ВНЕШНИЙ DPO НЕ ЗАМЕНА ОТВЕТСТВЕННОСТИ КОМПАНИИ✖️
Когда юрист, комплаенс или HRD ведет персональные данные «по совместительству», внешний DPO выглядит как понятное решение: он поможет с аудитом, документами, проверками, процессами и спорными вопросами по 152-ФЗ. Но есть нюанс, который легко потерять в договоре...
Внешний DPO обычно не становится оператором персональных данных. Оператором остается компания. А внешний специалист получает статус лица, которое обрабатывает данные по поручению оператора.
Это значит, что если DPO получает доступ к данным работников, клиентов, CRM, HR-системам, заявкам или продуктовой аналитике, одного договора на консультационные услуги недостаточно. Нужно проверить, есть ли поручение на обработку ПДн, какие данные передаются, для каких целей и на каком основании компания дает внешний доступ.
Особенно внимательно стоит смотреть на две зоны:
данные работников и данные клиентов.
В первом случае может понадобиться письменное согласие или корректный ЛНА.
Во втором важно, чтобы обработка была отражена в согласии, оферте, пользовательском соглашении или другой договорной модели.
Кстати, подробнее про разницу между передачей данных и поручением обработки мы разбирали в этой статье. А базовую модель «оператор — обработчик» здесь.
Сохраняйте карточки выше: в них короткий чек-лист, что проверить до того, как внешний DPO получит доступ к персональным данным.
Если же хотите понять, корректно ли оформлена ваша модель с внешним DPO, можно начать с проверки договора, поручения на обработку и оснований для доступа к HR- и клиентским данным.
😎
