие меры (в том числе технические и организационные меры) применять для минимизации любых рисков для прав и интересов субъектов данных
• правильно ли проведена оценка воздействия на защиту персональных данных и соответствует ли ее заключение (продолжать ли обработку данных и какие меры применять) требованиям GDPR.
Если контролер не согласен с советом, предоставленным DPO, документация по DPIA должна содержать конкретное письменное обоснование, почему совет не был принят во внимание [36].
[36] Статья 24 (1) предусматривает, что “принимая во внимание характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролер принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом. При необходимости эти меры пересматриваются и обновляются”.
WP29 рекомендует контролеру четко определить, например, в договоре с DPO и в информации, предоставляемой сотрудникам и руководству (и другим заинтересованным сторонам в соответствующих случаях), точные задачи DPO и их объем, в частности, относительно проведения DPIA.
В соответствии со статьей 39 (1)(d) и (e), DPO должен «сотрудничать с надзорным органом» и «действовать в качестве контактного лица для надзорного органа по вопросам, касающимся обработки, в том числе для предварительных консультаций, указанных в статье 36, а также консультироваться, в случае необходимости, по любому иному вопросу».
Эти задачи относятся к роли DPO как «посредника», упомянутой во введении к настоящему Руководству. DPO выступает в качестве контактного лица для облегчения доступа надзорного органа к документам и информации для выполнения задач, указанных в статье 57, а также для осуществления своих расследовательских, исправительных, разрешительных и консультативных полномочий, упомянутых в статье 58. Как уже упоминалось, DPO ограничен в своей деятельности требованием о секретности или конфиденциальности в отношении выполнения своих задач в соответствии с законодательством Союза или государств-членов (статья 38 (5)). Однако требование о секретности/конфиденциальности не запрещает DPO контактировать и консультироваться с надзорным органом. Статья 39 (1)(е) предусматривает, что DPO может при необходимости обращаться к надзорному органу по любому другому вопросу.
Статья 39(2) требует, чтобы DPO «уделял должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки».
Эта статья содержит в себе принцип здравого смысла, который может быть актуальным для многих ежедневных рабочих аспектов деятельности DPO. По существу, она требует, чтобы DPO отдавали приоритет своей деятельности и сосредотачивали свои усилия на вопросах, представляющих более высокие риски для защиты персональных данных. Это вовсе не означает, что они должны пренебрегать контролем за соответствием GDPR тех операций по обработке, которые имеют сравнительно низкий уровень рисков, однако это свидетельствует о том, что они должны сосредотачиваться, в первую очередь, на участках повышенного риска.
Такой избирательный и прагматичный подход должен помочь DPO при консультировании контролера по вопросам о том, какую методологию использовать при проведении DPIA, какие области должны быть предметом внутреннего или внешнего аудита защиты персональных данных, какие внутренние обучающие мероприятия проводить для персонала или руководства, ответственного за обработку персональных данных, и каким операциям по обработке уделять больше времени и ресурсов.
В соответствии с пунктами (1) и (2) статьи 30, контролер или процессор (но не DPO) «ведут реестр деятельности по обработке, за которую ответственны» или «ведут реестр всех видов деятельности по обработке, выполняемых от имени контролера».
На практике DPO часто проводят инвентаризацию и ведут реестр обработок персональных данных на основе информации, предоставленной им различными департаментами организации, которые ответственны за обработку персональных данных. Такая практика сформировалась в рамках многих существующих национальных законов и норм о защите персональных данных, применимых к учреждениям и органам ЕС [37].
Статья 39(1) предусматривает перечень задач, которые DPO должен иметь как минимум. Таким образом, ничто не мешает контролеру или процессору возложить на DPO задачу по ведению реестра обработок персональных данных под ответственность контролера или процессора. Такой реестр должен рассматриваться в качестве одного из инструментов, позволяющих DPO выполнять свои задачи по контролю за соблюдением GDPR, информированию и консультированию контролера или процессора.
В любом случае, такой реестр, который необходимо хранить в соответствии со статьей 30, также следует рассматривать в качестве инструмента, позволяющего контролеру и надзорному органу по требованию последнего иметь обзор всей деятельности по обработке персональных данных, осуществляемой организацией. Таким образом, реестр является предпосылкой для соблюдения GDPR и эффективной мерой подотчетности.
5. ПРИЛОЖЕНИЕ - РУКОВОДСТВО ПО DPO: ЧТО НУЖНО ЗНАТЬ
Цель настоящего приложения заключается в том, чтобы в упрощенном и удобном для чтения формате ответить на некоторые из ключевых вопросов, которые могут иметь организации относительно новых требований Общего регламента защиты персональных данных (GDPR) о назначении DPO.
