Роль DPO

1) Призначення та правовий мандат

Мета: забезпечити відповідність вимогам приватності (GDPR/UK GDPR/ePrivacy і локальні норми), виступати незалежною точкою контролю і контактною особою для регуляторів/суб'єктів даних.

• систематичний і масштабний моніторинг суб'єктів (профілювання, антифрод, RG-тригери);
• великомасштабна обробка спецкатегорій даних (наприклад, біометрія liveness в KYC);
• статус «організації, що здійснює обробку в суспільних інтересах» (рідко для iGaming, але зустрічається в суміжних проектах).

2) Принципи незалежності та підзвітності

Незалежність: DPO не отримує вказівок за змістом висновків; неприпустимий конфлікт інтересів (DPO не повинен одночасно бути Head of Security, CTO, CMO, Product Owner за зачіпаються процеси).
Підпорядкування: пряма підзвітність C-level/Раді директорів; доступ до всіх даних/систем/контрактів.
Ресурси: бюджет, доступ до юристів, аналітиків, інструментів (RoPA, DSAR, DLP/логів).
Захист від санкцій: заборона штрафів/звільнення за виконання обов'язків DPO.

3) Роль, зона відповідальності та межі

• консультування з правових підстав, Privacy by Design/Default;
• ведення/курацію RoPA, участь в DPIA/DTIA;
• навчання персоналу, розробку політик приватності/куки/DSAR;
• контроль термінів зберігання і видалення, тести на вправність прав;
• взаємодія з наглядовими органами та суб'єктами даних;
• моніторинг інцидентів приватності та перевірку повідомлень (в т.ч. в 72-годинні вікна);
• незалежні висновки та рекомендації (advice & challenge).

DPO не відповідає за операційне володіння ризиками (це зона власників процесів: Product, Security, Compliance, Data). DPO - «другий контур» контролю.

4) RACI (укрупнено)

5) Метрики і KPI ролі DPO

SLA DSAR: підтвердження ≤ 7 днів, виконання ≤ 30 (частка в строк ≥ 95%).
DPIA coverage: % високоризикових змін з DPIA ≥ 95%.
Retention compliance: частка систем з автозавданнями видалення/анонімізації ≥ 90%.
Privacy incidents: MTTD/MTTR по інцидентам приватності, частка повідомлень в термін 72 год - 100%.
Training: % співробітників, які пройшли навчання по приватності ≥ 98% (щорічно).
Vendor privacy score: частка вендорів з актуальними DPA/SCCs/DTIA - 100%.

6) Процеси (SOP) під кураторством DPO

6. 1 DSAR (права суб'єктів)

1. Прийом запиту (портал/пошта) → 2) Верифікація особи → 3) Оцінка обсягу → 4) Збір даних з систем/вендорів → 5) Юридичний огляд обмежень → 6) Відповідь/відмова (з обґрунтуванням) → 7) Логування та поліпшення.
Контролі: двофакторна верифікація; червоні лінії - не розкривати PII третіх осіб, секрети антифроду.

6. 2 DPIA/DTIA

Скринінг змін (feature flag в CAB) → класифікація ризику → DPIA (ризики/заходи) → узгодження DPO/Legal → фіксація в backlog заходів (CAPA) → пост-включення перевірки.
DTIA при транскордонності: механізм (SCCs/IDTA), технічні заходи (Е2ЕЕ/клієнтські ключі), географія даних.

6. 3 Управління інцидентами/витоками

Оцінка «особистого ризику» суб'єктам; підготовка повідомлень регулятору/користувачам; узгодження текстів; журнал таймлайну; пост-мортем по приватності.

6. 4 RoPA і карта даних

Живий реєстр потоків: цілі, підстави, одержувачі, терміни, TOMs, автоматизовані рішення/профілювання.
Щоквартальне рев'ю і зв'язка з архітектурою/ETL.

6. 5 Кукі/СМР і маркетинг

Гранулярні згоди (TCF/еквіваленти), логування версій; центри переваг; поділ транзакційна vs маркетингова комунікація; контроль афіліатів/SDK.

7) Взаємодія з регуляторами та суб'єктами

Єдина точка контакту: публічний email DPO і поштову адресу.
Комм-принципи: факти, заходи, терміни; уникати гіпотез і маркетингових формулювань.
Досьє регуляторних контактів: облік запитів, відповідей, термінів, додатків.

