Duomenų apsaugos pareigūno nepriklausomumo užtikrinimas
)
BDAR nurodo, kad duomenų apsaugos pareigūnai (DAP) savo pareigas ir užduotis turėtų atlikti nepriklausomai. DAP gali vykdyti kitas užduotis ir pareigas, tačiau duomenų valdytojas arba duomenų tvarkytojas privalo užtikrinti, kad dėl bet kokių tokių užduočių ir pareigų nekiltų interesų konfliktas. Taigi DAP savarankiškumo reikalavimas yra teisiškai įtvirtintas, bet ar visada pavyksta tai įgyvendinti?
„Įvertinus gautą informaciją iš valdžios institucijų ir įstaigų, nustatyta, kad vienas dažniausiai pasitaikančių trūkumų yra konkrečios pareigybės pasirinkimas, t. y. pastebėta, kad neretai DAP skiriami tokie asmenys, dėl kurių kyla didelė interesų konflikto rizika“,- atskleidžia Valstybinė duomenų apsaugos inspekcija savo rekomendacijoje dėl duomenų apsaugos pareigūnų skyrimo viešajame sektoriuje (VDAI rekomendacija).
Kada gali kilti interesų konfliktas?
Pagal Direktyvos 95/46/EB 29 straipsnio darbo grupės 2016 m. gruodžio 13 d. Duomenų apsaugos pareigūnų gaires Nr. WP 243 (WP Duomenų apsaugos pareigūnų gairės), organizacija įpareigojama užtikrinti, kad dėl DAP užduočių ir pareigų nekiltų interesų konfliktas. Interesų konflikto nebuvimas artimai susijęs su reikalavimu veikti nepriklausomai.
Nors DAP leidžiama atlikti kitas funkcijas, jas galima patikėti tik tuo atveju, jeigu tai nekelia interesų konflikto. Visų pirma tai reiškia, kad DAP negali organizacijoje eiti pareigų, pagal kurias jis turėtų nustatyti asmens duomenų tvarkymo tikslus ir priemones. VDAI rekomendacijoje taip pat nurodoma, kad vienas iš pagrindinių kriterijų, vertinant, ar dėl konkrečios pareigybės gali kilti interesų konfliktas, yra asmens duomenų tvarkymo tikslų ir priemonių nustatymo galimybė (įgaliojimai).
Dėl kiekvienos organizacijos specifinės struktūros į tai turi būti atsižvelgiama kiekvienu konkrečiu atveju. Paprastai interesų konfliktą galinčios sukelti pareigybės organizacijos viduje yra tokios:
vyresniosios vadovybės pareigybės (pvz., generalinis direktorius, operacijų vadovas, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros padalinio vadovas, žmogiškųjų išteklių arba IT padalinio vadovas),
žemesnio lygio pareigos organizacijos struktūroje, jeigu vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones.
Kaip tai atrodo praktikoje?
Priežiūros institucijos (PI) rimtai žiūri į DAP nepriklausomumo užtikrinimą, jau yra praktika šiuo klausimu, dalinamės keliais PI priimtų sprendimų pavyzdžiais:
2022 metais Berlyno PI paskyrė 525 000 eurų baudą Berlyne įsikūrusios elektroninės prekybos grupės dukterinei įmonei. Bendrovė buvo paskyrusi duomenų apsaugos pareigūnu vykdomąjį direktorių įmonių, kurios tvarkė asmens duomenis elektroninės prekybos įmonės vardu. Šios paslaugų įmonės taip pat priklauso grupei, kuriai priklauso elektroninės prekybos įmonė. PI tai įvertino kaip interesų konfliktą ir konstatavo BDAR 38 str. 6 d. pažeidimą.
2021 metais Berlyno PI skyrė baudą klinikai, kuri duomenų apsaugos pareigūnu buvo paskyrusi klinikos vadovą, kuris taip pat buvo klinikos akcininkas. DAP gali atlikti kitas užduotis ir pareigas, tačiau įmonė turi užtikrinti, kad kitos užduotys ir pareigos nesukeltų interesų konflikto. Tačiau šiuo atveju toks interesų konfliktas buvo. Viena vertus, klinikos vadovas, eidamas vadovaujančias pareigas, turėjo priimti ekonominius sprendimus, kita vertus, stebėti, kaip klinika laikosi duomenų apsaugos įstatymų. PI taip pat pažymėjo, kad toks dvigubas vaidmuo kelia pavojų, kad pacientai ir darbuotojai dvejos, ar kreiptis į duomenų apsaugos pareigūną, taip pat ligoninės direktorių, pagalbos iškilus kritiniams klausimams dėl asmens duomenų tvarkymo.
2021 metais Belgijos PI bankui skyrė 75 000 eurų baudą. PI nustatė interesų konfliktą dėl duomenų apsaugos pareigūno. Be duomenų apsaugos pareigūno darbo, jis taip pat vadovavo departamentui, kuriam turėjo atsiskaityti kaip duomenų apsaugos pareigūnas. PI tai vertino kaip BDAR 38 str. 6 d. pažeidimą.
Kaip užtikrinti, kad DAP turėtų galimybę veikti savarankiškai?
Pagal WP Duomenų apsaugos pareigūnų gaires, priklausomai nuo organizacijos veiklos, dydžio ir struktūros, duomenų valdytojai arba duomenų tvarkytojai gali taikyti šią gerąją patirtį:
nustatyti pareigybes, kurios būtų nesuderinamos su duomenų apsaugos pareigūno funkcijomis;
šiuo tikslu parengti vidaus taisykles, kad būtų išvengta interesų konflikto;
įtraukti bendresnio pobūdžio paaiškinimą apie interesų konfliktus;
paskelbti, kad jų duomenų apsaugos pareigūnui nekyla interesų konflikto dėl jo, kaip duomenų apsaugos pareigūno, funkcijų vykdymo – taip būtų informuojama, kad šis reikalavimas yra suvokiamas;
į organizacijos vidaus taisykles įtraukti apsaugos nuostatas ir užtikrinti, kad skelbimas apie laisvą duomenų apsaugos pareigūno pareigybę arba paslaugų sutartis būtų pakankamai tikslūs ir išsamūs ir taip būtų išvengta interesų konflikto.
DAP užduočių pavedimas išorės ekspertams mažina interesų konflikto rizikas. Todėl kviečiame rinktis „Fondia“ teikiamą išorinio duomenų apsaugos pareigūno paslaugą (DPOaaS – Data Protection Officer as a Service). DPOaaS paslauga apima ne tik teisės aktuose numatytų DAP užduočių vykdymą, bet ir nuolatinį duomenų apsaugos teisininkų komandos darbą Jums. Kviečiame pasinaudoti nemokamos pirminės konsultacijos galimybe ir pasikalbėti apie „Fondia“ išorinio DAP paslaugas. Pokalbį galite paskirti Jums patogiu laiku paspaudę Calendly nuorodą.
Jei norite daugiau sužinoti apie teisės aktų naujoves bei gauti praktinius teisininkų patarimus, kviečiame prenumeruoti mūsų naujienlaiškį!