• если обработка осуществляется государственным органом (независимо от того, какие данные обрабатываются)
• если основная деятельность контролера или процессора включает в себя операции по обработке персональных данных, которые требуют регулярного и систематического мониторинга субъектов данных, в крупных масштабах
• если основная деятельность контролера или процессора включает в себя обработку в крупных масштабах специальных категорий персональных данных или персональных данных, касающихся судимостей и правонарушений.
Обратите внимание, что законодательство Союза или государств-членов может требовать назначения DPO и в других случаях. Наконец, даже если назначение DPO не является обязательным, для организаций может иногда оказаться полезным назначить DPO на добровольной основе. Рабочая группа статьи 29 по защите физических лиц при обработке персональных данных ( «WP29») поощряет эти добровольные усилия. Если организация назначает DPO на добровольной основе, к его назначению, положению и задачам будут применяться те же требования, как если бы он был назначен в обязательном порядке.
«Основную деятельность» можно рассматривать в качестве совокупности основных операций, необходимых для достижения целей контролера или процессора. Она также включает в себя все виды деятельности, в рамках которых обработка персональных данных является неразрывной частью деятельности контролера или процессора. Например, обработку таких данных о состоянии здоровья, как история болезни пациентов, следует рассматривать в качестве одного из основных направлений деятельности любой больницы, в связи с чем больницы должны назначать DPO.
С другой стороны, все организации осуществляют такую деятельность, как выплата заработной платы сотрудникам и поддержка IT-систем. Подобная деятельность выполняет функцию необходимой поддержки основной деятельности организации. И хотя она и является необходимой и существенной, однако обычно относится к вспомогательной функции, а не основной деятельности.
GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:
• количество субъектов данных – в виде определенного числа или доли населения соответствующего региона
• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)
• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности
• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.
• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.
Определение регулярного и систематического мониторинга субъектов данных не дается в GDPR, но, очевидно, включает в себя все формы отслеживания и профилирования в Интернете, в том числе для целей поведенческой рекламы. Однако понятие мониторинга не ограничивается онлайн-средой.
Примеры видов деятельности, представляющих собой регулярный и систематический мониторинг субъектов данных: управление телекоммуникационной сетью; предоставление телекоммуникационных услуг; ретаргетинг по электронной почте; основанная на обработке персональных данных маркетинговая деятельность; профилирование и скоринг для целей оценки рисков (например, для целей кредитного скоринга, установления страховых премий, предотвращения мошенничества, обнаружения отмывания денег); отслеживание местоположения, например, с помощью мобильных приложений; программы лояльности; поведенческая реклама; мониторинг спортивных и медицинских данных через носимые устройства; кабельное телевидение; подключаемые устройства, например, умные счетчики, умные автомобили, домашняя автоматизация и т.д.
Да, могут. Группа предприятий может назначить единого DPO при условии, что он “легко доступен из каждой организационной единицы”. Понятие доступности относится к задачам DPO в качестве контактного лица для субъектов данных, надзорного органа, а также внутренних подразделений организации. Для того чтобы обеспечить доступность DPO, будь он внутренним или внешним, важно убедиться, что их контактные данные доступны. DPO (при необходимости с помощью команды) должен быть в состоянии эффективно взаимодействовать с субъектами данных и сотрудничать с надзорными органами. Это означает, что такое взаимодействие должно происходить на языке или языках, используемых надзорными органами и субъектами данных. Доступность DPO (будь то физически на одинаковых условиях с другими сотрудниками, через горячую линию или другие безопасные средства связи) имеет важное значение для обеспечения того, чтобы субъекты данных имели возможность связаться с DPO.
Единый DPO может быть назначен для нескольких государственных органов с учетом их организационной структуры и размера. Применяются те же самые соображения в отношении ресурсов и связей. Учитывая, что DPO отвечает за множество задач, контролер или процессор должны гарантировать, что единый DPO (при необходимости – с помощью команды) сможет выполнять эти задачи эффективно, несмотря на то, что он назначен несколькими государственными органами.
Для того чтобы гарантировать, что DPO доступен, WP29 рекомендует DPO находиться в пределах Европейского Союза, независимо от того, находится ли там контролер или процессор. Тем не менее, нельзя исключать, что в некоторых ситуациях, когда контролер или процессор не имеет организационной единицы в Европейском Союзе, DPO может более эффективно осуществлять свою деятельность в случае, если он находится за пределами ЕС.