8) Конфлікти інтересів і допустимі суміщення

Заборонено поєднувати з ролями, що визначають цілі/засоби обробки (CTO/Head of Security/Head of Marketing/Product Owner).
Допустимі поєднання з комплаєнс-радником, якщо незалежність і право «вето» зберігаються і формалізовані.

9) Вендори та транскордонні передачі (під наглядом DPO)

До висновку: due diligence (ISO/SOC2, інциденти, географія, субпроцесори, TOMs), DPA, механізм транскордонності (SCCs/IDTA), DTIA.
В експлуатації: реєстр субпроцесорів, повідомлення про зміни, тест інциденту, періодичні опитувальники та вибіркові аудити логів доступу до PII.
Offboarding: відгук доступів, видалення/повернення даних, акт закриття.

10) Privacy by Design/Default - вбудовування

Чек-лист в CAB: мета/основа, мінімізація, псевдонімізація, термін зберігання, куки/SDK, DPIA-скринінг, механізм згоди/заперечення, тестове середовище без «живих» PII.
Політика «дані за замовчуванням закриті»; принцип найменших прав; системні ролі та секрет-менеджмент.

11) Шаблони та артефакти

Публічна Політика конфіденційності (версійність, контакти DPO).
Політика кукі та CMP-банери (категорії, реєстр постачальників, журнал згоди).
Процедура DSAR (форми, SLA, верифікація, FAQ).
Шаблон DPIA/DTIA (ризик-матриця, заходи, залишковий ризик, рішення go/no-go).
Реєстр RoPA (табличний шаблон).
План реагування на інциденти приватності (72 години, адресати, шаблони повідомлень).
DPA/SCCs/IDTA (шаблони додатків, список субпроцесорів).

12) Навчання та культура приватності

Онбординг для всіх + щорічне оновлення; спец-курси для Support/Marketing/Engineering.
Тренування DSAR і «tabletop» по витоках; контроль засвоєння (квізи, метрики).
Комунікації «privacy moments» в релізних спринтах.

13) Дорожня карта впровадження функції DPO

Тижні 1-2: призначення/аудит незалежності, карта даних і RoPA, реєстр вендорів, інвентаризація політик.
Тижні 3-4: запуск CMP і центру переваг, оновлення Політики, шаблони DSAR/DPIA/інцидентів, навчання.
Місяць 2: аудит вендорів (DPA/SCCs/DTIA), пілотні DPIA, автоматизація ретеншн-jobs, тест DSAR.
Місяць 3 +: квартальні звіти Раді, навчання з витоків, ревізія порогів, план поліпшень.

14) Звітність DPO Раді (квартально - мінімальний склад)

KPI/інциденти/DSAR; статус DPIA/DTIA; критичні ризики та рекомендації; прогрес CAPA; вендори і транскордонність; roadmap по підвищенню зрілості.

15) Чек-лист зрілості DPO-функції

Незалежність оформлена (мандат, потік підпорядкування, відсутність конфлікту).

• Контакти DPO опубліковані; є реєстр регуляторних взаємодій.
• RoPA актуальний, карта потоків даних підтримується.
• DPIA/DTIA вбудовуються в CAB; ведеться журнал рішень.
• DSAR-процес з SLA і логами; проведено тестові запити.
• Політики приватності/куки/ретеншн актуальні і локалізовані.
• Реєстр субпроцесорів публічний/доступний; DPA/SCCs/IDTA актуальні.
• Навчання персоналу ≥ 98% покриття; пройдені tabletop-навчання.
• Метрики/KPI відстежуються; квартальний звіт Раді реалізується.

16) Приклад JD (Job Description) - вичавка

Обов'язки: oversight приватності, DPIA/DTIA, DSAR, інциденти, навчання, регуляторні контакти, звітність, аудит вендорів.
Вимоги: досвід 5 + років в приватності/комплаєнсі, знання GDPR/UK GDPR/ePrivacy, досвід взаємодії з наглядом, тех. та ін. грамотність (хмари, шифрування, логування).
Soft-skills: незалежність з «правом вето», комунікації, фасилітація конфліктів інтересів.

TL; DR

DPO - незалежний «другий контур» приватності: консультує, контролює, веде RoPA/DPIA/DSAR, відповідає за повідомлення і взаємодію з регуляторами, навчає і звітно говорить з Радою. Сильний DPO = вбудована приватність в продукті, керовані ризики і доказова сумлінність у всіх юрисдикціях.