Да, можно. DPO может быть штатным сотрудником контролера или процессора (внутренний DPO) или выполнять задачи на основании договора оказания услуг. Это означает, что DPO может быть внештатным, и в этом случае его/ее функции могут осуществляться на основании договора оказания услуг, заключенного с физическим лицом или организацией.
Когда функции DPO осуществляются внешним поставщиком услуг, группа лиц, работающих в данной организации, может эффективно выполнять задачи DPO как команда под руководством назначенного главного контактного лица, являющегося «ответственным» за клиента. В этом случае важно, чтобы каждый сотрудник внешней организации, осуществляющей функции DPO, соответствовал всем применимым требованиям GDPR.
Ради юридической ясности, хорошей организации процесса и предотвращения конфликтов интересов для членов команды, Руководством рекомендуется указывать в договоре оказания услуг четкое распределение задач в рамках внешней команды DPO и назначать одного человека в качестве главного контактного лица, «ответственного» за клиента.
DPO должен назначаться на основании профессиональных качеств и, в частности, экспертных знаний законодательства и практики в области защиты персональных данных, а также способности выполнять свои задачи.
Необходимый уровень экспертных знаний должен быть определен в соответствии с выполняемыми операциями по обработке персональных данных и уровнем защиты, необходимой для обрабатываемых персональных данных. Например, когда деятельность по обработке персональных данных является особенно сложной или когда в обработку вовлечено большое количество чувствительных персональных данных, DPO может потребоваться более высокий уровень знаний и поддержки.
• знание национального и европейского законодательства о защите персональных данных и практики его применения, включая углубленное понимание GDPR
В зависимости от характера операций по обработке, а также деятельности и размера организации, следующие ресурсы должны быть предоставлены DPO:
• адекватная поддержка в плане финансовых ресурсов, инфраструктуры (помещение, сооружения, оборудование) и персонала в соответствующих случаях
• доступ к другим ресурсам в рамках организации для того, чтобы DPO мог получать существенную поддержку и информацию
10. Каковы гарантии, позволяющие DPO выполнять ее/его задачи независимым образом? Что означает «конфликт интересов»?
• запрет на увольнение или иное наказание DPO со стороны контролера или процессора за выполнение DPO своих задач
Наличие у DPO других задач и обязанностей не должно приводить к конфликту интересов. Это означает, что DPO не может занимать должность в организации, которая приводит к определению целей и средств обработки персональных данных. В силу специфики организационной структуры в каждой организации это должно рассматриваться в каждом отдельном случае.
Как правило, конфликтующие позиции внутри организации могут включать в себя высокие руководящие должности (например, директор, начальник операционного отдела, начальник финансового отдела, главный врач, начальник отдела маркетинга, начальник отдела кадров или начальник IT-отдела), а также более низкие должности в организационной структуре, если такие должности приводят к определению целей и средств обработки. Кроме того, конфликт интересов может возникнуть, например, если внешнего DPO просят представлять интересы контролера или процессора в судах в делах, связанных с вопросами защиты персональных данных.
12. Несет ли DPO персональную ответственность за несоблюдение требований по защите персональных данных?
Нет. DPO не несет персональную ответственность за несоблюдение требований по защите персональных данных. Именно от контролера или процессора требуется обеспечивать соответствие осуществляемых обработок персональных данных требованиям Регламента, а также доказывать это соответствие. Ответственность за соблюдение требований в области защиты персональных данных лежит на контролере или процессоре.
13. Какова роль DPO в части оценки воздействия на защиту персональных данных и ведения реестра обработок персональных данных?
В части оценки воздействия на защиту персональных данных контролер или процессор должен обратиться за консультацией к DPO при наличии, среди прочих, следующих вопросов:
• какие меры (в том числе технические и организационные меры) применять для минимизации любых рисков для прав и интересов субъектов данных
• правильно ли проведена оценка воздействия на защиту персональных данных и соответствует ли ее заключение (продолжать ли обработку данных и какие меры применять) требованиям законодательства о защите персональных данных.
Что касается ведения реестра обработок персональных данных, то именно на контролера или процессора возлагается обязанность по ведению такого реестра, а не на DPO. Однако ничто не мешает контролеру или процессору возложить на DPO задачу ведения реестра обработок персональных данных под ответственность контролера или процессора. Ведение такого реестра должно рассматриваться в качестве одного из инструментов, позволяющих DPO выполнять свои задачи по контролю за соблюдением требований законодательства о защите персональных данных, информированию и консультированию контролера или процессора.